Компьютерные вирусы. Антивирусные программы

1     Компьютерные вирусы

Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения.

Вирусы попадают на жесткий диск компьютера или его оперативную память (загрузочные вирусы) через носимые хранилища данных – гибкие дискеты, CD(DVD)-диски, карты флэш-памяти, но больше всего вирусов приходит из Всемирной паутины. Вирусы пишут как энтузиасты одиночки, так и целые организации (группы хакеров). Они могут преследовать различные цели, но результат почти всегда одинаков – потерянные (испорченные, и даже украденные) данные. В некоторых случаях заражение компьютера вирусом приводит к огромным денежным убыткам. И хотя вирусописание и вирусораспространение во многих странах считается преступлением, это не спасает ситуацию в целом и с каждым годом вредоносных программ становиться все больше и больше.

Чаще всего вирусы поражают загрузочный сектор диска (как жесткого, так и гибкого) и исполняемые файлы [8].

2         Классификация вирусов

Классифицировать вирусы можно по следующим признакам [9]:

·          по среде обитания;

·          по способу заражения среды обитания;

·          по деструктивным возможностям;

·          по особенностям алгоритма вируса.

По среде обитания вирусы можно разделить на:

·          файловые вирусы, которые внедряются в выполняемые файлы (*.com, *.exe, *.sys, *.bat, *.dll);

·          загрузочные вирусы, которые внедряются в загрузочный сектор диска или в сектор, содержащий системный загрузчик винчестера;

·          макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, в программах MS Word, MS Excel);

·          сетевые вирусы распространяются по различным сетям, т. е. при передаче данных с одного компьютера на другой, соединенных сетью.

Существуют и сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить.

По способам заражения вирусы бывают:

·          резидентные;

·          нерезидентные.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.

По деструктивным возможностям вирусы можно разделить на:

·          безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

·          неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

·          опасные - вирусы, которые могут привести к серьезным сбоям в работе;

·          очень опасные, могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т. д.

По особенностям алгоритма можно выделить следующие основные группы вирусов:

·          компаньон-вирусы (companion) - алгоритм работы этих вирусов состоит в том, что они создают для exe-файлов файлы-спутники, имеющие то же самое имя, но с расширением com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе;

·          вирусы-«черви» (worm) - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя СОМ-ЕХЕ прием;

·          сетевые черви - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm).

·          «паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;

·          «студенческие» - самые простые и легко обнаруживаемые вирусы, содержащие большое число ошибок;

·          «стелс»-вирусы (вирусы-невидимки), представляют собой весьма совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные программы-фильтры;

·          «полиморфик»-вирусы (самошифрующиеся или вирусы-призраки) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

·          макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel;

·          троянские программы (квазивирусы) – не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных, так и локальных. Однако это не мешает обычным вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным.

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

·          некоторые ранее исполнявшиеся программы перестают запускаться или внезапно останавливаются в процессе работы;

·          увеличивается длина исполняемых файлов;

·          быстро сокращается объём свободной дисковой памяти и оперативной памяти;

·          на носителях появляются дополнительные сбойные кластеры, в которых вирусы прячут свои фрагменты или части повреждённых файлов;

·          замедляется работа некоторых программ;

·          в текстовых файлах появляются бессмысленные фрагменты;

·          на экране появляются странные сообщения, которые раньше не наблюдались;

·          появляются не существовавшие ранее "странные" файлы, особенно в каталоге Windows или корневом;

·          операционная система перестаёт загружаться с винчестера;

·          появляются сообщения об отсутствии винчестера;

·          данные на носителях портятся;

·          снижается скорость работы в Интернете (вирусы могут передавать информацию по сети);

·          жалобы от друзей (или провайдера) о том, что к ним приходят непонятные письма - вирусы любят рассылать себя по почте.

Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

·          резервное копирование информации (создание копий файлов и системных областей жестких дисков);

·          избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

·          ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с нее.

К программным средствам защиты относят разные антивирусные программы (антивирусы).

3         Программы обнаружения и защиты от вирусов

Чтобы противостоять нашествию компьютерных вирусов, необходимо выбрать правильную стратегию защиты от них, в том числе программные антивирусные средства, грамотно используя которые можно предотвратить вирусную атаку. А если она все же произойдет, вовремя ее обнаружить, локализовать и успешно отразить, не потеряв ценной информации [9].

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

·          программы-детекторы;

·          программы-доктора, или фаги;

·          программы-ревизоры;

·          программы-фильтры;

·          программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом.

Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

·          попытки коррекции файлов с расширениями com, exe;

·          изменение атрибутов файла;

·          прямая запись на диск по абсолютному адресу;

·          запись и загрузочные сектора диска;

·          загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, уничтожающие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

4         Архивация

Архиватор - это программа, которая сжимает файл или группу файлов в один архивный файл с целью уменьшения их размера. При этом не теряется ни бита информации, и любой файл можно из архива извлечь. Что дает архивация? Во-первых, экономия места на диске, во-вторых, на дискете можно перенести большой объем информации, в-третьих, есть возможность пересылать большие файлы по электронной почте [5].

Наиболее известные архиваторы - это архиваторы zip, arj, rar, gzip, lha, ha, ace. Архив, созданный тем или иным архиватором, имеет расширение, соответствующее названию архиватора. Например, расширение файла archive.rar говорит о том, что он был создан с помощью архиватора rar.

Архиваторы различаются возможностями и качеством сжатия, которое зависит также и от типа сжимаемых данных. Некоторые архиваторы лучше работают с одними типами данных, но плохо показывают себя с другими. К важным функциям архиваторов относят создание многотомных архивов и самораспаковывающихся архивов.

Многотомные архивы - это архивы, разбитые на несколько отдельных файлов. Их применяют, когда необходимо перенести большой объём информации на дискетах: на каждую дискету помещается отдельный том архива. При извлечении данных из многотомного архива архиватор будет последовательно обрабатывать том за томом, и запрашивать смену дискеты.

Самораспаковывающиеся архивы используются в тех случаях, когда необходимо перенести информацию на другой компьютер, но неизвестно, установлен ли там соответствующий архиватор. Самораспаковывающийся архив представляет собой исполняемый (.exe) файл, который включает в себя заархивированные данные и программу для их распаковки.

Алгоритмов сжатия данных существует великое множество. Некоторые алгоритмы подходят для одних типов данных, другие - для других. Хорошо сжимаются простые растровые изображения, не содержащие большого количества деталей (.bmp, .psd и др.). Коэффициент сжатия во многом зависит от используемого алгоритма и сложности изображения. Например, чёрно-белое изображение чертёжного качества может быть сжато даже в сотню раз, цветные рисунки - в пять-десять раз, а цветные изображения высокого фотографического качества сжимаются менее чем в два раза. Хорошо сжимаются текстовые файлы (.txt, .doc, .pas и др.). Если файл содержит текст, написанный на естественном языке, например, повесть или рассказ, то коэффициент сжатия будет равен двум-трём, а если в файле записан текст программы, то коэффициент сжатия может достигать пяти и выше. Коэффициент сжатия исполняемых файлов(.exe, и др.) также сильно колеблется, однако, в среднем он равен примерно трём.

В отношении звука (.wav, .au), использование универсальных методов сжатия редко даёт хорошие результаты - звуковой файл сокращается всего на 20-40%. То же самое касается и высококачественных изображений, имеющих много деталей. Поэтому для этих типов изображений используются специальные методы сжатия, особо хорошие результаты дают так называемые алгоритмы сжатия с потерями. Одна из идей этих алгоритмов состоит в том, что человеческий глаз и ухо не очень восприимчивы к некоторым мелким деталям изображения или звука, поэтому лишнюю информацию можно просто отбросить. Разумеется, кроме отбрасывания лишней информации, используются и другие алгоритмы, в результате чего достигается несравнимый коэффициент сжатия при минимальных потерях качества (с точки зрения восприятия человека). Такой подход используется в файлах формата jpeg, предназначенного для хранения статичных изображений и mpeg, предназначенного для хранения видео- и аудиоинформации. Сегодня особенно популярны такие форматы, как mpeg-3 (или mp3), предназначенный для хранения аудиоинформации и позволяющий достигнуть десятикратного сжатия почти без потери качества, и mpeg-4, используемый для хранения видеофильмов.

Плохо архивируются, либо вообще увеличиваются в размере файлы, данные в которых уже сжаты, в том числе архивы (.rar, .zip, .arj и др.), графические файлы тех форматов, которые имеют собственное сжатие (.gif, .jpg, .png и др.), аудиофайлы (.mp3), видеофайлы (.mpg, .avi и др.), самораспаковывающиеся архивы (.exe).