Основні методи визначення вірусів

нтивірусні програми розвивалися паралельно з еволюцією вірусів. У міру того, як з'являлися нові технології створення вірусів, ускладнювався і математичний апарат, який використовувався в розробці антивірусів.

Перші антивірусні алгоритми будувалися з урахуванням порівняння з еталоном. Йдеться про програми, в яких вірус визначається класичним ядром за деякою маскою. Сенс алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб обсяг файлу був прийнятних розмірів, а з іншого досить великий, щоб уникнути помилкових спрацьовувань (коли «свій» сприймається як «чужий», і навпаки).

Перші антивірусні програми, побудовані за цим принципом (так звані сканери-поліфаги), знали кілька вірусів і вміли їх лікувати. Створювалися ці програми так: розробник, отримавши код вірусу (код вірусу спочатку був статичен), становив з цього коду унікальну маску (послідовність 10-15 байт) і вносив їх у базу даних антивірусної програми. Антивірусна програма сканувала файли і, якщо знаходила цю послідовність байтів, робила висновок у тому, що файл інфікований. Ця послідовність (сигнатура) вибиралася таким чином, щоб вона була унікальною і не зустрічалася у звичайному наборі даних.

Описані підходи використовували більшість антивірусних програм аж до середини 90-х років, коли з'явилися перші поліморфні віруси, які змінювали своє тіло за непередбачуваними заздалегідь алгоритмами. Тоді сигнатурний метод був доповнений так званим емулятор процесора, що дозволяє знаходити шифруються і поліморфні віруси, що не мають у явному вигляді постійної сигнатури.

Принцип емуляції процесора демонструється на рис. 1 . Якщо звичайно умовний ланцюжок складається з трьох основних елементів: ЦПУ®ОС®Програма, то при емуляції процесора до такого ланцюжка додається емулятор. Емулятор відтворює роботу програми в деякому віртуальному просторі і реконструює її оригінальний вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне ядро, що сканує.

Другий механізм, що з'явився в середині 90-х років і використовується всіма антивірусами, це евристичний аналіз. Справа в тому, що апарат емуляції процесора, який дозволяє отримати вичавки дій, що здійснюються аналізованою програмою, не завжди дає можливість здійснювати пошук за цими діями, але дозволяє зробити деякий аналіз і висунути гіпотезу типу «вірус чи вірус?».

У разі прийняття рішення грунтується на статистичних підходах. А відповідна програма називається евристичним аналізатором.

Для того, щоб розмножуватися, вірус повинен здійснювати будь-які конкретні дії: копіювання на згадку про пам'ять, запис в секторі і т.д. Евристичний аналізатор (він є частиною антивірусного ядра) містить список таких дій, переглядає код програми, що виконується, визначає, що вона робить, і на основі цього приймає рішення, є дана програма вірусом чи ні.

При цьому відсоток пропуску вірусу, навіть невідомого антивірусної програми, дуже малий. Ця технологія зараз широко використовується у всіх антивірусних програмах.

Класифікація антивірусних програм

ласифікуються антивірусні програми на чисті антивіруси та антивіруси подвійного призначення (рис. 2).

Чисті антивіруси відрізняються наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принциповим у разі є те, що можливе лікування, якщо відомий вірус. Чисті антивіруси, у свою чергу, на кшталт доступу до файлів поділяються на дві категорії: здійснюють контроль за доступом (on access) або на вимогу користувача (on demand). Зазвичай on access-продукти називають моніторами, а on demand-продукти – сканерами.

Оn demand-продукт працює за такою схемою: користувач хоче щось перевірити і видає запит (demand), після чого здійснюється перевірка. On access-продукт - це резидентна програма, яка відстежує доступ і в момент доступу здійснює перевірку.

Крім того, антивірусні програми, як і віруси, можна розділити залежно від платформи, всередині якої даний антивірус працює. У цьому сенсі поряд із Windows або Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Програми подвійного призначення - це програми, що використовуються як в антивірусах, так і в ПЗ, яке не є антивірусом. Наприклад, CRC-checker – ревізор змін на основі контрольних сум – може використовуватися не тільки для лову вірусів. Різновидом програм подвійного призначення є поведінкові блокатори, які аналізують поведінку інших програм та при виявленні підозрілих дій блокують їх. Від класичного антивірусу з антивірусним ядром, що розпізнає та лікує від вірусів, які аналізувалися в лабораторії і яким було прописано алгоритм лікування, поведінкові блокатори відрізняються тим, що лікувати від вірусів вони не вміють, оскільки нічого про них не знають. Дана властивість блокаторів дозволяє їм працювати з будь-якими вірусами, у тому числі і з невідомими. Це сьогодні набуває особливої ​​актуальності, оскільки розповсюджувачі вірусів та антивірусів використовують одні й самі канали передачі даних, тобто Інтернет. При цьому антивірусній компанії завжди потрібен час на те, щоб отримати сам вірус, проаналізувати його та написати відповідні лікувальні модулі. Програми з групи подвійного призначення таки дозволяють блокувати поширення вірусу до того моменту, поки компанія не напише лікувальний модуль.

Огляд найпопулярніших персональних антивірусів

Огляд увійшли найпопулярніші антивіруси для персонального використання п'яти відомих розробників. Слід зазначити, що деякі з розглянутих нижче компаній пропонують кілька версій персональних програм, що різняться за функціональністю та відповідно за ціною. У нашому огляді ми розглянули по одному продукту від кожної компанії, вибравши найбільш функціональну версію, яка зазвичай називається Personal Pro. Інші варіанти персональних антивірусів можна знайти на відповідних веб-сайтах.

Антивірус Касперського

Personal Pro v. 4.0

Розробник: "Лабораторія Касперського". Web-сайт: http://www.kaspersky.ru/. Ціна 69 дол. (ліцензія на 1 рік).

Антивірус Касперського Personal Pro (рис. 3) - одне з найбільш популярних рішень на російському ринку і містить цілу низку унікальних технологій.

Поведінковий блокатор модуль Office Guard контролює виконання макросів, припиняючи всі підозрілі дії. Наявність модуля Office Guard дає стовідсотковий захист від макровірусів.

Ревізор Inspector відстежує всі зміни на вашому комп'ютері та, якщо ви знайдете несанкціоновані зміни у файлах або системному реєстрі, дозволяє відновити вміст диска та видалити шкідливі коди. Inspector не вимагає оновлення антивірусної бази: контроль цілісності здійснюється на основі зняття оригінальних відбитків файлів (CRC-сум) та їх подальшого порівняння зі зміненими файлами. На відміну від інших ревізорів, Inspector підтримує всі найбільш популярні формати файлів, що виконуються.

Евристичний аналізатор дозволяє захистити комп'ютер навіть від невідомих вірусів.

Фоновий перехоплювач вірусів Monitor, що постійно присутній у пам'яті комп'ютера, проводить антивірусну перевірку всіх файлів безпосередньо в момент їх запуску, створення або копіювання, що дозволяє контролювати всі файлові операції та запобігати зараженню навіть технологічно досконалими вірусами.

Антивірусна фільтрація електронної пошти запобігає можливості проникнення вірусів на комп'ютер. Модуль Mail Checker, що вбудовується, не тільки видаляє віруси з тіла листа, але і повністю відновлює оригінальний вміст електронних листів. Комплексна перевірка поштової кореспонденції не дозволяє вірусу сховатися в жодному з елементів електронного листа за рахунок перевірки всіх ділянок вхідних та вихідних повідомлень, включаючи прикріплені файли (у тому числі архівовані та упаковані) та інші повідомлення будь-якого рівня вкладеності.

Антивірусний сканер Scanner дозволяє проводити повномасштабну перевірку всього вмісту локальних та мережевих дисків на вимогу.

Перехоплювач скрипт-вірусів Script Checker забезпечує антивірусну перевірку всіх скриптів, що запускаються, до того, як вони будуть виконані.

Підтримка архівованих та компресованих файлів забезпечує можливість видалення шкідливого коду із зараженого компресованого файлу.

Ізоляція інфікованих об'єктів забезпечує ізоляцію заражених та підозрілих об'єктів з подальшим їх переміщенням до спеціально організованої директорії для подальшого аналізу та відновлення.

Автоматизація антивірусного захисту дозволяє створювати розклад та порядок роботи компонентів програми; автоматично завантажувати та підключати нові оновлення антивірусної бази через Інтернет; розсилати попередження про виявлені вірусні атаки електронною поштою тощо.

Norton AntiVirus 2003 Professional Edition

Розробник: Компанія Symantec. Web-сайт: http://www.symantec.ru/.

Ціна 89,95 євро.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

Ціна 39,95 дол.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

ВСТУП

Ми живемо на стику двох тисячоліть, коли людство набуло епохи нової науково-технічної революції.

До кінця двадцятого століття люди опанували багато таємниць перетворення речовини та енергії і зуміли використовувати ці знання для поліпшення свого життя. Але крім речовини та енергії в житті людини величезну роль відіграє ще одна складова – інформація. Це найрізноманітніші відомості, повідомлення, звістки, знання, уміння.

У середині нашого століття з'явилися спеціальні пристрої - комп'ютери, орієнтовані зберігання та перетворення інформації та відбулася комп'ютерна революція.

Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері.

Незважаючи на ухвалені в багатьох країнах закони про боротьбу з комп'ютерними злочинами та розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами та захисту від них. Це й стало стимулом для вибору теми моєї роботи.

Саме про це я розповідаю у своєму рефераті. Я показую основні види вірусів, розглядаю схеми їхнього функціонування, причини їх появи та шляхи проникнення в комп'ютер, а також пропоную заходи щодо захисту та профілактики.

Мета роботи – ознайомити користувача з основами комп'ютерної вірусології, навчити виявляти віруси та боротися з ними. Метод роботи - аналіз друкованих видань з цієї теми. Переді мною постало непросте завдання – розповісти про те, що ще дуже мало досліджувалося, і як це вийшло – судити вам.

1. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯ

1.1. Властивості комп'ютерних вірусів

Наразі застосовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка одержала назву комп'ютерного вірусу.

Що таке комп'ютерний вірус? Формальне визначення цього поняття досі не вигадане, і є серйозні сумніви, що воно взагалі може бути дано. Численні спроби дати «сучасне» визначення вірусу не сприяли успіху. Щоб відчути всю складність проблеми, спробуйте, наприклад, дати визначення поняття «редактор». Ви або вигадаєте щось дуже спільне, або почнете перераховувати всі відомі типи редакторів. І те, й інше навряд чи можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як певний клас програм.

Насамперед вірус - це програма. Таке просте твердження саме собою здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на моніторі, але не може перевернути монітор. До легенд про віруси-вбивці, які «знищують операторів за допомогою виведення на екран смертельної кольорової гами 25-м кадром» також не варто ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують «свіжі новини з комп'ютерних фронтів», які при найближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.

Вірус - програма, що має здатність до самовідтворення. Така здатність є єдиним засобом, властивим для всіх типів вірусів. Але не лише віруси здатні до самовідтворення. Будь-яка операційна система та ще безліч програм здатні створювати власні копії. Копії ж вірусу як зобов'язані повністю збігатися з оригіналом, а й можуть взагалі із нею не збігатися!

Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть імена інших програм. Причина зрозуміла: вірус повинен у якийсь спосіб забезпечити передачу собі управління.

1.2. Класифікація вірусів

В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:

¨ середовище проживання

¨ способу зараження довкілля

¨ впливу

¨ особливостям алгоритму

В залежності від довкілля віруси можна розділити на мережні, файлові, завантажувальні та файлово-завантажувальні. Мережеві вірусипоширюються різними комп'ютерними мережами. Файлові віруси впроваджуються головним чином виконувані модулі, т. е. У файли, мають розширення COM і EXE. Файлові вірусиможуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують керування і, отже, втрачають здатність до розмноження. Завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска (Master Boot Re-

cord). Файлово-завантажувальнівіруси заражають як файли, і завантажувальні сектора дисків.

За способом зараження віруси поділяються на резидентні та нерезидентні. Резидентний віруспри зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків тощо) і впроваджується у них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимкнення або перезавантаження комп'ютера. Нерезидентні вірусине заражають пам'ять комп'ютера і активні обмежений час.

За ступенем впливу віруси можна поділити на такі види:

¨ безпечні, що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті та пам'яті на дисках, дії таких вірусів виявляються в будь-яких графічних або звукових ефектах

¨ небезпечнівіруси, які можуть призвести до різних порушень у роботі комп'ютера

¨ дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації у системних областях диска.

2. ОСНОВНІ ВИДИ ВІРУСІВ І СХЕМИ ЇХ ФУНКЦІОНУВАННЯ

Серед усієї різноманітності вірусів можна виділити такі основні групи:

¨ завантажувальні

¨ файлові

¨ файлово-завантажувальні

Тепер детальніше про кожну з цих груп.

2.1. Завантажувальні віруси

Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б за суворого розбору алгоритму його функціонування.

Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаження, що зберігається у постійно запам'ятовуючому пристрої (ПЗП) тобто. ПНЗ ПЗП.

Ця програма тестує обладнання і за успішного завершення перевірок намагається знайти дискету в дисководі А:

Будь-яка дискета розмічена т.зв. сектори та доріжки. Сектори поєднуються в кластери, але це для нас несуттєво.

Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (у цих секторах не можуть розміщуватись ваші дані). Серед службових секторів нас поки що цікавить один - т.зв. сектор початкового завантаження(Boot-sector).

У секторі початкового завантаження зберігається інформація про дискет- кількість поверхонь, кількість доріжок, кількість секторів та ін. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження(ПНЗ), яка має завантажити саму операційну систему та передати їй керування.

Таким чином, нормальна схема початкового завантаження така:

Тепер розглянемо вірус. У завантажувальних вірусах виділяють дві частини – т.зв. головута т.зв. хвіст. Хвіст, власне кажучи, може бути порожнім.

Нехай у вас є чиста дискета та заражений комп'ютер, під яким ми розуміємо комп'ютер із активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з'явилася відповідна жертва - у нашому випадку не захищена від запису і ще не заражена дискета, він починає зараження. Заражаючи дискету, вірус робить такі действия:

Виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, у найпростішому та традиційному випадку зайняті вірусом сектори позначаються як збійні (bad)

Копіює у виділену область диска свій хвіст та оригінальний (здоровий) завантажувальний сектор

Заміщує програму початкового завантаження у завантажувальному секторі (справжньому) своєю головою

Організовує ланцюжок передачі управління згідно зі схемою.

Таким чином, голова вірусу тепер першою отримує управління, вірус встановлюється на згадку і передає управління оригінальному завантажувальному сектору. У ланцюжку

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

з'являється нова ланка:

ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА

Мораль ясна: ніколи не залишайте (випадково) дискет у дисководі А.

Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. При цьому, на відміну від дискет на вінчестері, є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера першою бере на себе управління програма початкового завантаження MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, лише один з них позначений як завантажувальний (boot). Програма початкового завантаження MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні сектори завантаження відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів. програма початкового завантаження в MBRі програма початкової завантаження у бут-секторізавантажувального диска.

2.2. Файлові віруси

Розглянемо схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які завжди резидентні, файлові віруси зовсім не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований файл, що виконується. При запуску такого файлу вірус отримує керування, робить деякі дії та передає керування «господарю» (хоча ще невідомо, хто в такій ситуації господар).

Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - відповідний за типом файл, який ще не заражений (у тому випадку, якщо вірус "пристойний", а то трапляються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус впроваджується в його код, щоб отримати керування під час запуску цього файлу. Крім своєї основної функції - розмноження, вірус цілком може зробити щось хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, він встановиться на згадку й отримає можливість заражати файли і виявляти інші здібності як під час роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження файлу, що виконується, завжди можна виявити. Але, змінюючи код файлу, вірус не обов'язково вносить інші зміни:

à він не повинен змінювати довжину файлу

à ділянки коду, що не використовуються.

à не повинен змінювати початок файлу

Нарешті, до файлових вірусів часто відносять віруси, які «мають деяке ставлення до файлів», але з повинні впроваджуватися у тому код. Розглянемо як приклад схему функціонування вірусів відомого сімейства Dir-II. Не можна не визнати, що з'явившись у 1991 р. ці віруси стали причиною справжньої епідемії чуми в Росії. Розглянемо модель, де ясно видно основна ідея вірусу. Інформація про файли зберігається у каталогах. Кожна запис каталогу включає ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластерафайлу і т.зв. резервні байти. Останні залишені "про запас" і самої MS-DOS не використовуються.

При запуску виконуваних файлів система зчитує із запису в каталозі перший кластер файлу і далі інші кластери. Віруси сімейства Dir-II роблять таку «реорганізацію» файлової системи: сам вірус записується в деякі вільні сектори диска, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластери виконуваних файлів у резервних бітах, а на місце цієї інформації записує посилання на себе.

Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється на згадку і передає управління викликаному файлу.

2.3. Завантажувально-файлові віруси

Ми не розглядатимемо модель завантажувально-файлового вірусу, бо ніякої нової інформації ви при цьому не дізнаєтесь. Але тут видається зручний випадок коротко обговорити вкрай «популярний» останнім часом завантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і файли, що виконуються. Основна руйнівна дія – шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а зашифрувавши половину жорсткого диска радісно повідомляє про це. Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR та файлів, треба розшифрувати зашифровану інформацію. Найбільш «смертельна» дія – просто переписати новий здоровий MBR. Головне – не панікуйте. Зважте все спокійно, порадьтеся з фахівцями.

2.4. Поліморфні віруси

Більшість питань пов'язані з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів на сьогоднішній день є найбільш небезпечним. Пояснимо ж, що це таке.

Поліморфні віруси - віруси, що модифікують свій код у заражених програмах таким чином, що два екземпляри одного і того ж вірусу можуть не збігатися в жодному биті.

Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, а й містять код генерації шифрувальника і розшифровувача, що відрізняє їх від звичайних шифрувальних вірусів, які також можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника та розшифровувача.

Поліморфні віруси - це віруси з розшифрувальниками, що самодифікуються. Мета такого шифрування: маючи заражений та оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблювання. Цей код зашифрований і є безглуздим набором команд. Розшифровка проводиться самим вірусом безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таке розшифрування «по ходу справи», може знову шифрувати ділянки, що вже відпрацювали. Все це робиться задля утруднення аналізу коду вірусу.

3. ІСТОРІЯ КОМП'ЮТЕРНОЇ ВІРУСОЛОГІЇ І ПРИЧИНИ ПОЯВИ ВІРУСІВ

Історія комп'ютерної вірусології представляється сьогодні постійною «перегонкою за лідером», причому, незважаючи на всю міць сучасних антивірусних програм, лідерами є саме віруси. Серед тисяч вірусів лише кілька десятків є оригінальними розробками, які використовують дійсно нові ідеї. Решта – «варіації на тему». Але кожна оригінальна технологія змушує творців антивірусів пристосовуватися до нових умов, наздоганяти вірусну технологію. Остання можна оскаржити. Наприклад, 1989 року американський студент зумів створити вірус, який вивів з ладу близько 6000 комп'ютерів Міністерства оборони США. Або епідемія відомого вірусу Dir-II, що вибухнула 1991 року. Вірус використовував справді оригінальну, принципово нову технологію і спочатку зумів широко поширитися за рахунок недосконалості традиційних антивірусних засобів.

Або сплеск комп'ютерних вірусів у Великій Британії: Крістоферу Пайну вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме останній був найнебезпечнішим, його можна було накладати на перші два віруси, і через це після кожного прогону програми вони змінювали конфігурацію. Тому їх неможливо було знищити. Щоб розповсюдити віруси, Пайн скопіював комп'ютерні ігри та програми, заразив їх, а потім відправив назад до мережі. Користувачі завантажували у свої комп'ютери заражені програми та інфікували диски. Ситуація ускладнилася тим, що Пайн примудрився занести віруси і в програму, яка з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували ще одну. У результаті були знищені файли безлічі фірм, збитки становили мільйони фунтів стерлінгів.

Широку популярність отримав американський програміст Морріс. Він відомий як автор вірусу, який у листопаді 1988 року заразив близько 7 тисяч персональних комп'ютерів, підключених до Internet.

Причини появи та поширення комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту та протидії з боку операційної системи персонального комп'ютера

4. ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ У КОМП'ЮТЕР І МЕХАНІЗМ РОЗПОДІЛУ ВІРУСНИХ ПРОГРАМ

Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі та лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.

Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх команд знову повернулося до робочої програми. Отримавши доступом до управління, вірус передусім переписує себе у іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли.

Після зараження програми вірус може виконати якусь диверсію, не надто серйозну, щоб не привернути увагу. І нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну. Таким чином заразиться все програмне забезпечення.

Для ілюстрації процесу зараження комп'ютерної програми вірусом можна буде уподібнити дискову пам'ять старомодному архіву з папками на тасьмі. У папках розташовані програми, а послідовність операцій із впровадження вірусу буде у цьому випадку виглядати так.(див. Додаток 1)

5. ОЗНАКИ ПОЯВИ ВІРУСІВ

При зараженні комп'ютера вірусом важливо виявити його. І тому слід знати про основні ознаки прояви вірусів. До них можна віднести такі:

¨ припинення роботи або неправильна робота програм, що раніше успішно функціонували

¨ повільна робота комп'ютера

¨ неможливість завантаження операційної системи

¨ зникнення файлів і каталогів або спотворення їх вмісту

¨ зміна дати та часу модифікації файлів

¨ зміна розмірів файлів

¨ несподіване значне збільшення кількості файлів на диску

¨ суттєве зменшення розміру вільної оперативної пам'яті

¨ виведення на екран непередбачених повідомлень або зображень

¨ подача непередбачених звукових сигналів

¨ часті зависання та збої в роботі комп'ютера

Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.

6. Виявлення ВІРУСІВ І ЗАХОДИ З ЗАХИСТУ І ПРОФІЛАКТИКИ

6.1. Як виявити вірус ? Традиційний підхід

Отже, якийсь вірусописач створює вірус і запускає його в життя. Деякий час він, можливо, погуляє досхочу, але рано чи пізно «лафа» закінчиться. Хтось запідозрить щось недобре. Як правило, віруси виявляють звичайні користувачі, які помічають ті чи інші аномалії у поведінці комп'ютера. Вони, як правило, не здатні самостійно впоратися з інфекцією, але цього від них і не потрібно.

Необхідно лише, щоб якнайшвидше вірус потрапив до рук фахівців. Професіонали його вивчатимуть, з'ясовуватимуть, «що він робить», «як він робить», «коли він робить» тощо. У процесі такої роботи збирається вся необхідна інформація про даний вірус, зокрема, виділяється сигнатура вірусу - послідовність байтів, яка цілком виразно його характеризує. Для побудови сигнатури зазвичай беруться найважливіші та характерні ділянки коду вірусу. Одночасно стають зрозумілими механізми роботи вірусу, наприклад, у разі завантажувального вірусу важливо знати, де він ховає свій хвіст, де знаходиться оригінальний завантажувальний сектор, а у разі файлового – спосіб зараження файлу. Отримана інформація дозволяє з'ясувати:

· як виявити вірус, для цього уточнюються методи пошуку сигнатур у потенційних об'єктах вірусної атаки - файлах та \ або завантажувальних секторах

· як знешкодити вірус, якщо це можливо, розробляються алгоритми видалення вірусного коду з уражених об'єктів

6.2. Програми виявлення та захисту від вірусів

Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називаються антивірусними . Розрізняють такі види антивірусних програм:

· Програми-детектори

· програми-лікарі або фаги

· Програми-ревізори

· Програми-фільтри

· Програми-вакцини або імунізатори

Програми-детекториздійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті та у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.

Програми-лікаріабо фаги, а також програми-вакцинияк знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення версій.

Програми-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється від змін, внесених вірусом. До програм-ревізорів належить широко поширена в Росії програма Adinf.

Програми-фільтриабо «сторожа»є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

· Спроби корекції файлів з розширеннями COM, EXE

· Зміна атрибутів файлу

· Прямий запис на диск за абсолютною адресою

· Запис у завантажувальні сектори диска

При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є Vsafe, що входить до складу пакета утиліт MS DOS.

Вакциниабо імунізатори- це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.

6.3. Основні заходи щодо захисту від вірусів

Для того, щоб не піддати комп'ютер зараженню вірусами та забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:

¨ оснастить свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest, Doctor Web, та постійно відновлюйте їх версії

¨ перед зчитуванням дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера

¨ при перенесенні на свій комп'ютер файлів в архівованому вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки лише новозаписаними файлами

¨ періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті та системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети

¨ завжди захищайте свої дискети від запису при роботі на інших комп'ютерах, якщо на них не буде записуватися інформація

¨ обов'язково робіть архівні копії на дискетах цінної для вас інформації

¨ не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб унеможливити зараження комп'ютера завантажувальними вірусами

¨ використовуйте антивірусні програми для вхідного контролю всіх файлів, що виконуються з комп'ютерних мереж

¨ для забезпечення більшої безпеки застосування Aidstest та Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска Adinf

ВИСНОВОК

Отже, можна навести масу фактів, що свідчать про те, що загроза інформаційному ресурсу зростає з кожним днем, піддаючи паніку відповідальних осіб у банках, на підприємствах і в компаніях у всьому світі. І загроза ця походить від комп'ютерних вірусів, які спотворюють чи знищують життєво важливу, цінну інформацію, що може призвести не лише до фінансових втрат, а й до людських жертв.

Комп'ютерний вірус - спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера та в обчислювальні мережі з метою порушення роботи програм, псування файлів та каталогів, створення різноманітних перешкод у роботі комп'ютера.

В даний час відомо понад 5000 програмних вірусів, кількість яких безперервно зростає. Відомі випадки, коли створювалися навчальні посібники, які допомагають написання вірусів.

Основні види вірусів: завантажувальні, файлові, файлово-завантажувальні. Найбільш небезпечний вид вірусів – поліморфні.

З історії комп'ютерної вірусології ясно, що будь-яка оригінальна комп'ютерна технологія змушує творців антивірусів пристосовуватися до нових технологій, постійно вдосконалити антивірусні програми.

Причини появи та поширення вірусів приховані з одного боку у психології людини, з іншого боку – з відсутністю засобів захисту в операційній системі.

Основні шляхи проникнення вірусів - знімні диски та комп'ютерні мережі. Щоб цього не сталося, дотримуйтесь заходів щодо захисту. Також для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які називають антивірусними. Якщо ви все ж таки виявили в комп'ютері вірус, то за традиційним підходом краще покликати професіонала, щоб той далі розібрався.

Але деякі властивості вірусів спантеличують навіть фахівців. Ще зовсім недавно важко було уявити, що вірус може пережити холодне перезавантаження або поширюватися через файли документів. У таких умовах не можна не надавати значення хоча б початковій антивірусній освіті користувачів. При всій серйозності проблеми жоден вірус не здатний завдати стільки шкоди, скільки побілілий користувач з тремтячими руками!

Отже, здоров'я ваших комп'ютерів, збереження ваших даних – у ваших руках!

бібліографічний список

1. Інформатика: Підручник / за ред. Проф. Н.В. Макарової. - М.: Фінанси та статистика, 1997.

2. Енциклопедія таємниць та сенсацій / Підгот. тексту Ю.М. Петрова. - Мн.: Література, 1996.

3. Безруков Н.М. Комп'ютерні віруси - М: Наука, 1991.

4. Мостовий Д.Ю. Сучасні технології боротьби з вірусами// Світ ПК. - №8. – 1993.

Незважаючи на те, що загальні засоби захисту інформації та профілактичні заходи дуже важливі для захисту від вірусів, необхідне застосування спеціалізованих програм. Ці програми можна поділити на кілька видів:

• ? Програми-детектори перевіряють, чи є у файлах на диску специфічна комбінація байтів (сигнатура) для відомого вірусу та повідомляють про це користувачеві (VirusScan/SCAN/фірми McAfee Associates).
• ? Програми-лікарі або фаги «лікують» заражені програми, «викушуючи» із заражених програм тіло вірусу, як з відновленням, так і без відновлення довкілля (зараженого файлу) - модуль програми SCAN, що лікує, - програма CLEAN.
• ? Програми доктора-детектори (Aidstest Лозинського, Doctor Web Данилова, MSAV, Norton Antivirus, AVP Касперського) здатні визначити наявність відомого вірусу на диску та зцілити заражений файл. Найпоширеніша група антивірусних програм на сьогоднішній день.

У найпростішому випадку команда перевірки вмісту диска на наявність вірусів має вигляд: aidstest /ключ1/ключ 2 /ключ 3 /---

• ? Програми-фільтри (сторожі) розташовуються резидентно в оперативній пам'яті ПК та перехоплюють ті звернення до операційної системи, які використовуються вірусами для розмноження та завдання шкоди та повідомляють про них користувачу:
• - Спроба зіпсувати головний файл OS COMMAND.COM;
• - Спроба прямого запису на диск (попередній запис видаляється), при цьому видається повідомлення, що якась програма намагається копіювати на диск;
• - форматування диска,
• - резидентне розміщення програми у пам'яті.

Виявивши спробу однієї з цих дій, програма-фільтр видає користувачеві опис ситуації та вимагає від нього підтвердження. Користувач може дозволити чи заборонити виконання цієї операції. Контроль дій, притаманний вірусів, здійснюється шляхом заміни обробників відповідних переривань. До недоліків цих програм можна віднести настирливість (сторож, наприклад, видає попередження про будь-яку спробу копіювання файлу, що виконується), можливі конфлікти з іншим програмним забезпеченням, обхід сторожів деякими вірусами. Приклади фільтрів: Anti4us, Vsafe, Disk Monitor.

Слід зазначити, що на сьогоднішній день багато програм класу доктор-детектор ще й мають резидентний модуль - фільтр (сторож), наприклад, DR Web, AVP, Norton Antivirus. Таким чином, такі програми можна класифікувати як доктор-детектор-сторж.

• ? Апаратно-програмні антивірусні засоби (Апаратно-програмний комплекс Sheriff). В одному ряду з програмами-сторожами стоять апаратно-програмні антивірусні засоби, що забезпечують надійніший захист від проникнення вірусу в систему. Такі комплекси складаються із двох частин: апаратної, яка встановлюється у вигляді мікросхеми на Материнську плату та програмної, що записується на диск. Апаратна частина (контролер) відстежує всі операції запису на диск, програмна частина, перебуваючи в оперативній пам'яті резидентно, відстежує всі операції введення/виведення інформації. Однак можливість застосування цих засобів вимагає уважного розгляду з точки зору конфігурації додаткового обладнання, що використовується на ПК, наприклад, дискових контролерів, модемів або мережевих плат.
• ? Програми-ревізори (Adinf/Advanced Disk infoscope/c лікувальним блоком ADinf Cure Module Мостового). Програми-ревізори мають дві стадії роботи. Спочатку вони запам'ятовують відомості про стан програм та системних областей дисків (завантажувального сектора та сектора з таблицею розбиття жорсткого диска на логічні розділи). Передбачається, що в цей момент програми та системні області дисків не заражені. Потім при порівнянні системних областей та дисків з вихідними у разі виявлення невідповідності повідомляється користувачеві. Програми-ревізори здатні виявити невидимі (STEALTH) віруси. Перевірка довжини файлу недостатня, деякі віруси змінюють довжину заражених файлів. Більш надійна перевірка - прочитати весь файл і визначити його контрольну суму (побитно). Змінити весь файл так, щоб його контрольна сума залишилася незмінною, практично неможливо. До незначних недоліків ревізорів можна віднести те, що для безпеки вони повинні використовуватися регулярно, наприклад, щодня викликатися з файлу AUTOEXEC.BAT. Але безперечними перевагами є висока швидкість перевірок і те, що вони не вимагають частого оновлення версій. Версії ревізора навіть піврічної давності надійно виявляють та видаляють сучасні віруси.
• ? Програми-вакцини чи імунізатори (CPAV). Програми-вакцини модифікують програми та диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми та диски вже зараженими. Робота цих програм недостатньо ефективна.

Умовно стратегію захисту від вірусу можна визначити як багаторівневу «ешелоновану» оборону. Структурно це може мати такий вигляд. Засобам розвідки в «обороні» від вірусів відповідають програми-детектори, що дозволяють визначати новостворене програмне забезпечення на наявність вірусів. На передньому краї оборони знаходяться програми-фільтри, які знаходяться резидентно в пам'яті комп'ютера. Ці програми можуть першими повідомити про роботу вірусу. Другий ешелон «оборони» становлять програми-ревізори. Ревізори виявляють напад вірусу навіть тоді, коли він зумів проникнути через передній край оборони. Програми-лікарі використовуються для відновлення заражених програм, якщо копії зараженої програми немає в архіві, але вони не завжди лікують правильно. Лікарі-ревізори виявляють напад вірусу та лікують заражені програми, причому контролюють правильність лікування. Найглибший ешелон оборони – це засоби розмежування доступу. Вони не дозволяють вірусам та неправильно працюючим програмам, навіть якщо вони проникли в ПК, зіпсувати важливі дані. У «стратегічному резерві» є архівні копії інформації та «еталонні» дискети з програмними продуктами. Вони дозволяють відновити інформацію у разі її пошкодження.

Шкідливі дії вірусів кожного типу можуть бути найрізноманітнішими. Це і видалення важливих файлів або навіть "прошивки" BIOS, і передача особистої інформації, наприклад паролів, за певною адресою, організація несанкціонованих розсилок електронної пошти та атак на деякі сайти. Можливий і запуск телефонного дзвінка через стільниковий телефон на платні номери. Утиліти прихованого адміністрування (backdoor) здатні навіть передати зловмисникові всю повноту управління комп'ютером. На щастя, з усіма цими бідами можна успішно боротися, і основною зброєю у цій боротьбі буде, звісно, ​​антивірусне програмне забезпечення.

Антивірус Касперського. Мабуть, «Антивірус Касперського» - найвідоміший у Росії продукт цього, а прізвище «Касперський» стало синонімом борця зі шкідливими кодами. Однойменна лабораторія не тільки постійно випускає нові версії свого захисного програмного забезпечення, але й веде просвітницьку роботу серед користувачів комп'ютерів. Найсвіжіша, дев'ята версія «Антивіруса Касперського», як і попередні релізи, відрізняється простим і максимально прозорим інтерфейсом, що поєднує всі необхідні утиліти в одному вікні. Завдяки майстру установки та інтуїтивно зрозумілим пунктам меню налаштувати цей продукт здатний навіть користувач-початківець. Потужність алгоритмів, що використовуються, задовольнить і професіоналів. З детальним описом кожного з виявлених вірусів можна ознайомитись, викликавши відповідну сторінку в Інтернеті безпосередньо із програми.

Dr. Web. Ще один популярний російський антивірус, який змагається за популярністю з «Антивірусом Касперського», - Dr. Web. Його ознайомча версія має цікаву особливість: вона вимагає обов'язкової реєстрації через Інтернет. З одного боку, це дуже добре - відразу після реєстрації проводиться оновлення антивірусних баз і користувач отримує нові дані про сигнатури. З іншого боку, встановити ознайомлювальну версію автономно неможливо, та й, як показав досвід, при нестійкому поєднанні неминучі проблеми.

Panda Antivirus + Firewall 2007. Комплексне рішення в області комп'ютерної безпеки - пакет Panda Antivirus + Firewall 2007 - включає крім антивірусної програми брандмауер, що відстежує мережеву активність. Інтерфейс основного вікна програми вирішений в «природних» зелених тонах, але, незважаючи на зовнішню привабливість, система переходів по меню вибудувана незручно, і користувач може цілком заплутатися в налаштуваннях.

Пакет Panda містить відразу кілька оригінальних рішень, таких як фірмова технологія пошуку невідомих загроз TruePrevent, заснована на найсучасніших евристичних алгоритмах. Варто звернути увагу і на утиліту пошуку вразливих місць комп'ютера – вона оцінює небезпеку «дір» у системі безпеки та пропонує завантажити необхідні оновлення.

Norton Antivirus 2005. Основне враження від продукту знаменитої компанії Symantec – антивірусного комплексу Norton Antivirus 2005 – його орієнтація на потужні обчислювальні системи. Реакція інтерфейсу Norton Antivirus 2005 на дії користувача відчутно запізнюється. Крім того, при інсталяції вона висуває досить жорсткі вимоги до версій операційної системи та Internet Explorer. На відміну від Dr.Web, Norton Antivirus не вимагає обов'язкового оновлення вірусних баз під час встановлення, але про те, що вони застаріли, буде нагадувати протягом усього часу роботи.

McAfee VirusScan. Цікавий антивірусний продукт, який, як запевняють розробники, сканером № 1 у світі - McAfee VirusScan, - ми вибрали для випробувань тому, що в ряді аналогічних додатків він виділявся великим розміром дистрибутива (більше 40 Мбайт). Вважаючи, що така величина обумовлена ​​широким функціоналом, ми приступили до інсталяції і виявили, що крім антивірусного сканера до нього входять брандмауер, а також утиліти очищення жорсткого диска та гарантованого видалення об'єктів з вінчестера (файл-шреддер).

Питання до розділів 6 та 7

• 1. Етапи розвитку засобів та технологій інформаційної безпеки.
• 2. Складові стандартної моделі безпеки.
• 3. Джерела загроз безпеці та їх класифікація.
• 4. Ненавмисні загрози інформаційної безпеки.
• 5. Умисні загрози інформаційної безпеки.
• 6. Класифікація каналів витоку інформації.
• 7. Регулювання проблем інформаційної безпеки.
• 8. Структура державної системи захисту.
• 9. Методи та засоби захисту інформації.
• 10. Класифікація загроз для безпеки даних.
• 11. Методи захисту від вірусів.
• 12. Методи контролю цілісності.
• 13. Класифікація комп'ютерних вірусів.
• 14. Засоби захисту від вірусів.
• 15. Профілактичні антивірусні заходи.
• 16. Класифікація програмних антивірусних продуктів.

Основні методи визначення вірусів

нтивірусні програми розвивалися паралельно з еволюцією вірусів. У міру того, як з'являлися нові технології створення вірусів, ускладнювався і математичний апарат, який використовувався в розробці антивірусів.

Перші антивірусні алгоритми будувалися з урахуванням порівняння з еталоном. Йдеться про програми, в яких вірус визначається класичним ядром за деякою маскою. Сенс алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб обсяг файлу був прийнятних розмірів, а з іншого досить великий, щоб уникнути помилкових спрацьовувань (коли «свій» сприймається як «чужий», і навпаки).

Перші антивірусні програми, побудовані за цим принципом (так звані сканери-поліфаги), знали кілька вірусів і вміли їх лікувати. Створювалися ці програми так: розробник, отримавши код вірусу (код вірусу спочатку був статичен), становив з цього коду унікальну маску (послідовність 10-15 байт) і вносив їх у базу даних антивірусної програми. Антивірусна програма сканувала файли і, якщо знаходила цю послідовність байтів, робила висновок у тому, що файл інфікований. Ця послідовність (сигнатура) вибиралася таким чином, щоб вона була унікальною і не зустрічалася у звичайному наборі даних.

Описані підходи використовували більшість антивірусних програм аж до середини 90-х років, коли з'явилися перші поліморфні віруси, які змінювали своє тіло за непередбачуваними заздалегідь алгоритмами. Тоді сигнатурний метод був доповнений так званим емулятор процесора, що дозволяє знаходити шифруються і поліморфні віруси, що не мають у явному вигляді постійної сигнатури.

Принцип емуляції процесора демонструється на рис. 1 . Якщо звичайно умовний ланцюжок складається з трьох основних елементів: ЦПУ®ОС®Програма, то при емуляції процесора до такого ланцюжка додається емулятор. Емулятор відтворює роботу програми в деякому віртуальному просторі і реконструює її оригінальний вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне ядро, що сканує.

Другий механізм, що з'явився в середині 90-х років і використовується всіма антивірусами, це евристичний аналіз. Справа в тому, що апарат емуляції процесора, який дозволяє отримати вичавки дій, що здійснюються аналізованою програмою, не завжди дає можливість здійснювати пошук за цими діями, але дозволяє зробити деякий аналіз і висунути гіпотезу типу «вірус чи вірус?».

У разі прийняття рішення грунтується на статистичних підходах. А відповідна програма називається евристичним аналізатором.

Для того, щоб розмножуватися, вірус повинен здійснювати будь-які конкретні дії: копіювання на згадку про пам'ять, запис в секторі і т.д. Евристичний аналізатор (він є частиною антивірусного ядра) містить список таких дій, переглядає код програми, що виконується, визначає, що вона робить, і на основі цього приймає рішення, є дана програма вірусом чи ні.

При цьому відсоток пропуску вірусу, навіть невідомого антивірусної програми, дуже малий. Ця технологія зараз широко використовується у всіх антивірусних програмах.

Класифікація антивірусних програм

ласифікуються антивірусні програми на чисті антивіруси та антивіруси подвійного призначення (рис. 2).

Чисті антивіруси відрізняються наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принциповим у разі є те, що можливе лікування, якщо відомий вірус. Чисті антивіруси, у свою чергу, на кшталт доступу до файлів поділяються на дві категорії: здійснюють контроль за доступом (on access) або на вимогу користувача (on demand). Зазвичай on access-продукти називають моніторами, а on demand-продукти – сканерами.

Оn demand-продукт працює за такою схемою: користувач хоче щось перевірити і видає запит (demand), після чого здійснюється перевірка. On access-продукт - це резидентна програма, яка відстежує доступ і в момент доступу здійснює перевірку.

Крім того, антивірусні програми, як і віруси, можна розділити залежно від платформи, всередині якої даний антивірус працює. У цьому сенсі поряд із Windows або Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Програми подвійного призначення - це програми, що використовуються як в антивірусах, так і в ПЗ, яке не є антивірусом. Наприклад, CRC-checker – ревізор змін на основі контрольних сум – може використовуватися не тільки для лову вірусів. Різновидом програм подвійного призначення є поведінкові блокатори, які аналізують поведінку інших програм та при виявленні підозрілих дій блокують їх. Від класичного антивірусу з антивірусним ядром, що розпізнає та лікує від вірусів, які аналізувалися в лабораторії і яким було прописано алгоритм лікування, поведінкові блокатори відрізняються тим, що лікувати від вірусів вони не вміють, оскільки нічого про них не знають. Дана властивість блокаторів дозволяє їм працювати з будь-якими вірусами, у тому числі і з невідомими. Це сьогодні набуває особливої ​​актуальності, оскільки розповсюджувачі вірусів та антивірусів використовують одні й самі канали передачі даних, тобто Інтернет. При цьому антивірусній компанії завжди потрібен час на те, щоб отримати сам вірус, проаналізувати його та написати відповідні лікувальні модулі. Програми з групи подвійного призначення таки дозволяють блокувати поширення вірусу до того моменту, поки компанія не напише лікувальний модуль.

Огляд найпопулярніших персональних антивірусів

Огляд увійшли найпопулярніші антивіруси для персонального використання п'яти відомих розробників. Слід зазначити, що деякі з розглянутих нижче компаній пропонують кілька версій персональних програм, що різняться за функціональністю та відповідно за ціною. У нашому огляді ми розглянули по одному продукту від кожної компанії, вибравши найбільш функціональну версію, яка зазвичай називається Personal Pro. Інші варіанти персональних антивірусів можна знайти на відповідних веб-сайтах.

Антивірус Касперського

Personal Pro v. 4.0

Розробник: "Лабораторія Касперського". Web-сайт: http://www.kaspersky.ru/. Ціна 69 дол. (ліцензія на 1 рік).

Антивірус Касперського Personal Pro (рис. 3) - одне з найбільш популярних рішень на російському ринку і містить цілу низку унікальних технологій.

Поведінковий блокатор модуль Office Guard контролює виконання макросів, припиняючи всі підозрілі дії. Наявність модуля Office Guard дає стовідсотковий захист від макровірусів.

Ревізор Inspector відстежує всі зміни на вашому комп'ютері та, якщо ви знайдете несанкціоновані зміни у файлах або системному реєстрі, дозволяє відновити вміст диска та видалити шкідливі коди. Inspector не вимагає оновлення антивірусної бази: контроль цілісності здійснюється на основі зняття оригінальних відбитків файлів (CRC-сум) та їх подальшого порівняння зі зміненими файлами. На відміну від інших ревізорів, Inspector підтримує всі найбільш популярні формати файлів, що виконуються.

Евристичний аналізатор дозволяє захистити комп'ютер навіть від невідомих вірусів.

Фоновий перехоплювач вірусів Monitor, що постійно присутній у пам'яті комп'ютера, проводить антивірусну перевірку всіх файлів безпосередньо в момент їх запуску, створення або копіювання, що дозволяє контролювати всі файлові операції та запобігати зараженню навіть технологічно досконалими вірусами.

Антивірусна фільтрація електронної пошти запобігає можливості проникнення вірусів на комп'ютер. Модуль Mail Checker, що вбудовується, не тільки видаляє віруси з тіла листа, але і повністю відновлює оригінальний вміст електронних листів. Комплексна перевірка поштової кореспонденції не дозволяє вірусу сховатися в жодному з елементів електронного листа за рахунок перевірки всіх ділянок вхідних та вихідних повідомлень, включаючи прикріплені файли (у тому числі архівовані та упаковані) та інші повідомлення будь-якого рівня вкладеності.

Антивірусний сканер Scanner дозволяє проводити повномасштабну перевірку всього вмісту локальних та мережевих дисків на вимогу.

Перехоплювач скрипт-вірусів Script Checker забезпечує антивірусну перевірку всіх скриптів, що запускаються, до того, як вони будуть виконані.

Підтримка архівованих та компресованих файлів забезпечує можливість видалення шкідливого коду із зараженого компресованого файлу.

Ізоляція інфікованих об'єктів забезпечує ізоляцію заражених та підозрілих об'єктів з подальшим їх переміщенням до спеціально організованої директорії для подальшого аналізу та відновлення.

Автоматизація антивірусного захисту дозволяє створювати розклад та порядок роботи компонентів програми; автоматично завантажувати та підключати нові оновлення антивірусної бази через Інтернет; розсилати попередження про виявлені вірусні атаки електронною поштою тощо.

Norton AntiVirus 2003 Professional Edition

Розробник: Компанія Symantec. Web-сайт: http://www.symantec.ru/.

Ціна 89,95 євро.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

Ціна 39,95 дол.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

Для виявлення, видалення та захисту від комп'ютерних вірусів існує кілька різновидів програм. Такі програми називають антивірусними. Розрізняють такі види антивірусних програм:

1. вакцини;

2. детектори;

3. ревізори;

4. сторожа;

5. монітори;

6. поліфаги;

7. евристичні аналізатори.

Останнім часом, розробники антивірусних програм, пропонують користувачам комплексні рішення, які включають більшу частину або навіть всі вищевказані програми.

Вакцини– це програми, призначені для запобігання зараженню файлів від будь-якого одного конкретного вірусу. Вакцини застосовуються, якщо відсутні програми, які можуть знешкодити цей вірус. Вакцинація можлива лише від відомих вірусів, які можна виявити, але з будь-якої причини неможливо знешкодити. Програма-вакцина модифікує програму, що захищається або диск таким чином, щоб це не відбивалося на їх роботі, але при цьому справжній вірус вважав програму, що захищається зараженою і тому не впроваджувався в її виконуваний код.

Дії програм-вакцин засновано на одній із базових властивостей комп'ютерних вірусів, – не заражати повторно інфіковану програму. Для цих цілей, зараження програм, віруси використовують так звану «чорну мітку», яка б дозволяла відрізняти вже інфіковані програми від неінфікованих. Це може бути, наприклад, встановлення часу створення файлу в 24 години 1 хвилину та 62 секунди. Т.к. нормальні програми не можуть мати подібного часу створення, виявивши, що файл створений в цей час, вірус вважає, що він заражений і не намагається інфікувати його повторно.

Таким чином, програма вакцина просто створює «чорну мітку» конкретного вірусу на програмі, що захищається, не змінюючи її виконуваного коду, а вірус, виявляючи таку мітку, вже не намагається заразити даний файл.

«Детектори»або «сканери»- це програми, які здійснюють пошук характерної для конкретного вірусу сигнатури, в оперативній пам'яті комп'ютера або файлах на жорсткому диску, і при виявленні видають відповідне повідомлення. Недоліком цього класу антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам.

«Ревізори»- це програми, які відносяться до найнадійніших засобів захисту від вірусів.

Заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописує свій код в файл, що заражається, змінює системні області диска і т.д. На виявленні таких змін ґрунтується робота антивірусних програм, які називаються «ревізорами».

Вони побудовані за принципом, зворотному принципу побудови сканерів. Ревізори не знають в особу конкретні віруси, але вони запам'ятовують інформацію про кожен конкретний логічний диск і зміни цієї інформації, дозволяють надійно виявляти як відомі, так і нові, невідомі віруси.

У разі виявлення зміни відомостей про наявні на диску дані, вся відповідна інформація про змінений об'єкт надається користувачеві. А той вже сам повинен прийняти рішення: чи варто, наприклад, перевіряти даний файл на вірус (якщо це файл) або проігнорувати повідомлення, якщо файл змінювався самим користувачем.

Як правило, порівняння станів проводиться одразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, його контрольна сума, дата та час модифікації та деякі інші параметри. Програми-ревізори мають досить розвинені алгоритми, що дозволяють виявляти навіть віруси таких класів як "стелс" - віруси та "поліморфні" віруси, а деякі навіть можуть відновити вихідну версію програми, що перевіряється, видаливши зміни, внесені вірусом.

Перевагою ревізорів є висока швидкість перевірки дисків (у багато десятків разів перевищує швидкість роботи сканерів) і висока надійність виявлення навіть невідомих вірусів.

«Вартова»- це невеликі резидентні програми, призначені для виявлення підозрілих дій, що виникають під час роботи користувача на комп'ютері та характерних для вірусів. До таких дій можуть належати:

1. спроби корекції файлів з розширеннями COM, EXE, DLL і т.д., зазвичай незмінних;

2. зміна атрибутів файла;

4. запис у завантажувальні сектори диска;

При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити чи дозволити відповідну дію.

Одним із найбільших недоліків програм цього класу є те, що при неправильному (а іноді навіть і при правильному) налаштуванні вони буквально «засинають» користувача попередженнями, внаслідок чого їх зазвичай відключають.

«Монітори»(або програми-фільтри) – це антивірусні програми, засновані на принципі поліфага, і використовують із виявлення вірусів базу даних їх сигнатур. Антивірусний монітор розташовується резидентно в пам'яті комп'ютера, і перевіряє на наявність вірусів ті програми, над якими виробляє які-небудь маніпуляції користувач, або операційна система.

Зазвичай антивірусні монітори перевіряють усі файли, над якими виконуються такі маніпуляції:

1. запуск програми виконання;

2. зміна атрибутів файла;

3. відкриття документа (Microsoft Office);

4. копіювання чи переміщення файла;

5. редагування файлу;

Програми-фільтри є корисними з тієї точки зору, що допомагають користувачеві виявити вірус на ранній стадії його існування, ще до того моменту, коли поширення вірусу набуде характеру епідемії.

«Поліфаги»- це програми, які здатні успішно видалити вірус та відновити працездатність зіпсованих програм.

Для кожного вірусу шляхом аналізу його коду, способів зараження файлів і т.д. виділяється деяка, характерна лише йому, послідовність байт. Ця послідовність називається сигнатурою цього вірусу. Пошук вірусів, у разі, зводиться до пошуку їх сигнатур. Після виявлення вірусу в тілі програми (або завантажувального сектора, який також містить програму початкового завантаження), поліфаг знешкоджує його. Для цього розробники антивірусних засобів ретельно вивчають роботу кожного конкретного вірусу: що він псує, як псує, де він ховає те, що зіпсує тощо.

Сканування є традиційним методом пошуку вірусів. Воно полягає у пошуку сигнатур, виділених із раніше виявлених вірусів. Вірусні бази сучасних сканерів містять понад 40 000 масок вірусів.

Недоліком простих сканерів є їхня нездатність виявляти «поліморфні» віруси, що повністю змінюють свій код. Сучасні поліфаги використовують інші способи пошуку вірусів. Для цього вони використовують складніші алгоритми пошуку, що включають евристичний аналіз програм, що перевіряються. Враховуючи, що постійно з'являються нові віруси, програми-детектори і програми-поліфаги швидко застарівають, і потрібне регулярне оновлення версій баз даних, що містять сигнатури вірусів, що знову з'явилися. Як результат, сканери старіють вже у момент виходу нової версії.

Евристичні аналізатори– програми, що виконують під своїм контролем, програми, що перевіряються, і виявляють дії, характерні для вірусів. Завдяки цьому евристичні аналізатори здатні знаходити «поліморфні» віруси так легко, як і звичайні віруси, що не використовують механізму маскування, крім того, вони можуть виявляти віруси, раніше невідомі авторам антивірусної програми.

Для виявлення зазначених вірусів, що маскуються, використовуються спеціальні методи. До них можна віднести метод емуляції процесора. Метод полягає в імітації виконання процесором програми та підсовування вірусу фіктивних керуючих ресурсів. Обманутий таким чином вірус, який під контролем антивірусної програми, розшифровує свій код. Після цього сканер порівнює розшифрований код із кодами зі своєї бази даних сканування.