Классификация компьютерных вирусов
Необходимость защиты информации
Объем циркулирующей в обществе информации возрастает примерно вдвое каждые пять лет. Человечество создало информационную цивилизацию, в которой от успешной работы средств обработки информации зависит благополучие и даже выживание человечества в его нынешнем качестве. С проникновением компьютеров в различные сферы жизни возникла принципиально новая отрасль — информационная индустрия.
В последние годы большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и в вычислительных системах. Основными факторами, способствующими повышению уязвимости хранимой информации, являются:
сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данным;
расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера.
Под защитой информации понимается создание организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации.
|
|
Компьютерные вирусы
Безопасность информации — это один из основных показателей качества информационной системы. На вирусные атаки приходится около 57% инцидентов, связанных с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.
Поэтому одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.
Что такое компьютерные вирусы?
Компьютерный вирус — это программа, скрывающаяся внутри других программ или на специальных участках диска и способная воспроизводиться («размножаться»), приписывая себя к другим программам («заражать» их), или переноситься на другие диски без ведома и согласия пользователя. Большинство компьютерных вирусов выполняют разрушительную работу, повреждая информацию, хранимую на магнитных дисках. Последствия от действий компьютерных вирусов могут быть разнообразными.
Термин «вирус» заимствован из биологии. Особенности поведения компьютерных вирусов сходны с поведением обычных вирусов: они представляют опасность для той системы, в которой паразитируют, быстро размножаются, легко распространяются, разрушают информацию, содержащуюся в коде программы, и повреждают системные области дисков. Внешним проявлением «болезни» компьютера являются различные нарушения его работоспособности. Но в отличие от биологических систем, обладающих огромными возможностями самозащиты, компьютерные системы беззащитны, поэтому достаточно одного вируса, чтобы вывести их из строя.
|
|
Зараженные программы или переносные носители информации сами становятся носителями вируса и поражают другие объекты. В начальной стадии действие вируса может быть практически незаметно для пользователя.
Авторами вирусов могут быть профессиональные программисты, студенты и даже школьники с высоким уровнем подготовки в области программирования. Некоторые авторы создают программы-вирусы из озорства, и их творения не наносят вреда, хотя и нарушают технологию работы на компьютере, некоторые — из стремления «отомстить» или по другой причине. Однако, кто бы ни писал вирусы, их «произведения» приносят вред пользователям, так как могут вызвать сбои в работе программ или даже полную потерю данных.
|
|
Проявления компьютерных вирусов.
В деятельности компьютерных вирусов можно выделить два периода: «инкубационный» (период спячки) и акт ивный. В «инкубационный» период вирус создает собственные копии на диске и «заражает» другие программы, а также выполняет какие-либо вредные действия, например портит файлы, таблицу размещения файлов на диске и т. п.
Длительность этого периода зависит от многих факторов, например от интенсивности работы пользователей (вирус может подсчитывать число произведенных им заражений) или наступления какой- либо определенной даты (например, вирус Black Friday, или Израильский, производит проверку системной даты, и если она оказывается 13-м числом и пятницей, то вирус активизируется и портит диск и программы).
Авторы вирусных программ стараются предусмотреть все возможные ситуации, чтобы их «произведение» не раскрыло себя раньше времени: запрещают повторное заражение одного и того же файла для избежания конфликта разных копий вируса; шифруют текст самого вируса, маскируют вирус при попытке просмотреть зараженную программу в редакторе, сохраняют работоспособность инфицированных программ.
|
|
Однако вирус можно обнаружить и в этот скрытый период. Основными признаками заражения могут быть следующие: изменение длины программ; потеря работоспособности программного обеспечения; заметное замедление выполнения компьютером некоторых операций, особенно с диском; подозрительные «зависания» компьютера, приводящие к необходимости перезагрузки; появление большого количества «плохих» секторов на дискетах или винчестере и уменьшение их емкости и др..
О наступлении активного периода пользователь узнает из различных сообщений, звуковых сигналов, экранных эффектов или по отказам компьютера. Например, «Your PC is now Stoned» («Ваш PC окаменел») выдает вирус Stone, «I want соокiе»(«Я хочу печенье») требует вирус Cookie. Вирус Yankey Doodle в 17.00 играет мелодию «Yankey Doodle». Осыпание букв на экране (вирус 1704, Falling letters, COM-1701, Cascade) или движение светлого оомбика на экране, отражающегося от границ экрана и символов псевдогоафи ки (вирус Ping-Pong, Итальянский попрыгунчик), — примеры экранных эффектов.
Классификация компьютерных вирусов
Специалисты делят вирусы в соответствии с особыми характеристиками их алгоритмов на следующие группы.
Вирусы-«спутники» (companion) - они не изменяют файлы. Особенность их алгоритма состоит в том, что они создают для файлов с расширением.ехе файлы-спутники, имеющие такое же имя, но с расширением.com. Вирус записывается в com-файл, не меняя ехе-файл. При запуске такого файла операционная система первым обнаружит и выполнит com-файл (т. е. вирус), который затем запустит ехе-файл.
Вирусы-«черви» (worm) — они распространяются по компьютерной сети, не изменяя файлы и сектора. Эти программы забирают ресурсы компьютера для собственных нужд и делают их недоступными, никаких разрушительных действий они не производят, однако размножаются очень быстро и чрезвычайно опасны в локальных сетях.
Вирусы-«невндимки» (stealth) — весьма совершенные профаммы, перехватывающие обращения к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки информации. Алгоритм этих вирусов позволяет «обманывать» антивирусные резидентные мониторы. В них применяются разнообразные способы маскировки. Вирусы, использующие приемы маскировки, нельзя увидеть средствами ОС. Так же маскируются и загрузочные вирусы: при попытке прочитать зараженный загрузочный сектор они подставляют не зараженный, а оригинальный.
Вирусы-«мутанты» (ghost) — самомодифицирующиеся, полиморфные, трудно обнаруживаемые вирусы, не имеющие постоянного участка кода. Они содержат в себе алгоритмы шифровки-расшифровки, обеспечивающие такое положение, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байтов (например, вирусы Phantom-1, OneHalf и Natas), т.е. вирус модифицирует свое тело, что создает сложности для их нахождения.
Наряду с программами-вирусами существуют и другие разрушающие программы. К ним можно отнести программы типа «Троянский конь», «Часовая мина» и «Бомба».
Программы типа «Троянский конь» не совсем подходят под описание вируса, поскольку самостоятельно они не размножаются. Такие программы записывает на компьютер сам пользователь, поскольку они маскируются под игровые программы или широко известные программные пакеты. Однако при этом программы типа «Троянский конь» выведывают сведения о ресурсах компьютера и передают ее своему создателю, который может пользоваться, например Интернетом, войдя в него под чужим именем. Особый вред такие программы наносят в военных и государственных сетях.
Программы типа «Часовая мина» выполняют разрушения в заданный день, сверяясь по системной дате. До этого они никак не проявляются, и можно даже не подозревать об их присутствии.
Программы типа «Бомба» производят разрушительные действия и не размножаются. Обычно эти программы привлекают пользователя, например, интригующим названием, и он запускает их. Во время запуска или работы «Бомба» производит разрушения.
Еще недавно заразиться компьютерным вирусом можно было только после запуска программы. Но с появлением нового класса «универсальных» (blended threat) вирусов положение изменилось. Такие вирусы, как Nimda и CodeRed, могут заражать компьютеры, просто подключенные к сети. Они распространяются по электронной почте, через загружаемые файлы, компоненты Web-страниц и сетевые папки коллективного доступа. Универсальные вирусы в основном относятся к «червям», однако в отличие от традиционных «червей» они формируют на зараженных компьютерах учетные записи с административными полномочиями, перезаписывают файлы на локальных и сетевых жестких дисках. Потенциальная опасность лавинных заражений для вирусов такого рода очень велика (вирус Klez, SoBig, Livra и Yaha, SQL Slammer).
Дата добавления: 2016-01-03; просмотров: 30; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!