Лекция 13. Вирусы и антивирусные программы

13.1. Что такое компьютерный вирус

Компьютерный вирус это программа, способная создавать свои копии, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной (инфицированной) . Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки вирус активизируется не всегда, а лишь при выполнении определенных условий (время, действие). После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится.

Подобно настоящим вирусам, компьютерные вирусы прячутся, размножаются и ищут возможность перейти на другие ЭВМ.

13.2. Какой вред наносят вирусы

Различные вирусы выполняют различные деструктивные действия :

• выводят на экран мешающие текстовые сообщения;
• создают звуковые эффекты;
• создают видео эффекты;
• замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;
• увеличивают износ оборудования;
• вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
• имитируют повторяющиеся ошибки работы операционной системы;
• уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
• осуществляют научный, технический, промышленный и финансовый шпионаж;
• выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
• делают незаконные отчисления с каждой финансовой операции и т.д.;

Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.

13.3.Что показывает на вирусное заражение

Основные симптомы вирусного заражения ЭВМ следующие:

• замедление работы некоторых программ;
• увеличение размеров файлов;
• появление не существовавших ранее файлов;
• уменьшение объема доступной оперативной памяти;
• появление сбоев в работе операционной системы;
• запись информации на диски в моменты, когда этого не должно происходить.

13.4.Какие бывают вирусы

Рассмотрим основные виды вирусов . Существует большое число различных классификаций вирусов:

• по среде обитания:
  • сетевые вирусы, распространяемые различными компьютерными сетями;
  • файловые - инфицируют исполняемые файлы, имеющие расширение exe и com. К этому же классу относятся и макровирусы , написанные с помощью макрокоманд. Они заражают неисполняемые файлы (в Word, Excel);
  • загрузочные - внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска. Некоторые вирусы записываются в свободные секторы диска, помечая их в FAT-таблице как плохие;
  • загрузочно-файловые - интегрируют черты последних двух групп;
• по способу заражения (активизации):
  • резидентный вирус логически можно разделить на две части - инсталятор и резидентный модуль . При запуске инфицированной программы управление получает инсталятор, который выпоняет следующие действия:
    1. размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;
    2. подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий.
  • нерезидентный вирусы не заражают оперативную память и проявляют свою активность лишь однократно при запуске инфицированной программы;
• по степени опасности:
  • не опасные - звуковые и видеоэффекты;
  • опасные - уничтожают часть файлов на диске;
  • очень опасные - самостоятельно форматируют жесткий диск;
• по особенностям алгоритма:
  • компаньон-вирусы не изменяют файлы. Алгоритм их работы состоит в том, что они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл);
  • паразитические - при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов (все вирусы кроме компаньонов и червей);
  • черви (репликаторы) - аналогично компаньонам не изменяют файлы и секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов;
  • невидимки (стелс) - используют набор средств для маскировки своего присутствия в ЭВМ. Их трудно обнаружить, т.к. они перехватывают обращения ОС к пораженным файлам или секторам и подставляют незараженные участки файлов;
  • полиморфики (призраки, мутанты) - шифруют собственное тело различными способами. Их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода;
  • троянская программа - маскируется под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
• по целостности:
  • монолитные - программа представляет единый блок;
  • распределенные - программа разделена на части. Эти части содержат инструкции, которые указывают как собрать их воедино, чтобы воссоздать вирус.

13.5. Что такое антивирусная программа

Для борьбы с вирусами разрабатываются антивирусные программы .

Антивирусное средство это программный продукт или устройство, выполняющее одну, либо несколько из следующих функций: 1) защиту данных от разрушения; 2) обнаружение вирусов; 3) нейтрализацию вирусов.

Различают следующие виды:

• программы-детекторы рассчитаны на обнаружение конкретных, заранее известных программе вирусов и основаны на сравнении характерной последовательности байтов (сигнатур), содержащихся в теле вируса, с байтами проверяемых программ. Программы-детекторы снабжаются блоками эвристического анализа. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям.
• программы-дезинфекторы (фаги) не только находят зараженные файлы, но и лечат их, удаляя из файла тело программы-вируса. В России получили широкое распространение детекторы, одновременно выполняющие функции дезинфекторов: AVP, Aidstest, DoctorWeb.
• программы-ревизоры анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние загрузочного сектора, FAT-таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы. (ADinf)
• программы-фильтры (мониторы) оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют обновление программных файлов и системной области диска, форматирование диска, резидентное размещение программ в ОЗУ.

13.6. Как защитить компьютер от вирусов

Рассмотрим основные меры по защите ЭВМ от заражения вирусами:

• Необходимо оснастить ЭВМ современными антивирусными программами и постоянно обновлять их версии.
• При работе в сети обязательно должна быть установлена программа-фильтр.
• Перед считыванием с дискет информации, записанной на других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.
• При переносе файлов в архивированном виде необходимо их проверять сразу же после разархивации.
• При работе на других компьютерах необходимо защищать свои дискеты от записи.
• Делать архивные копии ценной информации на других носителях.
• Не оставлять дискету в дисководе при включении или перезагрузке ЭВМ, это может привести к заражению загрузочными вирусами.
• Получив электронное письмо, к которому приложен исполняемый файл, не следует запускать этот файл без предварительной проверки.
• Необходимо иметь аварийную загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом

Вирус представляет собой самовоспроизводящуюся программу, - которая способна внедрять свои копии в файлы, загрузочные сектора дисков и документы; приводить к нарушению нормального функционирования компьютера. Копии вирусной программы также сохраняют способность дальнейшего распространения.

Вирусы принято классифицировать по следующим признакам:

• Среде обитания;
• Способу заражения среды обитания;
• Способу активации;
• Деструктивным возможностям;
• Особенностям алгоритма.

По среде обитания вирусы разделяют на файловые, загрузочные, макровирусы и сетевые.

Файловые вирусы внедряются в исполняемые файлы и обычно активизируются при их запуске. При запуске зараженных программ вирус попадает в ОП, остается там и заражает другие файлы. Вплоть до момента выключения компа или перезагрузки ОС.
Файловые вирусы не могут заразить файлы данных (звук, изображение)
Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор системного загрузчика жесткого диска.
Макровирусы заражают файлы документов Word и Excel. Макровирусы являются фактически макрокомандами (макросами), которые встраиваются в документ.
Сетевые вирусы распространяются по компьютерной сети.
Существуют также файлово-загрузочные вирусы, которые заражают файлы и загрузочные секторы.

Способ заражения среды обитания зависит от самой среды.

В частности, тело файлового вируса может при заражении размещаться в конце, начале, середине или хвостовой (свободной) части последнего кластера файла. Наиболее просто реализуется внедрение вируса в конец файла типа com. Наиболее сложна имплантация вируса в середину файла, поскольку для этого должна быть известна структура заражаемого файла, чтобы можно было внедриться, к примеру, в область стека.
При внедрении загрузочного вируса (ввиду малых размеров среды обитания) используется размещение головы тела вместо загрузочного сектора диска или сектора системного загрузчика, а хвост вируса и следующий за ним загрузочный сектор размещаются в других кластерах или секторах.

По способу активации вирусы подразделяют на резидентные и нерезидентные.

Резидентный вирус при заражении оставляет в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения — файлам, загрузочным секторам и т. п., и внедряется в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы являются активными ограниченное время и активизируются в определенные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы оставляют в оперативной памяти небольшие резидентные программы.

По деструктивным возможностям вирусы разделяют на безвредные, неопасные, опасные и очень опасные.

Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эффекты.
Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к зависанию или к неправильной печати документа.
Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.

По особенностям алгоритмов различают следующие вирусы: спутники, черви или репликаторы, паразитические, студенческие, невидимки или стелс-вирусы, призраки или мутанты.

Вирусы-спутники файлы не изменяют, а для выполнимых программ (ехе) создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых компьютеров и создают там свои копии.
Паразитические вирусы при распространении меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаруживаются.
Студенческие вирусы представляют собой простейшие легко обнаруживаемые вирусы.
Стелс-вирусы (название происходит от STEALTH — названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют незараженные участки диска, затрудняя тем самым их обнаружение.
Вирусы-призраки представляют собой трудно обнаружимые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки-расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков кода (сигнатур).

Антивирусными называются программы, предназначенные для обнаружения и удаления компьютерных вирусов и защиты данных от разрушения. Различают следующие разновидности антивирусных программ:

• Фильтры, или сторожа;
• Детекторы;
• Доктора, или фаги;
• Ревизоры;
• Иммуиизаторы, или вакцины.

Фильтр представляет собой резидентную программу которая контролирует опасные действия, характерные для вирусных программ, и запрашивает подтверждение на их выполнение. К таким действиям относятся следующие:

• Изменение файлов выполняемых программ;
• Размещение резидентной программы;
• Прямая запись на диск по абсолютному адресу;
• Запись в загрузочные секторы диска;
• Форматирование диска.

Достоинством программ-фильтров является их постоянное отслеживание опасных действий, повышающее вероятность обнаружения вирусов на ранней стадии их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользователя от основной работы для подтверждения запросов на выполнение подозрительных операций.

Детекторы лишь обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы универсальные и специализированные.
Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.
Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда обитания может восстанавливаться или не восстанавливаться Программы-доктора, позволяющие отыскивать и обезвреживать большое число вирусов, называют полифагами. К их числу принадлежат получившие широкое распространение программы Aidstest, Doctor Web и Norton AntiVirus.

Ревизор представляет собой программу, запоминающую исходное состояние программ,
каталогов и системных областей и периодически сравнивающую текущее состояние с исходным. Сравнение может выполняться по ряду параметров, таких как длина и контрольная сумма файла, дата и время изменения и т. п. Достоинством ревизоров является их способность обнаруживать стелс-вирусы н вносимые вирусами изменения в программы. К числу ревизоров относится хорошо известная программа ADinf.

Иммунизатор представляет собой резидентную программу, предназначенную для предотвращения заражения рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ и то же время вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Программа Doctor Web предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.
Программой предусматривается возможность проведения эвристического анализа на трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.
Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы Doctor Web включают в меню пользователя оболочки Norton Commander или в командный файл.

Программа Adinf предназначена для обнаружения любых вирусов, в том числе стелс-вирусов, вирусов-мутантов и неизвестных вирусов, на основе повседневного контроля за рядом характеристик файловой системы. В частности, программа запоминает информацию о загрузочных секторах и сбойных кластерах, длины и контрольные суммы файлов, даты и время создания или обновления файлов.
Программой отслеживаются вирусоподобные изменения и выдаются предупреждающие сообщения. Кроме того, отслеживаются создание и удаление каталогов, создание, удаление и перемещение файлов, появление сбойных кластеров, сохранность загрузочных секторов и др. Программа обеспечивает высокую скорость проверки дисков и возможность обнаружения маскирующихся стел-вирусов на основе использования прямого обращения к секторам дисков с помощью BIOS, минуя DOS.

Программа Norton AntiVirus фирмы Semantec предназначена для выполнения антивирусной проверки и обезвреживания вирусов при работе в среде Windows. Программа имеет удобный интерфейс, способна обнаруживать и уничтожать свыше 12 тысяч вирусов. Пользователь может устанавливать разнообразные настройки программы, например, задание периодической еженедельной проверки компьютера, режим автоматической проверки, указание перечня контролируемых объектов и др. В случае полной установки Norton AntiVirus компьютер защищен от проникновения вирусов через жесткие и гибкие диски, через локальную сеть или Internet.

Norton AntiVirus позволяет автоматически:

• Проверять на вирусы системные файлы и загрузочные записи при запуске системы;
• Проверять на вирусы выполняемые программы;
• Проверять раз в неделю на вирусы загрузочный жесткий диск;
• Контролировать подозрительные операции, которые могут означать действие вируса;
• Проверять файлы, выгружаемые из Internet;
• Проверять на загрузочные вирусы гибкие диски при обращении к ним;
• Обновлять описания вирусов как минимум раз в месяц.

С помощью Norton AntiVirus можно: проверить на вирусы отдельные файлы, папки или диски; запланировать автоматический поиск вирусов в заданное время; по плану или в любой нужный момент выполнить обновление файлов описания вирусов с помощью функции LiveUpdate.
Сотрудники фирмы Symantec отслеживают сообщения о появлении новых вирусов. После идентификации нового вирусы информация о нем (сигнатура) заносится в файлы описания вирусов. Поэтому данные файлы рекомендуется обновлять не реже, чем раз в месяц.

Во время проверки дисков и файлов (в ручном или запланированном режиме) Norton AntiVirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то Norton AntiVirus может устранить заражение автоматически.

Борьбу с вирусами Norton AntiVirus ведет следующим образом.

• Выявляет проникшие в систему известные вирусы и уничтожает их (автозащита).
• Преграждает вирусам путь в систему (автозащита и вакцинация).
• Следит за подозрительными действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика).

Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется компьютер, можно усилить или ослабить меры защиты путем настройки различных параметров Norton AntiVirus.
Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.

Существует два способа уничтожения вирусов:

• Исправление зараженного файла, загрузочной записи или главной загрузочной записи.
• Удаление зараженного файла с диска и последующая замена его незараженной копией.

- Понятие компьютерного вируса

- Классификация компьютерных вирусов

До сих пор строгого определения компьютерного вируса не существует, поэтому в различных работах специалистов встречаются совершенно разные трактовки и определения этого термина.

Однако все едины в одном.

Программа-вирус способна к самораспространению. Это и есть главный критерий, по которому отличается программа-вирус от остальных программ.

Другое отличие заключается в том, что обычно понятие компьютерный вирус связывают с какой-нибудь опасностью, подстерегающей даже высоконадежные компьютерные системы, так как программы-вирусы специально предназначены для того, чтобы нарушать нормальную работу компьютерных систем

Мы будем исходить из следующего определения.

Компьютерный вирус - это набор команд, который производит и распространяет свои копии в компьютерных системах и/или компьютерных сетях и преднамеренно выполняет некоторые действия, нежелательные для законных пользователей системы.

Рассмотрим подробнее ключевые элементы определения, чтобы понять его суть.

Компьютерный вирус - набор команд. Тело вируса могут составлять команды какого-либо языка программирования или нескольких сразу. Самым распространенным случаем является язык ассемблера. Реже встречаются команды языка управления заданиями. Иногда используются микропрограммные инструкции, управляющие символы и комбинации в телекоммуникационных сообщениях, различного рода параметры. Последние “достижения” в этой области - макрокоманды.

Компьютерный вирус распространяется. Вирус может создавать свои копии и внедряться в выполнимые файлы программ, командные файлы, системные области компьютера. При этом копии сохраняют способность к дальнейшему распространению. Важно и то, что вирус может распространять набор команд, отличный от оригинала.

Компьютерный вирус выполняет нежелательные действия. Причем нежелательные - это чаще всего мягко сказано. Попадая в компьютерную систему, вирус производит в ней изменения. В лучшем случае - это безобидные действия. Например, отображение на экране монитора разнообразных надписей или рисунков, проигрывание на встроенном динамике различных мелодий. В худшем случае - это разрушение файлов данных и программного обеспечения компьютера. Существуют вирусы, которые могут основательно вывести компьютер из строя и сделать неработоспособной системную плату компьютера. Существуют вирусы, делающие “полезную” работу. Например, один из вирусов, поражающий файлы программ, одновременно сжимает их, создавая на диске больше свободного места. Но он выполняет эти действия автоматически, не спрашивая разрешения на это владельца программ, т.е. и это “полезное” действие является нежелательным для законного пользователя.

Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим признакам:

· по среде обитания вируса,

· по способу заражения,

· по деструктивным возможностям,

· по особенностям алгоритма вируса.

По с p еде обитания виpусы подpазделяются на файловые, загрузочные и файлово-загpузочные.

ФАЙЛОВЫМ называют вирус, который внед p яется в исполняемые файлы.

Это означает, что код программы-вируса находится в каком-то исполняемом файле.

Файл, в теле которого присутствует код программы-вируса, называется зараженным (инфицированным) файлом.

ЗАГРУЗОЧ H ЫМ (бутовым) называют вирус, который внедpяется в загpузочный сектоp диска (Boot-сектоp), либо в сектоp, содеpжащий системный загpузчик винчестеpа (Master Boot Record).

В данном случае код программы-вируса (или его часть) размещен в загрузочном секторе или в главной загрузочной записи.

Диск, загрузочный сектор которого поражен вирусом, называется зараженным или инфицированным диском.

ФАЙЛОВО-ЗАГРУЗОЧHЫМ называют виpус, который внедряется как в файлы, так и загpузочные сектоpы дисков.

Это уже более сложные вирусы, потому что они реализовывают и алгоpитм заражения файловым вирусом, и алгоритм заражения загрузочным вирусом.

По способам заpажения различают pезидентные и неpезидентные вирусы.

РЕЗИДЕHТHЫЙ виpус размещает себя или некоторую свою часть в опеpативной памяти компьютера, получая возможность пеpехватывать обpащения опеpационной системы к дискам и файлам.

При обращении операционной системы к этим объектам, вирус внедряется в них. Резидентный виpус находится в опеpативной памяти и является активным (т.е. способным заражать все новые и новые объекты) вплоть до выключения или перезагрузки компьютеpа.

Резидентными являются все загрузочные вирусы.

HЕРЕЗИДЕHТHЫЙ виpус не заpажает оперативную память компьютеpа, то есть не размещает свой код в оперативной памяти. Он является активным только во время работы зараженной программы.

По деструктивным возможностям вирусы можно разделить на неопасные и опасные.

НЕОПАСНЫЕ виpусы - это те, которые либо совсем никак не влияют на pаботу компьютеpа, кpоме того, что все-таки уменьшают свободную память на диске в pезультате своего pаспpостpанения, либо ограничиваются видео и аудиоэффектами.

ОПАСHЫМИ виpусами являются все остальные.

Это вирусы, котоpые наносят любой вред компьютеру: пpиводят к сеpьезным сбоям в pаботе, уничтожают или изменяют данные, уничтожают информацию в системных областях компьютера и т.п.

По особенностям алгоритма можно выделить следующие группы вирусов:

2) вирусы в структуре файловой системы;

5) полиморфные и MtE -вирусы;

Обо всех этих вирусах и их алгоритмах мы подробно поговорим позже.

Семейства вирусов - это группы из нескольких вирусов. Иногда эти группы насчитывают более десятка представителей.

Такие вот вирусы и объединяют в одно семейство.

Иногда семейство насчитывает более 30 вирусов.

Размер программы измеряется количеством байт, которые она занимает в памяти. По отношению к программам-вирусам применяется термин длина вируса. Она тоже измеряется в байтах, но это не всегда размер всей программы-вируса. Чуть позже мы подробнее обсудим определение длины вирусов.

Длина вируса является важным его свойством, ее необходимо знать при лечении файлов и загрузочных секторов.

Как известно, программирование - это искусство. Авторы вирусов доказывают, что написание программ-вирусов тоже искусство. Они чуть ли не соревнуются друг с другом в написании самого компактного кода, в реализации самого изощренного алгоритма.

На сколько разнообразна сложность вирусов, на столько разнообразна и их длина (прямой зависимости нет). Длина вирусов колеблется от очень большой до очень маленькой. Например, существуют вирусы с длиной меньше 100 байт и наряду с ними есть вирусы, имеющие значительный размер - более 30 Кб. Но чаще всего длина вируса находится в диапазоне от 500 до 2000 байт.

Особое впечатление, конечно, производят компактные вирусы. Существуют даже своего рода шедевры. Это вирусы, имеющие длину меньше 100 байт.

Во многих классификациях длина вируса включается в его название.

К началу двадцать первого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.

В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].

Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.

Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

• прекращение работы или изменение в рабочем режиме отдельных видов программного обеспечения, которое еще недавно было полностью исправным;
• снижение скорости или прекращение загрузки операционной системы;
• резкое изменение скорости работы компьютера в сторону снижения;
• исчезновение файлов, размещённых на жестком диске;
• изменения внешнего вида и размеров файлов;
• увеличение или уменьшение количества файлов на внешнем или жестком носителе;
• сокращение размеров свободной оперативной памяти;
• зависания и явные сбои в работе компьютерной техники;
• постоянное появление информации об ошибках;
• сигналы антивирусной программы об обнаружении вирусного ПО;
• появление самозагружающихся программ, сообщений или изображений [2].

В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].

Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.