Классификация компьютерных вирусов

Необходимость защиты информации

Объем циркулирующей в обществе информации возрастает примерно вдвое каждые пять лет. Человечество создало информа­ционную цивилизацию, в которой от успешной работы средств об­работки информации зависит благополучие и даже выживание че­ловечества в его нынешнем качестве. С проникновением компью­теров в различные сферы жизни возникла принципиально новая отрасль — информационная индустрия.

В последние годы большое внимание уделяется вопросам защи­ты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и в вычислительных системах. Ос­новными факторами, способствующими повышению уязвимости хранимой информации, являются:

сосредоточение в единых базах данных информации различ­ного назначения и различной принадлежности;

резкое расширение круга пользователей, имеющих непосред­ственный доступ к ресурсам вычислительной системы и находя­щимся в ней данным;

расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объе­мы информации государственного, военного, коммерческого и ча­стного характера.

Под защитой информации понимается создание организован­ной совокупности средств, методов и мероприятий, предназначен­ных для предупреждения искажения, уничтожения или несанкцио­нированного использования защищаемой информации.

 

Компьютерные вирусы

Безопасность информации — это один из основных показателей качества информационной системы. На вирусные атаки приходит­ся около 57% инцидентов, связанных с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и по­павших в статистические обзоры.

Поэтому одной из основных задач защиты информации являет­ся организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных се­тей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.

Что такое компьютерные вирусы?

Компьютерный вирус — это программа, скрывающаяся внутри других программ или на специальных участках диска и способная воспроизводиться («размножаться»), приписывая себя к другим программам («заражать» их), или переноситься на другие диски без ведома и согласия пользователя. Большинство компьютерных виру­сов выполняют разрушительную работу, повреждая информацию, хранимую на магнитных дисках. Последствия от действий компью­терных вирусов могут быть разнообразными.

Термин «вирус» заимствован из биологии. Особенности поведе­ния компьютерных вирусов сходны с поведением обычных вирусов: они представляют опасность для той системы, в которой паразитиру­ют, быстро размножаются, легко распространяются, разрушают ин­формацию, содержащуюся в коде программы, и повреждают систем­ные области дисков. Внешним проявлением «болезни» компьютера являются различные нарушения его работоспособности. Но в отличие от биологических систем, обладающих огромными возможностями самозащиты, компьютерные системы беззащитны, поэтому достаточ­но одного вируса, чтобы вывести их из строя.

Зараженные программы или переносные носители информации сами становятся носите­лями вируса и поражают другие объекты. В начальной стадии дейст­вие вируса может быть практически незаметно для пользователя.

Авторами вирусов могут быть профессиональные программисты, студенты и даже школьники с высоким уровнем подготовки в облас­ти программирования. Некоторые авторы создают программы-виру­сы из озорства, и их творения не наносят вреда, хотя и нарушают тех­нологию работы на компьютере, некоторые — из стремления «отом­стить» или по другой причине. Однако, кто бы ни писал вирусы, их «произведения» приносят вред пользователям, так как могут вы­звать сбои в работе программ или даже полную потерю данных.

 

Проявления компьютерных вирусов.

В деятельности компьютерных вирусов можно выделить два пе­риода: «инкубационный» (период спячки) и акт ивный. В «инкуба­ционный» период вирус создает собственные копии на диске и «за­ражает» другие программы, а также выполняет какие-либо вредные действия, например портит файлы, таблицу размещения файлов на диске и т. п.

Длительность этого периода зависит от многих факторов, напри­мер от интенсивности работы пользователей (вирус может подсчи­тывать число произведенных им заражений) или наступления какой- либо определенной даты (например, вирус Black Friday, или Изра­ильский, производит проверку системной даты, и если она оказыва­ется 13-м числом и пятницей, то вирус активизируется и портит диск и программы).

Авторы вирусных программ стараются предусмотреть все воз­можные ситуации, чтобы их «произведение» не раскрыло себя рань­ше времени: запрещают повторное заражение одного и того же фай­ла для избежания конфликта разных копий вируса; шифруют текст самого вируса, маскируют вирус при попытке просмотреть зара­женную программу в редакторе, сохраняют работоспособность ин­фицированных программ.

Однако вирус можно обнаружить и в этот скрытый период. Ос­новными признаками заражения могут быть следующие: изменение длины программ; потеря работоспособности программного обеспе­чения; заметное замедление выполнения компьютером некоторых операций, особенно с диском; подозрительные «зависания» компь­ютера, приводящие к необходимости перезагрузки; появление большого количества «плохих» секторов на дискетах или винчестере и уменьшение их емкости и др..

О наступлении активного периода пользователь узнает из раз­личных сообщений, звуковых сигналов, экранных эффектов или по отказам компьютера. Например, «Your PC is now Stoned» («Ваш PC окаменел») выдает вирус Stone, «I want соокiе»(«Я хочу печенье») требует вирус Cookie. Вирус Yankey Doodle в 17.00 играет мелодию «Yankey Doodle». Осыпание букв на экране (вирус 1704, Falling letters, COM-1701, Cascade) или движение светлого оомбика на эк­ране, отражающегося от границ экрана и символов псевдогоафи ки (вирус Ping-Pong, Итальянский попрыгунчик), — примеры экран­ных эффектов.

Классификация компьютерных вирусов

Специалисты делят вирусы в соответствии с особыми характе­ристиками их алгоритмов на следующие группы.

Вирусы-«спутники» (companion) - они не изменяют файлы. Осо­бенность их алгоритма состоит в том, что они создают для файлов с расширением.ехе файлы-спутники, имеющие такое же имя, но с расширением.com. Вирус записывается в com-файл, не меняя ехе-файл. При запуске такого файла операционная система первым обнаружит и выполнит com-файл (т. е. вирус), который затем запус­тит ехе-файл.

Вирусы-«черви» (worm) — они распространяются по компьютер­ной сети, не изменяя файлы и сектора. Эти программы забирают ре­сурсы компьютера для собственных нужд и делают их недоступными, никаких разрушительных действий они не производят, однако раз­множаются очень быстро и чрезвычайно опасны в локальных сетях.

Вирусы-«невндимки» (stealth) — весьма совершенные профаммы, перехватывающие обращения к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки ин­формации. Алгоритм этих вирусов позволяет «обманывать» антиви­русные резидентные мониторы. В них применяются разнообразные способы маскировки. Вирусы, использующие приемы маскировки, нельзя увидеть средствами ОС. Так же маскируются и загрузочные вирусы: при попытке прочитать зараженный загрузочный сектор они подставляют не зараженный, а оригинальный.

Вирусы-«мутанты» (ghost) — самомодифицирующиеся, поли­морфные, трудно обнаруживаемые вирусы, не имеющие постоян­ного участка кода. Они содержат в себе алгоритмы шифровки-рас­шифровки, обеспечивающие такое положение, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байтов (например, вирусы Phantom-1, OneHalf и Natas), т.е. вирус модифицирует свое тело, что создает сложности для их нахождения.

Наряду с программами-вирусами существуют и другие разру­шающие программы. К ним можно отнести программы типа «Тро­янский конь», «Часовая мина» и «Бомба».

Программы типа «Троянский конь» не совсем подходят под опи­сание вируса, поскольку самостоятельно они не размножаются. Та­кие программы записывает на компьютер сам пользователь, по­скольку они маскируются под игровые программы или широко из­вестные программные пакеты. Однако при этом программы типа «Троянский конь» выведывают сведения о ресурсах компьютера и передают ее своему создателю, который может пользоваться, на­пример Интернетом, войдя в него под чужим именем. Особый вред такие программы наносят в военных и государственных сетях.

Программы типа «Часовая мина» выполняют разрушения в за­данный день, сверяясь по системной дате. До этого они никак не проявляются, и можно даже не подозревать об их присутствии.

Программы типа «Бомба» производят разрушительные действия и не размножаются. Обычно эти программы привлекают пользова­теля, например, интригующим названием, и он запускает их. Во время запуска или работы «Бомба» производит разрушения.

Еще недавно заразиться компьютерным вирусом можно было только после запуска программы. Но с появлением нового класса «универсальных» (blended threat) вирусов положение изменилось. Такие вирусы, как Nimda и CodeRed, могут заражать компьютеры, просто подключенные к сети. Они распространяются по электрон­ной почте, через загружаемые файлы, компоненты Web-страниц и сетевые папки коллективного доступа. Универсальные вирусы в основном относятся к «червям», однако в отличие от традиционных «червей» они формируют на зараженных компьютерах учетные за­писи с административными полномочиями, перезаписывают фай­лы на локальных и сетевых жестких дисках. Потенциальная опас­ность лавинных заражений для вирусов такого рода очень велика (вирус Klez, SoBig, Livra и Yaha, SQL Slammer).

---

Дата добавления: 2016-01-03; просмотров: 30; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!