Деструктивные действия вирусов что такое

лПНРШАФЕТОЩК ЧЙТХУ Ђ ЬФП, ЛБЛ РТБЧЙМП, ОЕВПМШЫБС РП ПВЯЕНХ ЛПНРШАФЕТОБС РТПЗТБННБ, ПВМБДБАЭБС УМЕДХАЭЙНЙ УЧПКУФЧБНЙ:

ћ ЧПЪНПЦОПУФША УПЪДБЧБФШ УЧПЙ ЛПРЙЙ Й ЧОЕДТСФШ ЙИ Ч ДТХЗЙЕ РТПЗТБННЩ;

ћ УЛТЩФПУФШ (МБФЕОФОПУФШ) УХЭЕУФЧПЧБОЙС ДП ПРТЕДЕМЕООПЗП НПНЕОФБ;

ћ ОЕУБОЛГЙПОЙТПЧБООПУФШ (УП УФПТПОЩ РПМШЪПЧБФЕМС) РТПЙЪЧПДЙНЩИ ЕА ДЕКУФЧЙК;

ћ ОБМЙЮЙЕ ПФТЙГБФЕМШОЩИ РПУМЕДУФЧЙК ПФ ЕЕ ЖХОЛГЙПОЙТПЧБОЙС.

уМЕДХЕФ ПФНЕФЙФШ, ЮФП ОЕ ЧУЕ РТПЗТБННЩ, ПВЩЮОП ОБЪЩЧБЕНЩЕ ЧЙТХУБНЙ, ПВМБДБАФ ЧУЕНЙ ЙЪ РЕТЕЮЙУМЕООЩИ УЧПКУФЧ. лПНРШАФЕТОЩН ЧЙТХУБН, ЛБЛ Й ВЙПМПЗЙЮЕУЛЙН, ИБТБЛФЕТОЩ ПРТЕДЕМЕООЩЕ УФБДЙЙ УХЭЕУФЧПЧБОЙС:

§ МБФЕОФОБС УФБДЙС, Ч ЛПФПТПК ЧЙТХУПН ОЙЛБЛЙИ ДЕКУФЧЙК ОЕ РТЕДРТЙОЙНБЕФУС;

§ ЙОЛХВБГЙПООБС УФБДЙС, Ч ЛПФПТПК ПУОПЧОБС ЪБДБЮБ ЧЙТХУБ Ђ УПЪДБФШ ЛБЛ НПЦОП ВПМШЫЕ УЧПЙИ ЛПРЙК Й ЧОЕДТЙФШ ЙИ Ч УТЕДХ ПВЙФБОЙС;

§ БЛФЙЧОБС УФБДЙС, Ч ЛПФПТПК ЧЙТХУ, РТПДПМЦБС ТБЪНОПЦБФШУС, РТПСЧМСЕФУС Й ЧЩРПМОСЕФ УЧПЙ ДЕУФТХЛФЙЧОЩЕ ДЕКУФЧЙС.

лМБУУЙЖЙЛБГЙС ЧТЕДПОПУОЩИ РТПЗТБНН РТЙЧЕДЕОБ ОБ ТЙУ. 12. рП УТЕДЕ ПВЙФБОЙС ЧЙТХУЩ НПЦОП ТБЪДЕМЙФШ ОБ:

тЙУХОПЛ 12. лМБУУЙЖЙЛБГЙС ЧТЕДПОПУОЩИ РТПЗТБНН

жБКМПЧЩЕ ЧЙТХУЩ ЮБЭЕ ЧУЕЗП ЧОЕДТСАФУС Ч ЙУРПМОСЕНЩЕ ЖБКМЩ, ЙНЕАЭЙЕ ТБУЫЙТЕОЙС .ЕИЕ Й . com , ОП НПЗХФ ЧОЕДТСФШУС Й Ч ПВЯЕЛФОЩЕ ЖБКМЩ, ВЙВМЙПФЕЛЙ, Ч ЛПНБОДОЩЕ РБЛЕФОЩЕ ЖБКМЩ, РТПЗТБННОЩЕ ЖБКМЩ ОБ СЪЩЛБИ РТПГЕДХТОПЗП РТПЗТБННЙТПЧБОЙС. жБКМПЧЩЕ ЧЙТХУЩ НПЗХФ УПЪДБЧБФШ ЖБКМЩ-ДЧПКОЙЛЙ.

ъБЗТХЪПЮОЩЕ ЧЙТХУЩ ЧОЕДТСАФУС Ч ЪБЗТХЪПЮОЩК УЕЛФПТ ДЙУЛЕФЩ ( boot - sector ) ЙМЙ Ч УЕЛФПТ, УПДЕТЦБЭЙК РТПЗТБННХ ЪБЗТХЪЛЙ УЙУФЕНОПЗП ДЙУЛБ ( master boot record ). рТЙ ЪБЗТХЪЛЕ пу У ЪБТБЦЕООПЗП ДЙУЛБ ФБЛПК ЧЙТХУ ЙЪНЕОСЕФ РТПЗТБННХ ОБЮБМШОПК ЪБЗТХЪЛЙ МЙВП НПДЙЖЙГЙТХЕФ ФБВМЙГХ ТБЪНЕЭЕОЙС ЖБКМПЧ ОБ ДЙУЛЕ, УПЪДБЧБС ФТХДОПУФЙ Ч ТБВПФЕ ЛПНРШАФЕТБ ЙМЙ ДБЦЕ ДЕМБС ОЕЧПЪНПЦОЩН ЪБРХУЛ ПРЕТБГЙПООПК УЙУФЕНЩ.

жБКМПЧП-ЪБЗТХЪПЮОЩЕ ЧЙТХУЩ ЙОФЕЗТЙТХАФ ЧПЪНПЦОПУФЙ ДЧХИ РТЕДЩДХЭЙИ ЗТХРР.

нБЛТПЧЙТХУЩ ЪБТБЦБАФ Й ЙУЛБЦБАФ ФЕЛУФПЧЩЕ ЖБКМЩ (. doc ) Й ЖБКМЩ ЬМЕЛФТПООЩИ ФБВМЙГ ОЕЛПФПТЩИ РПРХМСТОЩИ ТЕДБЛФПТПЧ. лПНВЙОЙТПЧБООЩЕ УЕФЕЧЩЕ НБЛТПЧЙТХУЩ ОЕ ФПМШЛП ЪБТБЦБАФ УПЪДБЧБЕНЩЕ ДПЛХНЕОФЩ, ОП Й ТБУУЩМБАФ ЛПРЙЙ ЬФЙИ ДПЛХНЕОФПЧ РП ЬМЕЛФТПООПК РПЮФЕ (РЕЮБМШОП ЙЪЧЕУФОЩК ЧЙТХУ " I love you ").

уЕФЕЧЩЕ ЮЕТЧЙ ЙУРПМШЪХАФ ДМС УЧПЕЗП ТБУРТПУФТБОЕОЙС ЛПНБОДЩ Й РТПФПЛПМЩ ФЕМЕЛПННХОЙЛБГЙПООЩИ УЙУФЕН (ЬМЕЛФТПООПК РПЮФЩ, ЛПНРШАФЕТОЩИ УЕФЕК). пОЙ РПДТБЪДЕМСАФУС ОБ Internet -ЮЕТЧЙ (ТБУРТПУФТБОСАФУС РП йОФЕТОЕФХ), LAN -ЮЕТЧЙ (ТБУРТПУФТБОСАФУС РП МПЛБМШОПК УЕФЙ), IRC -ЮЕТЧЙ ( Internet Relay Chat ) Ђ ТБУРТПУФТБОСАФУС ЮЕТЕЪ ЮБФЩ. уХЭЕУФЧХАФ ФБЛЦЕ УНЕЫБООЩЕ ФЙРЩ, ЛПФПТЩЕ УПЧНЕЭБАФ Ч УЕВЕ УТБЪХ ОЕУЛПМШЛП ФЕИОПМПЗЙК.

ч ПФДЕМШОХА ЗТХРРХ ЧЩДЕМСАФУС ФТПСОУЛЙЕ РТПЗТБННЩ, ЛПФПТЩЕ ОЕ ТБЪНОПЦБАФУС Й ОЕ ТБУУЩМБАФУС УБНЙ.

фТПСОУЛЙЕ РТПЗТБННЩ РПДТБЪДЕМСАФ ОБ ОЕУЛПМШЛП ЧЙДПЧ (УН. ТЙУ. 4.3), ЛПФПТЩЕ НБУЛЙТХАФУС РПД РПМЕЪОЩЕ РТПЗТБННЩ Й ЧЩРПМОСАФ ДЕУФТХЛФЙЧОЩЕ ЖХОЛГЙЙ. пОЙ НПЗХФ ПВЕУРЕЮЙФШ ЪМПХНЩЫМЕООЙЛХ УЛТЩФЩК ОЕУБОЛГЙПОЙТПЧБООЩК ДПУФХР Л ЙОЖПТНБГЙЙ ОБ ЛПНРШАФЕТЕ РПМШЪПЧБФЕМС Й ЕЕ РПИЙЭЕОЙЕ (ПФУАДБ ЙИ ОБЪЧБОЙЕ). фБЛЙЕ РТПЗТБННЩ ЙОПЗДБ ОБЪЩЧБАФ ХФЙМЙФБНЙ ОЕУБОЛГЙПОЙТПЧБООПЗП ХДБМЕООПЗП ХРТБЧМЕОЙС.

ьНХМСФПТЩ DDoS -БФБЛ ( Distributed Denial of Service ) РТЙЧПДСФ Л -БФБЛБН ОБ ЧЕВ-УЕТЧЕТЩ, РТЙ ЛПФПТЩИ ОБ ЧЕВ-УЕТЧЕТ ЙЪ ТБЪОЩИ НЕУФ РПУФХРБЕФ ВПМШЫПЕ ЛПМЙЮЕУФЧП РБЛЕФПЧ, ЮФП Й РТЙЧПДЙФ Л ПФЛБЪБН ТБВПФЩ УЙУФЕНЩ.

дТПРРЕТ (ПФ БОЗМ. drop Ђ ВТПУБФШ) Ђ РТПЗТБННБ, ЛПФПТБС "УВТБУЩЧБЕФ" Ч УЙУФЕНХ ЧЙТХУ ЙМЙ ДТХЗЙЕ ЧТЕДПОПУОЩЕ РТПЗТБННЩ, РТЙ ЬФПН УБНБ ВПМШЫЕ ОЙЮЕЗП ОЕ ДЕМБЕФ.

уЛТЙРФ-ЧЙТХУЩ Ђ ЬФП ЧЙТХУЩ, ОБРЙУБООЩЕ ОБ УЛТЙРФ-СЪЩЛБИ, ФБЛЙИ ЛБЛ Visual Basic Script , Java Script Й ДТ.

рП УРПУПВХ ЪБТБЦЕОЙС УТЕДЩ ПВЙФБОЙС ЧЙТХУЩ ДЕМСФУС ОБ:

тЕЪЙДЕОФОЩЕ ЧЙТХУЩ РПУМЕ ЪБЧЕТЫЕОЙС ЙОЖЙГЙТПЧБООПК РТПЗТБННЩ ПУФБАФУС Ч ПРЕТБФЙЧОПК РБНСФЙ Й РТПДПМЦБАФ УЧПЙ ДЕУФТХЛФЙЧОЩЕ ДЕКУФЧЙС, ЪБТБЦБС УМЕДХАЭЙЕ ЙУРПМОСЕНЩЕ РТПЗТБННЩ Й РТПГЕДХТЩ ЧРМПФШ ДП НПНЕОФБ ЧЩЛМАЮЕОЙС ЛПНРШАФЕТБ. оЕТЕЪЙДЕОФОЩЕ ЧЙТХУЩ ЪБРХУЛБАФУС ЧНЕУФЕ У ЪБТБЦЕООПК РТПЗТБННПК Й РПУМЕ ЕЕ ЪБЧЕТЫЕОЙС ЙЪ ПРЕТБФЙЧОПК РБНСФЙ ХДБМСАФУС.

рП БМЗПТЙФНБН ЖХОЛГЙПОЙТПЧБОЙС ЧЙТХУЩ ДЕМСФУС ОБ УМЕДХАЭЙЕ ЗТХРРЩ:

ћ РБТБЪЙФЙЮЕУЛЙЕ ЧЙТХУЩ, ЙЪНЕОСАЭЙЕ УПДЕТЦЙНПЕ ЖБКМПЧ ЙМЙ УЕЛФПТПЧ ДЙУЛБ. пОЙ ДПУФБФПЮОП РТПУФП НПЗХФ ВЩФШ ПВОБТХЦЕОЩ Й ХОЙЮФПЦЕОЩ;

ћ ЧЙТХУЩ-ТЕРМЙЛБФПТЩ ("ЮЕТЧЙ"), УБНПТБЪНОПЦБАЭЙЕУС Й ТБУРТПУФТБОСАЭЙЕУС РП ЛПНРШАФЕТОЩН УЕФСН. уБНЙ ДЕУФТХЛФЙЧОЩИ ДЕКУФЧЙК ОЕ ЧЩРПМОСАФ;

ћ ЧЙТХУЩ-ОЕЧЙДЙНЛЙ УРПУПВОЩ РТСФБФШУС РТЙ РПРЩФЛБИ ЙИ ПВОБТХЦЕОЙС. пОЙ РЕТЕИЧБФЩЧБАФ ЪБРТПУ БОФЙЧЙТХУОПК РТПЗТБННЩ Й НЗОПЧЕООП МЙВП ХДБМСАФ ЧТЕНЕООП УЧПЕ ФЕМП ЙЪ ЪБТБЦЕООПЗП ЖБКМБ, МЙВП РПДУФБЧМСАФ ЧНЕУФП УЧПЕЗП ФЕМБ ОЕЪБТБЦЕООЩЕ ХЮБУФЛЙ ЖБКМПЧ;

ћ УБНПЫЙЖТХАЭЙЕУС ЧЙТХУЩ (Ч ТЕЦЙНЕ РТПУФПС ЪБЫЙЖТПЧБОЩ Й ТБУЫЙЖТПЧЩЧБАФУС ФПМШЛП Ч НПНЕОФ ОБЮБМБ ТБВПФЩ ЧЙТХУБ);

ћ НХФЙТХАЭЙЕ ЧЙТХУЩ (РЕТЙПДЙЮЕУЛЙ БЧФПНБФЙЮЕУЛЙ ЧЙДПЙЪНЕОСАФУС: ЛПРЙЙ ЧЙТХУБ ОЕ ЙНЕАФ ОЙ ПДОПК РПЧФПТСАЭЕКУС ГЕРПЮЛЙ ВБКФ), ОЕПВИПДЙНП ЛБЦДЩК ТБЪ УПЪДБЧБФШ ОПЧЩЕ БОФЙЧЙТХУОЩЕ ВБЪЩ ДМС ПВЕЪЧТЕЦЙЧБОЙС ЬФЙИ ЧЙТХУПЧ;

ћ "ПФДЩИБАЭЙЕ" ЧЙТХУЩ (ПУОПЧОПЕ ЧТЕНС РТПЧПДСФ Ч МБФЕОФОПН УПУФПСОЙЙ Й БЛФЙЧЙЪЙТХАФУС ФПМШЛП РТЙ ПРТЕДЕМЕООЩИ ХУМПЧЙСИ, ОБРТЙНЕТ, ЧЙТХУ "юЕТОПВЩМШ" ЖХОЛГЙПОЙТХЕФ ФПМШЛП Ч ДЕОШ ЗПДПЧЭЙОЩ ЮЕТОПВЩМШУЛПК ФТБЗЕДЙЙ).

дМС УЧПЕЧТЕНЕООПЗП ПВОБТХЦЕОЙС Й ХДБМЕОЙС ЧЙТХУПЧ ЧБЦОП ЪОБФШ ПУОПЧОЩЕ РТЙЪОБЛЙ РПСЧМЕОЙС ЧЙТХУБ Ч ЛПНРШАФЕТЕ:

Ђ ОЕПЦЙДБООБС ОЕТБВПФПУРПУПВОПУФШ ЛПНРШАФЕТБ ЙМЙ ЕЗП ЛПНРПОЕОФПЧ;

Ђ ОЕЧПЪНПЦОПУФШ ЪБЗТХЪЛЙ ПРЕТБГЙПООПК УЙУФЕНЩ;

Ђ НЕДМЕООБС ТБВПФБ ЛПНРШАФЕТБ;

Ђ ЮБУФЩЕ ЪБЧЙУБОЙС Й УВПЙ Ч ЛПНРШАФЕТЕ;

Ђ РТЕЛТБЭЕОЙЕ ТБВПФЩ ТБОЕЕ ХУРЕЫОП ЙУРПМОСЧЫЙИУС РТПЗТБНН;

Ђ ЙУЛБЦЕОЙЕ ЙМЙ ЙУЮЕЪОПЧЕОЙЕ ЖБКМПЧ Й ЛБФБМПЗПЧ;

Ђ ОЕРТЕДХУНПФТЕООПЕ ЖПТНБФЙТПЧБОЙЕ ДЙУЛБ;

Ђ ОЕПВПУОПЧБООПЕ ХЧЕМЙЮЕОЙЕ ЛПМЙЮЕУФЧБ ЖБКМПЧ ОБ ДЙУЛЕ;

Ђ ОЕПВПУОПЧБООПЕ ЙЪНЕОЕОЙЕ ТБЪНЕТБ ЖБКМПЧ;

Ђ ЙУЛБЦЕОЙЕ ДБООЩИ Ч CMOS -РБНСФЙ;

Ђ УХЭЕУФЧЕООПЕ ХНЕОШЫЕОЙЕ ПВЯЕНБ УЧПВПДОПК ПРЕТБФЙЧОПК РБНСФЙ;

Ђ ЧЩЧПД ОБ ЬЛТБО ОЕРТЕДХУНПФТЕООЩИ УППВЭЕОЙК Й ЙЪПВТБЦЕОЙК;

Ђ РПСЧМЕОЙЕ ОЕРТЕДХУНПФТЕООЩИ ЪЧХЛПЧЩИ УЙЗОБМПЧ.

йУФПЮОЙЛБНЙ ОЕРТЕДОБНЕТЕООПЗП ЧЙТХУОПЗП ЪБТБЦЕОЙС НПЗХФ СЧЙФШУС УЯЕНОЩЕ ОПУЙФЕМЙ ЙОЖПТНБГЙЙ Й УЙУФЕНЩ ФЕМЕЛПННХОЙЛБГЙК. уЯЕНОЩЕ ОПУЙФЕМЙ ЙОЖПТНБГЙЙ Ђ ЮБЭЕ ЧУЕЗП ЬФП ДЙУЛЕФЩ, УЯЕНОЩЕ ЦЕУФЛЙЕ ДЙУЛЙ, ЛПОФТБЖБЛФОЩЕ ЛПНРБЛФ-ДЙУЛЙ. дМС ПВОБТХЦЕОЙС Й ХДБМЕОЙС ЛПНРШАФЕТОЩИ ЧЙТХУПЧ ТБЪТБВПФБОП НОПЗП ТБЪМЙЮОЩИ РТПЗТБНН.

бОФЙЧЙТХУОЩЕ РТПЗТБННЩ НПЦОП ТБЪДЕМЙФШ ОБ:

ћ РТПЗТБННЩ-ДПЛФПТБ, ЙМЙ ДЕЪЙОЖЕЛФПТЩ, ЖБЗЙ;

ћ РТПЗТБННЩ-ЧБЛГЙОЩ, ЙМЙ ЙННХОЙЪБФПТЩ.

рТЙЧЕДЕН ЛТБФЛЙЕ ИБТБЛФЕТЙУФЙЛЙ БОФЙЧЙТХУОЩИ РТПЗТБНН.

рТПЗТБННЩ-ДЕФЕЛФПТЩ ПУХЭЕУФЧМСАФ РПЙУЛ ЛПНРШАФЕТОЩИ ЧЙТХУПЧ Ч РБНСФЙ НБЫЙОЩ Й РТЙ ЙИ ПВОБТХЦЕОЙЙ УППВЭБАФ ПВ ЬФПН. дЕФЕЛФПТЩ НПЗХФ ЙУЛБФШ ЛБЛ ХЦЕ ЙЪЧЕУФОЩЕ ЧЙТХУЩ (ЙЭХФ ИБТБЛФЕТОХА ДМС ЛПОЛТЕФОПЗП ХЦЕ ЙЪЧЕУФОПЗП ЧЙТХУБ РПУМЕДПЧБФЕМШОПУФШ ВБКФПЧ Ђ УЙЗОБФХТХ ЧЙТХУБ), ФБЛ Й РТПЙЪЧПМШОЩЕ ЧЙТХУЩ (РХФЕН РПДУЮЕФБ ЛПОФТПМШОЩИ УХНН ДМС НБУУЙЧБ ЖБКМБ).

рТПЗТБННЩ-ТЕЧЙЪПТЩ СЧМСАФУС ТБЪЧЙФЙЕН ДЕФЕЛФПТПЧ, ОП ЧЩРПМОСАФ ВПМЕЕ УМПЦОХА ТБВПФХ. пОЙ ЪБРПНЙОБАФ ЙУИПДОПЕ УПУФПСОЙЕ РТПЗТБНН, ЛБФБМПЗПЧ, УЙУФЕНОЩИ ПВМБУФЕК Й РЕТЙПДЙЮЕУЛЙ ЙМЙ РП ХЛБЪБОЙА РПМШЪПЧБФЕМС УТБЧОЙЧБАФ ЕЗП У ФЕЛХЭЙН. рТЙ УТБЧОЕОЙЙ РТПЧЕТСЕФУС ДМЙОБ ЖБКМПЧ, ДБФБ ЙИ УПЪДБОЙС Й НПДЙЖЙЛБГЙЙ, ЛПОФТПМШОЩЕ УХННЩ Й ВБКФЩ ГЙЛМЙЮЕУЛПЗП ЛПОФТПМС Й ДТХЗЙЕ РБТБНЕФТЩ. тЕЧЙЪПТЩ ЬЖЖЕЛФЙЧОЕЕ ДЕФЕЛФПТПЧ.

рТПЗТБННЩ-ЖЙМШФТЩ ПВЕУРЕЮЙЧБАФ ЧЩСЧМЕОЙЕ РПДПЪТЙФЕМШОЩИ, ИБТБЛФЕТОЩИ ДМС ЧЙТХУПЧ ДЕКУФЧЙК (ЛПТТЕЛГЙС ЙУРПМОСЕНЩИ .ЕИЕ Й . com ЖБКМПЧ, ЪБРЙУШ Ч ЪБЗТХЪПЮОЩЕ УЕЛФПТЩ ДЙУЛПЧ, ЙЪНЕОЕОЙЕ БФТЙВХФПЧ ЖБКМПЧ, РТСНБС ЪБРЙУШ ОБ ДЙУЛ РП РТСНПНХ БДТЕУХ Й Ф. Д.). рТЙ ПВОБТХЦЕОЙЙ ФБЛЙИ ДЕКУФЧЙК ЖЙМШФТЩ РПУЩМБАФ РПМШЪПЧБФЕМА ЪБРТПУ П РПДФЧЕТЦДЕОЙЙ РТБЧПНЕТОПУФЙ ФБЛЙИ РТПГЕДХТ.

рТПЗТБННЩ-ДПЛФПТБ Ђ УБНЩЕ ТБУРТПУФТБОЕООЩЕ Й РПРХМСТОЩЕ (ОБРТЙНЕТ, Kaspersky Antivirus , Doctor Web , Norton Antivirus Й Ф. Д.), ЛПФПТЩЕ ОЕ ФПМШЛП ПВОБТХЦЙЧБАФ, ОП Й МЕЮБФ ЪБТБЦЕООЩЕ ЧЙТХУБНЙ ЖБКМЩ Й ЪБЗТХЪПЮОЩЕ УЕЛФПТЩ ДЙУЛПЧ. пОЙ УОБЮБМБ ЙЭХФ ЧЙТХУЩ Ч ПРЕТБФЙЧОПК РБНСФЙ Й ХОЙЮФПЦБАФ ЙИ ФБН (ХДБМСАФ ФЕМП ТЕЪЙДЕОФОПЗП ЖБКМБ), Б ЪБФЕН МЕЮБФ ЖБКМЩ Й ДЙУЛЙ. нОПЗЙЕ РТПЗТБННЩ-ДПЛФПТБ СЧМСАФУС РПМЙЖБЗБНЙ Й ПВОПЧМСАФУС ДПУФБФПЮОП ЮБУФП.

рТПЗТБННЩ-ЧБЛГЙОЩ РТЙНЕОСАФУС ДМС РТЕДПФЧТБЭЕОЙС ЪБТБЦЕОЙС ЖБКМПЧ Й ДЙУЛПЧ ЙЪЧЕУФОЩНЙ ЧЙТХУБНЙ. чБЛГЙОЩ НПДЙЖЙГЙТХАФ ЖБКМ ЙМЙ ДЙУЛ ФБЛЙН ПВТБЪПН, ЮФП ПО ЧПУРТЙОЙНБЕФУС РТПЗТБННПК-ЧЙТХУПН ХЦЕ ЪБТБЦЕООЩН, Й РПЬФПНХ ЧЙТХУ ОЕ ЧОЕДТСЕФУС. дМС ЪБЭЙФЩ ЛПНРШАФЕТБ ПФ ЧЙТХУПЧ ОЕПВИПДЙНП:

§ ОЕ ЙУРПМШЪПЧБФШ ОЕМЙГЕОЪЙПООЩЕ ЙМЙ ОЕРТПЧЕТЕООЩЕ РТПЗТБННОЩЕ РТПДХЛФЩ;

§ ЙНЕФШ ОБ ЛПНРШАФЕТЕ ПДЙО ЙМЙ ОЕУЛПМШЛП ОБВПТПЧ БОФЙЧЙТХУОЩИ РТПЗТБНН Й ПВОПЧМСФШ ЙИ ЕЦЕОЕДЕМШОП;

§ ОЕ РПМШЪПЧБФШУС ДЙУЛЕФБНЙ У ЮХЦЙИ ЛПНРШАФЕТПЧ, Б РТЙ ОЕПВИПДЙНПУФЙ ФБЛПЗП ЙУРПМШЪПЧБОЙС УТБЪХ ЦЕ РТПЧЕТСФШ ЙИ БОФЙЧЙТХУОЩНЙ РТПЗТБННБНЙ;

§ ОЕ ЪБРХУЛБФШ РТПЗТБНН, ОБЪОБЮЕОЙЕ ЛПФПТЩИ ОЕЙЪЧЕУФОП ЙМЙ ОЕРПОСФОП;

§ ЙУРПМШЪПЧБФШ БОФЙЧЙТХУОЩЕ РТПЗТБННЩ ДМС ЧИПДОПЗП ЛПОФТПМС ЙОЖПТНБГЙЙ, РПУФХРБАЭЕК РП УЕФЙ;

§ ОЕ ТБУЛТЩЧБФШ ЧМПЦЕОЙС Ч ЬМЕЛФТПООЩЕ РЙУШНБ ПФ ОЕЙЪЧЕУФОЩИ ПФРТБЧЙФЕМЕК;

§ РТЙ РЕТЕОПУЕ ОБ ЛПНРШАФЕТ БТИЙЧЙТПЧБООЩИ ЖБКМПЧ УТБЪХ ЦЕ РПУМЕ ТБЪБТИЙЧЙТПЧБОЙС РТПЧЕТСФШ ЙИ БОФЙЧЙТХУОЩНЙ РТПЗТБННБНЙ;

§ РЕТЕД ПФЛТЩФЙЕН ФЕЛУФПЧЩИ, ФБВМЙЮОЩИ Й ЙОЩИ ЖБКМПЧ, УПДЕТЦБЭЙИ НБЛТПУЩ, РТПЧЕТСФШ ЙИ ОБ ОБМЙЮЙЕ ЧЙТХУПЧ;

§ РЕТЙПДЙЮЕУЛЙ РТПЧЕТСФШ ЧЙОЮЕУФЕТ ОБ ОБМЙЮЙЕ ЧЙТХУПЧ;

§ ОЕ ПУФБЧМСФШ ДЙУЛЕФЩ Ч ДЙУЛПЧПДЕ РТЙ ЧЛМАЮЕОЙЙ Й ЧЩЛМАЮЕОЙЙ ЛПНРШАФЕТБ ЧП ЙЪВЕЦБОЙЕ ЪБТБЦЕОЙС ЙИ ЪБЗТХЪПЮОЩНЙ ЧЙТХУБНЙ.

К началу двадцать первого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.

В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].

Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.

Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

прекращение работы или изменение в рабочем режиме отдельных видов программного обеспечения, которое еще недавно было полностью исправным;
снижение скорости или прекращение загрузки операционной системы;
резкое изменение скорости работы компьютера в сторону снижения;
исчезновение файлов, размещённых на жестком диске;
изменения внешнего вида и размеров файлов;
увеличение или уменьшение количества файлов на внешнем или жестком носителе;
сокращение размеров свободной оперативной памяти;
зависания и явные сбои в работе компьютерной техники;
постоянное появление информации об ошибках;
сигналы антивирусной программы об обнаружении вирусного ПО;
появление самозагружающихся программ, сообщений или изображений [2].

В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].

Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.

Проявлениями (деструктивными действиями) вирусов могут быть:

Влияние на работу ПЭВМ;

Искажение программных файлов;

Искажение файлов с данными;

Форматирование диска или его части;

Замена информации на диске или его части;

Искажение BR или MBR диска;

Разрушение связности файлов путем искажения FAT;

Искажение данных в CMOS-памяти.

1.4 Способы маскировки вируса

В соответствии со способами маскировки различают:

Две последние группы стали развиваться в связи с появлением антивирусных средств.

Метод маскировки, используемые стелс-вирусами, носят комплексный характер и могут быть условно разделены на две категории:

Маскировка наличия вируса в программе-вирусоносителе;

Маскировка присутствия резидентного вируса в ОЗУ.

1.5 Симптомы наличия вирусов

Увеличение числа файлов на диске;

Уменьшение объема свободной оперативной памяти;

Изменение даты и времени создания файла;

Увеличение размера программного файла;

Ненормальная работа программы;

Замедление работы программы;

Загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;

Заметное возрастание времени доступа к жесткому диску;

Сбои в работе ОС, в частности, ее зависания;

Разрушение файловой структуры (исчезновение файлов, искажение каталогов).

1.6 Macro-вирусы

MACRO-вирусы живут исключительно в Windows. пассивные объекты отходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свою оборотную сторону.

Другие виды вирусов:

- вирус, наносящий компьютеру физическое повреждение, например, вводящий в резонанс головки винчестера, что приводит к его разрушению.

- вирус, который разрушает память BIOS WinCIH (правда наносимые повреждения достаточно легко исправляются и профилактика проста: в программе SETUP установить запрет на обновление BIOS).

1.7 Другие опасные программы

1) Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

- проникновения на удаленные компьютеры;

- запуска своей копии на удаленном компьютере;

- дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д. Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

2) Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

3) Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

- утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);

- программные библиотеки, разработанные для создания вредоносного ПО;

- хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);

- программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;

- прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

- Понятие компьютерного вируса

- Классификация компьютерных вирусов

До сих пор строгого определения компьютерного вируса не существует, поэтому в различных работах специалистов встречаются совершенно разные трактовки и определения этого термина.

Однако все едины в одном.

Программа-вирус способна к самораспространению. Это и есть главный критерий, по которому отличается программа-вирус от остальных программ.

Другое отличие заключается в том, что обычно понятие компьютерный вирус связывают с какой-нибудь опасностью, подстерегающей даже высоконадежные компьютерные системы, так как программы-вирусы специально предназначены для того, чтобы нарушать нормальную работу компьютерных систем

Мы будем исходить из следующего определения.

Компьютерный вирус - это набор команд, который производит и распространяет свои копии в компьютерных системах и/или компьютерных сетях и преднамеренно выполняет некоторые действия, нежелательные для законных пользователей системы.

Рассмотрим подробнее ключевые элементы определения, чтобы понять его суть.

Компьютерный вирус - набор команд. Тело вируса могут составлять команды какого-либо языка программирования или нескольких сразу. Самым распространенным случаем является язык ассемблера. Реже встречаются команды языка управления заданиями. Иногда используются микропрограммные инструкции, управляющие символы и комбинации в телекоммуникационных сообщениях, различного рода параметры. Последние “достижения” в этой области - макрокоманды.

Компьютерный вирус распространяется. Вирус может создавать свои копии и внедряться в выполнимые файлы программ, командные файлы, системные области компьютера. При этом копии сохраняют способность к дальнейшему распространению. Важно и то, что вирус может распространять набор команд, отличный от оригинала.

Компьютерный вирус выполняет нежелательные действия. Причем нежелательные - это чаще всего мягко сказано. Попадая в компьютерную систему, вирус производит в ней изменения. В лучшем случае - это безобидные действия. Например, отображение на экране монитора разнообразных надписей или рисунков, проигрывание на встроенном динамике различных мелодий. В худшем случае - это разрушение файлов данных и программного обеспечения компьютера. Существуют вирусы, которые могут основательно вывести компьютер из строя и сделать неработоспособной системную плату компьютера. Существуют вирусы, делающие “полезную” работу. Например, один из вирусов, поражающий файлы программ, одновременно сжимает их, создавая на диске больше свободного места. Но он выполняет эти действия автоматически, не спрашивая разрешения на это владельца программ, т.е. и это “полезное” действие является нежелательным для законного пользователя.

Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим признакам:

· по среде обитания вируса,

· по способу заражения,

· по деструктивным возможностям,

· по особенностям алгоритма вируса.

По с p еде обитания виpусы подpазделяются на файловые, загрузочные и файлово-загpузочные.

ФАЙЛОВЫМ называют вирус, который внед p яется в исполняемые файлы.

Это означает, что код программы-вируса находится в каком-то исполняемом файле.

Файл, в теле которого присутствует код программы-вируса, называется зараженным (инфицированным) файлом.

ЗАГРУЗОЧ H ЫМ (бутовым) называют вирус, который внедpяется в загpузочный сектоp диска (Boot-сектоp), либо в сектоp, содеpжащий системный загpузчик винчестеpа (Master Boot Record).

В данном случае код программы-вируса (или его часть) размещен в загрузочном секторе или в главной загрузочной записи.

Диск, загрузочный сектор которого поражен вирусом, называется зараженным или инфицированным диском.

ФАЙЛОВО-ЗАГРУЗОЧHЫМ называют виpус, который внедряется как в файлы, так и загpузочные сектоpы дисков.

Это уже более сложные вирусы, потому что они реализовывают и алгоpитм заражения файловым вирусом, и алгоритм заражения загрузочным вирусом.

По способам заpажения различают pезидентные и неpезидентные вирусы.

РЕЗИДЕHТHЫЙ виpус размещает себя или некоторую свою часть в опеpативной памяти компьютера, получая возможность пеpехватывать обpащения опеpационной системы к дискам и файлам.

При обращении операционной системы к этим объектам, вирус внедряется в них. Резидентный виpус находится в опеpативной памяти и является активным (т.е. способным заражать все новые и новые объекты) вплоть до выключения или перезагрузки компьютеpа.

Резидентными являются все загрузочные вирусы.

HЕРЕЗИДЕHТHЫЙ виpус не заpажает оперативную память компьютеpа, то есть не размещает свой код в оперативной памяти. Он является активным только во время работы зараженной программы.

По деструктивным возможностям вирусы можно разделить на неопасные и опасные.

НЕОПАСНЫЕ виpусы - это те, которые либо совсем никак не влияют на pаботу компьютеpа, кpоме того, что все-таки уменьшают свободную память на диске в pезультате своего pаспpостpанения, либо ограничиваются видео и аудиоэффектами.

ОПАСHЫМИ виpусами являются все остальные.

Это вирусы, котоpые наносят любой вред компьютеру: пpиводят к сеpьезным сбоям в pаботе, уничтожают или изменяют данные, уничтожают информацию в системных областях компьютера и т.п.

По особенностям алгоритма можно выделить следующие группы вирусов:

2) вирусы в структуре файловой системы;

5) полиморфные и MtE -вирусы;

Обо всех этих вирусах и их алгоритмах мы подробно поговорим позже.

Семейства вирусов - это группы из нескольких вирусов. Иногда эти группы насчитывают более десятка представителей.

Такие вот вирусы и объединяют в одно семейство.

Иногда семейство насчитывает более 30 вирусов.

Размер программы измеряется количеством байт, которые она занимает в памяти. По отношению к программам-вирусам применяется термин длина вируса. Она тоже измеряется в байтах, но это не всегда размер всей программы-вируса. Чуть позже мы подробнее обсудим определение длины вирусов.

Длина вируса является важным его свойством, ее необходимо знать при лечении файлов и загрузочных секторов.

Как известно, программирование - это искусство. Авторы вирусов доказывают, что написание программ-вирусов тоже искусство. Они чуть ли не соревнуются друг с другом в написании самого компактного кода, в реализации самого изощренного алгоритма.

На сколько разнообразна сложность вирусов, на столько разнообразна и их длина (прямой зависимости нет). Длина вирусов колеблется от очень большой до очень маленькой. Например, существуют вирусы с длиной меньше 100 байт и наряду с ними есть вирусы, имеющие значительный размер - более 30 Кб. Но чаще всего длина вируса находится в диапазоне от 500 до 2000 байт.

Особое впечатление, конечно, производят компактные вирусы. Существуют даже своего рода шедевры. Это вирусы, имеющие длину меньше 100 байт.

Во многих классификациях длина вируса включается в его название.

Технологии, применяемые в деструктивных вредоносных программах

С точки зрения принципов работы можно выделить несколько типовых алгоритмов реализации деструктивной функции.

Обычно деструктивная программа данного типа осуществляет попытки удаления или повреждения файлов, необходимых для загрузки системы, например содержимого папки system32\Drivers или системных файлов в корне диска. Показательный пример — троянская программа Trojan.Win32.KillFiles.mx, которая ищет и уничтожает файлы с именами ntldr.* в корне системного диска, в результате чего загрузка системы становится невозможной. В качестве другого примера можно рассмотреть программу Trojan.Win32.KillFiles.eu, которая удаляет набор системных файлов по списку (список жестко задан и хранится в исполняемом файле). Более сложные вредоносные программы могут динамически определять местоположение удаляемых файлов путем анализа реестра, списка запущенных процессов и системных служб. Подобные подходы нередко используются в программах класса Trojan.Win32.KillAV — троянах, применяемых для борьбы с антивирусами и защитным ПО. Примером может служить руткит-компонент червя Bagle, который повреждает исполняемые файлы с заданными именами.

Данный метод опаснее предыдущего, так как помимо повреждения файлов операционной системы могут быть уничтожены документы пользователя. По принципу работы данные технологии подразделяются на несколько типов:

простейший случай — удаление файла через стандартный API, реализованное в большинстве зловредов. Подобных вредоносных программ очень много, в качестве примеров можно назвать Trojan.Win32.DelFiles.bc, Trojan.Win32.KillFiles.nl и т.п.;
урезание размера файла до нулевой длины (или как вариант ненулевой — порядка 20-100 байт) — пустой файл при этом остается на диске — классическим примером из образцов ITW (In-The-Wild) может служить Email-Worm.VBS.Agent.j. От данной вредоносной программы пострадало множество пользователей, поскольку она обладала функциональностью почтового червя и рассылала ссылку на свой исполняемый файл под видом поздравительной открытки;
замена файла — в данном случае содержимое файла заменяется посторонней информацией, причем в простейшем случае это мусор, а в более сложном — некая смысловая информация, соответствующая по типу данных пораженному документу. Наиболее известным из ITW-образцов, по мнению автора, является Virus.VBS.Agent.c (так называемая диструктивная реклама). Работа этой вредоносной программы состояла в рекурсивном поиске аудио/видеофайлов, изображений и документов на диске пораженного ПК с заменой их содержимого на одну из трех заготовок.

Рисунок, которым Virus.VBS.Agent.c заменяет
все изображения на диске зараженного ПК

Замена содержимого файла без его удаления осложняет восстановление информации и в зависимости от реализации методики этой замены может сделать полное восстановление невозможным;

вредоносные программы на базе системной утилиты format — принцип их работы сводится к запуску этой утилиты с набором ключей и имитации для него ответа пользователя на запросы. Данный метод является самым простым;
вредоносные программы, уничтожающие Boot- или MBR-сектор диска, — характерная особенность подобных программ состоит в том, что все данные на диске остаются неповрежденными и могут быть без проблем восстановлены специальными утилитами. Есть варианты, которые не затирают Boot и MBR, а модифицируют содержащиеся в них данные. Типовой пример — троянская программа Trojan.Win32.KillDisk.x, повреждающая данные в MBR. Исходные тексты KillDisk.x и его аналогов периодически всплывают в различных хакерских форумах и, как следствие, могут использоваться начинающими вирусописателями;
вредоносные программы, уничтожающие все данные на диске, — принцип действия таких троянских программ сводится к последовательному или случайному стиранию данных на диске. Типовой пример — Trojan.Win32.KillDisk.o, который при несжатом размере всего 15 Кбайт уничтожает все данные на диске путем определения количества секторов на нем и их последовательного затирания в цикле.

Повреждение реестра может быть совмещено с удалением или повреждением файлов, но нередко встречаются вредоносные программы, деструктивные функции которых сводятся только к модификации реестра. По принципу действия данные вредоносные программы можно подразделить на два типа:

создающие обратимые повреждения реестра — как правило, такие троянские программы создают политики (policies) или модифицируют различные некритические параметры системы. Их главная особенность состоит в том, что подобные модификации не носят фатального характера и могут быть нейтрализованы специальными утилитами. Классический пример — трояны семейства Trojan.Win32.Krotten, которые создают более сотни модификаций в реестре, что практически полностью парализует систему. Повредив систему, троянская программа обычно уведомляет пользователя о том, что ее можно восстановить, заплатив автору этой вредоносной программы определенную сумму указанным способом;
вредоносные программы, создающие необратимые повреждения, — самым простым примером является рекурсивное удаление ключей и параметров или замена параметров некими мусорными значениями. Восстановление в данном случае возможно только одним путем — откатом на резервную копию реестра. Подобная функциональность часто применяется для самозащиты — например, если троянская программа желает блокировать загрузку в защищенном режиме, то для этого она удаляет ветвь реестра с настройками загрузки системы в защищенном режима. Аналогично ведется борьба с антивирусами — путем полного удаления их ключей из реестра.

Для повреждения реестра чаще всего применяются два метода: или через стандартный API работы с реестром, или путем создания REG-файлов и их импорта с помощью утилиты regedit. В последнем случае команда импорта REG-файла может быть записана в автозагрузку, что обеспечит повреждение реестра при каждой перезагрузке. Важно отметить, что многие повреждения в реестре осуществляются в ключе HKEY_CURRENT_USER, доступном пользователю на запись, в связи с этим ограничение привилегий пользователя в данном случае малоэффективно.

Причины создания деструктивных троянских программ и их задачи

Анализируя причины создания вредоносных программ, можно сгруппировать деструктивные вредоносные программы по назначению и целям, которые преследовал их автор.

Заключение

Описанные в этой статье деструктивные функции представляют большую угрозу для функционирования операционной системы и данных пользователя. Опасность в первую очередь состоит в том, что многие деструктивные функции отлично работают под учетными записями с ограниченными привилегиями (исключением являются вредоносные программы, повреждающие системные ключи реестра, системные файлы или работающие с диском на низком уровне).

Практика показывает, что самой эффективной мерой защиты от деструктивных вредоносных программ является продуманное и регулярное резервное копирование. При наличии резервных копий уничтожение и повреждение важных для пользователя документов на компьютере не приведет к их потере и их можно будет восстановить. Однако следует учитывать, что резервная копия должна делаться на отчуждаемый носитель (flash-диск, съемный HDD), чтобы исключить их повреждение, либо копия должна записываться на CD/DVD-R. Кроме того, стоит отметить, что разработчики некоторых программ резервного копирования стали оснащать свои программы системами самозащиты, которые, к примеру, блокируют удаление или модификацию созданных программой резервных копий. Примером подобной программы является Acronis True Image.

Читайте также: