Защита информации от компьютерных вирусов

Компьютерным вирусом называется рукотворная программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи с целью прерывания и нарушения работы программ, порчи файлов, файловых систем и компонентов компьютера, нарушения нормальной работы пользователей.

Вирусам компьютерным, как и биологическим, характерны определенные стадии существования:

l латентная стадия, в которой вирусом никаких действий не предпринимается;

l инкубационная стадия, в которой основная задача вируса — создать как можно больше своих копий и внедрить их в среду обитания;

l активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.

Сейчас существуют сотни тысяч различных вирусов, и их можно классифицировать по нескольким признакам.

По среде обитания вирусы можно разделить на:

l файловые;

l загрузочные;

l файлово-загрузочные;

l сетевые;

l документные.

Файловые вирусычаще всего внедряются в исполняемые файлы, имеющие расширения EXE и COM (самые распространенные вирусы), но могут прикрепляться и к файлам с компонентами операционных систем, драйверам внешних устройств, объектным файлам и библиотекам, в командные пакетные файлы (вирус подключает к такому файлу исполняемые программы, предварительно заразив их), программные файлы на языках процедурного программирования (заражают при трансляции исполняемые файлы). Файловые вирусы могут создавать файлы-двойники (компаньон-вирусы). В любом случае файловые вирусы при запуске программ, ими зараженных, берут на время управление на себя и дезорганизуют работу своих «квартирных хозяев».

Загрузочные вирусывнедряются в загрузочный сектордискеты или в сектор, содержащий программу загрузки системного диска. При загрузке DOS с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицируют таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.

Файлово-загрузочные вирусыинтегрируют возможности двух предыдущих групп и обладают наибольшей «эффективностью» заражения.

Сетевые вирусыиспользуют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей).

Документные вирусы(их часто называют макро-вирусами) заражают и искажают текстовые файлы (.DOC) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макро-вирусы не только инфицируют создаваемые документы, но и рассылают копии этих документов по электронной почте (печально известный вирус «I love you» или менее навредивший вирус «Анна Курникова»).

По способу заражения среды обитания вирусы делятся на:

l резидентные;

l нерезидентные.

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.

Вирусы бывают неопасные и опасные. Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают; они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, имеющие далеко идущие последствия: искажение и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (перепрограммирование Flash-чипсета BIOS).

По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах, как:

l паразитические вирусы, изменяющие содержимое файлов или секторов диска; они достаточно просто могут быть обнаружены и уничтожены;

l вирусы-репликаторы («черви» WORM), саморазмножающиеся и распространяющиеся по телекоммуникациям и записывающие по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами «черви» деструктивных действий не выполняют, поэтому их часто называют псевдовирусами);

l «троянские» вирусы маскируются под полезные программы (часто существуют в виде самостоятельных программ, имеющих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение COM вместо EXE) и выполняют деструктивные функции (например затирают FAT); самостоятельно размножаться, как правило, не могут;

l вирусы-«невидимки» (стелс-вирусы), по имени самолета-невидимки Stealth, способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;

l самошифрующиеся вирусы (в режиме простоя зашифрованы, и расшифровываются только в момент начала работы вируса);

l полиморфные, мутирующиеся вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные программыдля обезвреживания этих вирусов;

l «отдыхающие» вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус «Чернобыль» в сети Интернет функционирует только в день годовщины чернобыльской трагедии).

Классификация компьютерных вирусов показана на рис. 29.2.

Рис. 29.2. Классификация компьютерных вирусов

Для своевременного обнаружения и удаления вирусов важно знать основные признаки появления их в компьютере:

l неожиданная неработоспособность компьютера или его компонентов;

l невозможность загрузки операционной системы;

l медленная работа компьютера;

l частые зависания и сбои в компьютере;

l прекращение работы ранее успешно исполнявшихся программ;

l искажение или исчезновение файлов и каталогов;

l непредусмотренное форматирование диска;

l необоснованное увеличение количества файлов на диске;

l необоснованное изменение размера файлов;

l искажение данных в CMOS-памяти;

l существенное уменьшение объема свободной оперативной памяти;

l вывод на экран непредусмотренных сообщений и изображений;

l появление непредусмотренных звуковых сигналов.