Исследование компьютерных вирусов и антивирусов

Научный руководитель:

Трифонова А.А.

• Сущность и понятия вирусов
• Сущность, основные понятия антивирусных программ
• История создания вирусов и антивирусных программ
• Критерии оценки антивирусных программ
• Виды антивирусных программ
• Оценка антивирусных программ

      В общем случае компьютерный вирус – это небольшая программа, которая приписывает себя в конец исполняемых файлов, «драйверов», или «поселяется» в загрузочном секторе диска. При запуске зараженных программ и драйверов вначале происходит выполнение вируса, а уже потом управление передается самой программе. Если же вирус «поселился» в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия.

      Это нахождение и заражение других программ, порча  данных и т.д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передается зараженной программе, которая обычно работает «как ни в чем не бывало», маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

 

 

• Макровирус — это разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

 

• внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

 

• внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).
• Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

 

• при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

 

• не заражают память компьютера и являются активными ограниченное время.

 

•  не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

 

•  которые могут привести к различным нарушениям в работе компьютера

 

• воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

 

     Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

 

Антивирусные программы  бывают следующих типов:

• обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

 

•  (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
• Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

• относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
• Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

 

•  представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
• попытки коррекции файлов с расширениями СОМ и ЕХЕ;
• изменение атрибутов файлов;
• прямая запись на диск по абсолютному адресу;
• запись в загрузочные сектора диска.
• загрузка резидентной программы.
• При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

•  иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
• Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

 

• История компьютерных вирусов делится на несколько этапов:
• Доисторический. Вирусы-легенды и документально подтверждённые инциденты на «мейнфреймах» 1970-80-х годов.
• «До-интернетовский». В основном ему присущи «классические вирусы» для MS-DOS.
• Интернет-этап. Многочисленные черви, эпидемии, приводящие к колоссальным убыткам.
• Современный, криминальный этап. Использование интернета в преступных целях.

 

     В начале 1970-х годов (предположительно в 1973 г.) в прототипе современного интернета — военной компьютерной сети APRANET — был обнаружен вирус Creeper, который перемещался по серверам под управлением операционной системы Tenex. Creeper был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: «I'M THE CREEPER : CATCH ME IF YOU CAN», которое выводилось на дисплей или на принтер. Для удаления вируса была написана первая антивирусная программа Reeper, которая аналогичным образом распространялась по сети, удаляла обнаруженные копии Creeper и затем (предположительно — через определённый промежуток времени) самоликвидировалась. Доступной и достоверной информации о данном инциденте не обнаружено, по этой причине приведённые выше факты могут не вполне соответствовать истине.

1980-е 

Компьютеры становятся  всё более и более популярными. Появляется всё больше и больше  программ, авторами которых являются  не фирмы-производители программного  обеспечения, а частные лица. Развитие  телекоммуникационных технологий  даёт возможность относительно  быстро и удобно распространять  эти программы через серверы  общего доступа — BBS (Bulletin Board System). Позднее, полулюбительские, университетские BBS перерастают в глобальные банки  данных, охватывающие практически  все развитые страны. Они обеспечивают  быстрый обмен информацией между  самыми удаленными точками планеты. «Глобальная сеть» серверов BBS становится  популярной и в результате  привлекает внимание программистов-хулиганов. Появляется большое количество  разнообразных «троянских коней»  — программ, не имеющих способности  к размножению, но при запуске  наносящих системе какой-либо  вред.

• 1999 
• В январе разразилась глобальная эпидемия почтового интернет-червя Happy99 (также известного как Ska). По сути, это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, являющуюся корпоративным стандартом в США и во многих странах Европы.
• Практически одновременно с этим был обнаружен весьма интересный макро-вирус для MS Word — Caligula. Он просматривал системный реестр, находил ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычислял каталоги возможного нахождения программы и производил в них поиск базы данных ключей шифрования PGP версии 5.x. В случае обнаружения этой базы данных, вирус копировал её на удалённый FTP-сервер.
• В конце февраля были зарегистрированы инциденты с участием SK — первого вируса, заражающего файлы помощи Windows (HLP-файлы).

• 2005 
• Тенденции второй половины 2004 года сохранились и в последующих 2005 и 2006 годах. «Громких» инцидентов практически не происходит, но зато двукратно растёт число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом растёт «популярность» именно сетевых не-почтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении, например, черви Mytob и Zotob (Bozori), авторы которых были арестованы в августе 2005.
• С этими червями произошел курьёз. Они проникли в сети и практически парализовали работу нескольких американских СМИ (ABCNews, CNN, New York Times), которые, обнаружив червя в своих собственных сетях, раздули истерию об якобы глобальной эпидемии, по силе сравнимой с эпидемиями сетевых червей 2003-2004 годов. Сказался, видимо, информационный голод на ставшие уже привычными глобальные инциденты прошлых лет, когда главными новостными темами были всплески эпидемий червей Mydoom, Bagle, Sasser и т.д.

• Стабильность и надежность работы. Этот параметр, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца.
• Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера.
• Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов. Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).
• Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.