Основные свойства компьютерных вирусов
Термин "компьютерный вирус" (КВ) появился недавно - в 1984 г. на конференции по безопасности информации в США. КВ всегда связан с программой-носителем вируса. Как и биологический вирус, КВ характеризуют способность к саморазмножению, высокая скорость распространения, избирательность поражаемых систем, способность заражать незараженные системы, трудности борьбы с вирусами и т.д. Можно также указать на постоянно увеличивающееся количество новых поколений и модификаций КВ. В настоящее время известно более 50000 (пятидесяти тысяч) компьютерных вирусов.
Компьютерные вирусы - это небольшие по размеру программы, способные к размножению и трудно обнаруживаемые в компьютерных системах (КС).
Приведем и другое определение, т.к. строгого определения КВ нет.
КВ - это программа, которая может создавать свои дубликаты и внедрять их в различные объекты КС, сетей без ведома пользователя; при этом дубликаты сохраняют способность дальнейшего распространения.
Дубликат может быть как копией вируса, так и его модификацией.
Самовоспроизведение заключается в том, что дубликаты КВ вводятся в другую выполняемую или транслируемую программу, а скопированная инфицированная программа переносит вирус в другие программы или системные области, поддерживая процесс его распространения. Следовательно, главными чертами вируса являются
внедрение в другие объекты, скрытность, быстрое "размножение", потенциальная опасность.
Укажем основные угрозы, характерные для вирусов:
прерывания в работе вычислительных средств или их разрушение, кража информации, её модификация, разрушение данных.
Обычно вирусы пишут программисты, не отягощенные моралью. Некоторые вирусы написаны бывшими разработчиками фирмы МS. Считается, что из 1000 программистов только 100 способны написать вирус, но только один из этих 100 доведёт идею до конца. Известно, что хорошая доступная документация на аппаратуру и ОС способствует распространению вирусов. Например, ОС Novell Net слабо документирована и вирусов для неё почти нет.
Существует много и безвредных вирусов, созданных ради шутки или экспериментов с существующей техникой. Но обычно КВ либо снижают эффективность работы КС, либо приводят к опасным нарушениям целостности, конфиденциальности и доступности информации. Наибольшее распространение они получили в ПК. Количество инцидентов, связанных с КВ, очень велико, но опубликованные цифры обычно занижены. т.к. многие фирмы умалчивают о вирусных атаках, заботясь о своей репутации и не желая привлекать внимание хакеров.
Основными источниками заражения являются компьютеры общественного пользования, почта, Интернет, локальная сеть, порносайты, а также и многие другие популярные сайты. Есть оценки, что только 3 из 100 пользователей Интернета могут оценить безопасность посещаемого сайта. Отметим 3 самых распространенных способа заражения - дискета или диск, файл из Интернета, присоединённый к письму файл.
Можно выделить 4 фазы существования КВ: спячка, распространение в КС, запуск, негативные эффекты, например, разрушение программ или данных.
Запуск вируса происходит обычно после некоторого события, например, после наступления определенной даты или заданного числа копирований.
Классификация КВ
Она выполняется по следующим признакам:
среда обитания,
способ заражения среды обитания,
деструктивные возможности,
особенности алгоритма функционирования.
В зависимости от среды обитания КВ бывают сетевыми, файловыми, загрузочными. Сетевые распространяются по компьютерным сетям, файловые размещаются в исполняемых файлах, загрузочные внедряются в загрузочные области внешних запоминающих устройств.
По способу заражения КВ делятся на резидентные и нерезидентные. Резидентные вирусы после их инициализации полностью или частично перемещаются из среды обитания ( сеть, загрузочный сектор, файл) в оперативную память (ОП), где могут находиться продолжительное время, отслеживая появление доступной для заражения жертвы. Нерезидентные вирусы попадают в ОП только на время активности. Вместе с программой-носителем они покидают ОП, но остаются в среде обитания.
Механизм заражения зависит от среды обитания. Файловые вирусы либо внедряются в exe-файлы или другие, либо, заменив полезные файлы, используют их имена для запуска. При внедрении файловые вирусы обычно размещаются в начале, середине или конце файла, заменяя или перемещая куски кода программы. Разрушительные действия эти вирусы обычно начинают не сразу. Сначала они просто размножаются, заражая новые программы без явного проявления своего присутствия. После выполнения некоторого условия, например, по дате или числу заражений, КВ приступает к разрушениям.
Файловые вирусы могут находиться и в файлах данных, если они допускают использование макрокоманд. Например, файлы систем Word и Excel могут содержать макрокоманды на языке Visual Basic. Вирус можно написать на языке таких макрокоманд и встроить в Word, Excel или другую систему.
Загрузочные вирусы относятся к числу резидентных. Если диск, с которого производится загрузка ОС, поражен таким вирусом, то этот вирус первым получает управление и переписывает себя в ОП. В дальнейшем активный вирус, постоянно находясь в ОП, будет заражать диски даже в том случае, если просто читается оглавление диска.
По степени опасности вирусы могут быть
безвредными, неопасными, опасными, очень опасными.
Опасными считаются вирусы, снижающие эффективность работы КС. Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу технических средств и наносящие вред здоровью пользователей. Приведем два примера.
С помощью КВ может возникнуть такой режим работы электромеханических устройств, при котором на резонансной частоте происходит разрушение их движущихся частей. Второй пример связан с серьёзным ущербом психике человека.
На экран монитора можно выдавать скрытые кадры видеоизображений с определенной частотой (так называемы 7-й кадр), которые воспринимаются подсознательно.
В зависимости от алгоритма функционирования рассматривают несколько типов вирусов, хотя это деление является условным, т.к. есть много сложных вирусов других и комбинированных типов.
Вирусы-черви попадают в компьютер из сети, вычисляют адреса рассылки другим абонентам сети и передают вирусы. Примером является червь Морриса, который в 1988 г. из-за "ошибки" автора заразил 6000 ПК и причинил ущерб в 100 млн. долларов. Размер этой программы Морриса ~ 60 Кбайтов.
Стелс-вирусы (вирусы-невидимка) могут быть только резидентными. Они обычно маскируются под программы ОС, перехватывают обращения к ОС при операциях чтения, записи и других. Например, в случае зараженного сектора на диске вирус будет показывать состояние диска до заражения. Стелс-вирусы могут даже противодействовать антивирусным программам, периодически контролирующим целостность данных.
Полиморфные вирусы не имеют постоянных опознавательных признаков в своем коде, т.к. формируют его во время выполнения. При создании новой копии они обладают способностью изменять свой код настолько, что их невозможно узнать. Например, можно включить в код много операторов присваивания некоторым фиктивным переменным, не используемым в алгоритме. В этих вирусах часто применяется шифрование.
Макровирусы заражают документы Word, таблицы Excel, презентации Power Point и т.д. В настоящее время они становятся наиболее распространенными по сравнению с файловыми и загрузочными КВ. Их частным случаем являются инъекции.
Инъекции - это обычно небольшие фрагменты кода на языках SQL или PHP. Они встраиваются в обычные программы, использующие эти языки. Это один из способов взлома сайтов. Существуют термины SQL- инъекции и PHP - инъекции. Возможность использования инъекций связана с тем, что в этих языках есть функции, изменяя аргументы которых, можно выполнить нужный код на сервере.
Дата добавления: 2016-11-02; просмотров: 1890;