Вирусы которые в простейшем случае заражают пополняемые

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Среди всего разнообразия вирусов следует выделить следующие группы:

•загрузочные ( boot ) вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе дискеты или винчестера, и запускающиеся при загрузке компьютера;

• файловые вирусы в простейшем случае заражают пополняемые файлы, но могут распространяться и через файлы документов (системы Word for Windows ) и даже вообще не модифицировать файлы, а лишь иметь к ним какое-то отношение;

• загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов; и является наиболее опасным

• драйверные вирусы заражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнительной строки.

Из вирусов, функционирующих не на персональных компьютерах под операционной системой MS DOS , следует упомянуть сетевые вирусы, распространяющиеся в сетях, объединяющих многие десятки и сотни тысяч компьютеров.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макро-вирусы , сетевые черви), по поражаемым операционным системам и платформам (DOS, Microsoft Windows , Unix , Linux ), по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы ), по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Архивация - это сжатие одного или более файлов с целью экономии памяти и размещение сжатых данных в одном архивном файле. Архивация данных - это уменьшение физических размеров файлов, в которых хранятся данные, без значительных информационных потерь.

Архивация проводится в следующих случаях:

· Когда необходимо создать резервные копии наиболее ценных файлов

· Когда необходимо освободить место на диске

· Когда необходимо передать файлы по E-mail

Любой из архивов имеет свою шкалу степени сжатия. Чаще всего можно встретить следующую градацию методов сжатия:

· Без сжатия (соответствует обычному копированию файлов в архив без сжатия)

· Быстрый (характеризуется самым быстрым, но наименее плотным сжатием)

· Максимальный (максимально возможное сжатие является одновременно и самым медленным методом сжатия)

Архиваторы – это программы (комплекс программ) выполняющие сжатие и восстановление сжатых файлов в первоначальном виде. Процесс сжатия файлов называется архивированием. Процесс восстановления сжатых файлов – разархивированием. Современные архиваторы отличаются используемыми алгоритмами, скоростью работы, степенью сжатия ( WinZip 9.0, WinAce 2.5, PowerArchiver 2003 v.8.70, 7Zip 3.13, WinRAR 3.30, WinRAR 3.70 RU).

Резервное копирование (англ. backup ) — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.

Виды резервного копирования

· Полное резервирование Full Backup

· Дифференциальное резервирование Differential Backup

· Добавочное резервирование Incremental Backup

· Блочное инкрементальное копирование Block Level Incremental

Argentum Backup — ПО для резервного копирования под Windows .

Backup Manager — ( shareware ) программа резервного копирования для Windows NT.

NTBackup — утилита для резервного копирования данных поставляемая вместе с Windows NT.

Backup Premium ( shareware ) — создаёт резервные копии данных через SFTP, FTP SSL\TLS под Windows .

Handy Backup — программа для резервного копирования, восстановления и синхронизации данных, выполняет пофайловое копирование, создает образ жесткого диска.

Рассмотрим подробнее основные особенности компьютерных вирусов, характеристики антивирусных программ и меры зашиты программ и данных от компьютерных вирусов в наиболее распространенной операционной системе MS DOS.

По приближенным оценкам к 1997 г. существовало около 7000 различных вирусов. Подсчет их осложняется тем, что многие вирусы мало отличаются друг от друга, являются вариантами одного и того же вируса и, наоборот, один и тот же вирус может менять свой облик, кодировать сам себя. На самом деле основных принципиальных идей, лежащих в основе вирусов, не очень много (несколько десятков).

Среди всего разнообразия вирусов следует выделить следующие группы:

•загрузочные (boot)вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе дискеты или винчестера, и запускающиеся при загрузке компьютера;

• файловые вирусыв простейшем случае заражают пополняемые файлы, но могут распространяться и через файлы документов (системы Word for Windows) и даже вообще не модифицировать файлы, а лишь иметь к ним какое-то отношение;

• загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов;

Из вирусов, функционирующих не на персональных компьютерах под операционной системой MS DOS, следует упомянутьсетевые вирусы, распространяющиеся в сетях, объединяющих многие десятки и сотни тысяч компьютеров.

Рассмотрим принципы функционирования загрузочных вирусов. На каждой дискете или винчестере имеются служебные сектора, используемые операционной системой для собственных нужд, в том числе сектор начальной загрузки. В нем помимо информации о дискете (число дорожек, число секторов и пр.) хранится небольшая программа начальной загрузки, о которой уже рассказывалось в настоящей главе.

Простейшие загрузочные вирусы, резидентно находясь в памяти зараженного компьютера, обнаруживают в дисководе незараженную дискету и производят следующие действия:

• выделяют некоторую область дискеты и делают ее недоступной операционной системе (помечая, например, как сбойную — bad);

• замещают программу начальной загрузки в загрузочном секторе дискеты, копируя корректную программу загрузки, а также свой код, в выделенную область дискеты;

• организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем — программа начальной загрузки.

Магнитные диски компьютеров винчестерского типа обычно бывают разбиты на несколько логических разделов. Программы начальной загрузки при этом имеются в MBR (Master Boot Record — главная загрузочная запись) и в загрузочном разделе винчестера, заражение которых может происходить аналогично заражению загрузочного сектора дискеты. Однако, программа начальной загрузки в MBR использует при переходе к программе загрузки загрузочного раздела винчестера, так называемую таблицу разбиения (Partition table), содержащую информацию о положении загрузочного раздела на диске. Вирус может исказить информацию Partition table и таким образом передать управление своему коду, записанному на диск, формально не меняя загрузочной программы.

Теперь рассмотрим принципы функционированияфайловых вирусов. Файловый вирус не обязательно является резидентным, он может, например, внедриться в код исполняемого файла. При запуске зараженного файла вирус получает управление, выполняет некоторые действия и возвращает управление коду, в который он был внедрен. Действия, которые выполняет вирус, включают поиск подходящего для заражения файла, внедрение в него так, чтобы получить управление при запуске файла, произведение некоторого эффекта, например, звукового или графического. Если файловый вирус резидентный, то он устанавливается в памяти и получает возможность заражать файлы и проявляться независимо от первоначального зараженного файла.

Загрузочно-файловые вирусы используют принципы как загрузочных, так и файловых вирусов, и являются наиболее опасными.

К настоящему времени накоплен значительный опыт борьбы с компьютерными вирусами, разработаны антивирусные программы, известны меры защиты программ и данных. Происходит постоянное совершенствование, развитие антивирусных средств, которые в короткий срок с момента обнаружения вируса -от недели до месяца — оказываются способными справиться с вновь появляющимися вирусами.

Известные ныне антивирусные программы можно разделить на несколько типов, перечисленных ниже.

• Детекторы. Пх назначение — лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаруживать загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.

• Фаги. Фаг — это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Лозинским. К январю 1997 года эта программа была способна обнаружить и обезвредить около 1600 вирусов. Еженедельно появляются новые версии этой программы, рассчитанные на обезвреживание десятков новых вирусов.

Очень мощным и эффективным антивирусным средством является фаг Doctor Web (созданный И.Даниловым). Детектор этого фага не просто сканирует файлы в поисках одной из известных вирусных сигнатур. Doctor Web реализует эвристический метод поиска вирусов, может находить и обезвреживать, так называемые, полиморфные вирусы (не имеющие определенной сигнатуры), проверять файлы, находящиеся в архивах. Для нахождения вирусов Doctor Web использует программную эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора 1-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Doctor Web может бороться не только с полиморфными вирусами, но и с вирусами, которые только еще могут появиться в перспективе. Специалисты рекомендуют использовать Aidstest и Doctor Web в комплексе.

• Ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf, разработанная Д.Мостовым.

• Сторожа. Сторож — это резидентная программа, постоянно находящаяся в памяти компьютера, контролирующая операции компьютера, связанные с изменением информации на магнитных дисках, и предупреждающая пользователя о них. В состав операционной системы MS DOS, начиная с версии 6.0, входит сторож VSAFE. Однако, из-за того, что обычные программы выполняют операции, похожие на те, что делают вирусы, пользователи обычно не используют сторожа, так как постоянные предупреждения мешают работе.

Помимо программных средств защиты от вирусов существуют и специальные дополнительные устройства, обеспечивающие надежную защиту определенных разделов винчестера. Примером такого рода устройств является плата Sheriff (разработанная Ю.Фоминым). Несмотря на кажущееся обилие программных антивирусных средств, даже все вместе они не обеспечивают полной защиты программ и данных, не дают 100%-ной гарантии от воздействия вирусных программ. Только комплексные профилактические меры защиты обеспечивают надежную защиту от возможной потери информации. В комплекс таких мер входит:

• регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера);

• избегание использования случайно полученных программ (старайтесь пользоваться только законными путями получения программ);

• входной контроль нового программного обеспечения, поступивших дискет;

•сегментация жесткого диска, т.е. разбиение его на логические разделы с разграничением доступа к ним;

• систематическое использование программ-ревизоров для контроля целостности информации;

• при поиске вирусов (который должен происходить регулярно!) старайтесь использовать заведомо чистую операционную систему, загруженную с дискеты. Защищайте дискеты от записи, если есть хоть малая вероятность заражения.

При неаккуратной работе с антивирусными программами можно не только переносить с ними вирусы, но и вместо лечения файлов безнадежно их испортить. Полезно иметь хотя бы общее представление о том, что могут и чего не могут компьютерные вирусы, об их жизненном цикле, о важнейших методах защиты.

Контрольные вопросы и задания

1. Что называется компьютерным вирусом?

2. Какие типы компьютерных вирусов существуют?

3. Каковы принципы функционирования загрузочных вирусов?

4. Каковы принципы функционирования файловых вирусов?

5. Охарактеризуйте известные типы антивирусных программ.

6. Перечислите меры защиты информации от компьютерных вирусов.

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для…

В зависимости от среды обитания вирусы классифицируются на: Сетевые вирусыиспользуют для своего распространения команды и протоколы телекоммуникационных…

Создание компьютерных вирусов можно квалифицировать с юридической точки зрения как преступление.

Существуют такие специалисты, которые отдают свои силы и талант делу борьбы с компьютерными вирусами. В России — это известные программисты: Д. Лозинский, Д. Мостовой, И.А. Данилов, Н. Безруков и др. Ими исследованы многие компьютерные вирусы, разработаны антивирусные программы, рекомендации по мерам, предотвращающим уничтожение вирусами компьютерной информации и распространение эпидемий компьютерных вирусов.

Рассмотрим подробнее основные особенности компьютерных вирусов, характеристики антивирусных программ и меры защиты программ и данных от компьютерных вирусов в наиболее распространенной операционной системе MS-DOS.

Вирусы можно разделить на классы по следующим основным признакам:

1. среда обитания;

2. ОС, в которой они могут функционировать;

3. деструктивные функции;

4. особенности алгоритма работы.

В зависимости от среды обитания вирусы можно разделить на группы:

o загрузочные (boot) вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе дискеты или винчестера, и запускающиеся при загрузке компьютера;

o файловые вирусы в простейшем случае заражают пополняемые файлы, но могут распространяться и через файлы документов (системы Word for Windows) и даже вообще не модифицировать файлы, а лишь иметь к ним какое-то отношение;

o загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов;

o драйверные вирусы заражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнительной строки;

o макровирусы;

o сетевые вирусы.

Принцип действия загрузочных вирусов основан на алгоритмах загрузки ОС при включении питания, которые реализуются аппаратно. Такие вирусы заменяют собой код начальной загрузки, оригинальный код либо сохраняются в другом месте, либо вирус эмулирует программу начальной загрузки. Часто при переписывании оригинального загрузчика вирус часто метит соответствующий сектор как сбойный. Код вируса может хранится и на других участках диска (например, на инженерной дорожке). Boot-вирусы распространены в меньшей степени, так как для заражения необходимо загрузиться с зараженной дискеты. Как правило, на зараженной ЭВМ может быть только один boot-вирус.

Практически все загрузочные вирусы резидентны.

Дальнейшее поведение определяется деструктивными функциями.

Существуют нерезидентные boot-вирусы. Такие вирусы заражают загрузочные сектора дискет, если они находятся на дисководах.

o выделяют некоторую область дискеты и делают ее недоступной операционной системе (помечая, например, как сбойную - bad);

o замещают программу начальной загрузки в загрузочном секторе дискеты, копируя корректную программу загрузки, а также свой код, в выделенную область дискеты;

o организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем - программа начальной загрузки.

Теперь рассмотрим принципы функционирования файловых вирусов. Файловый вирус не обязательно является резидентным, он может, например, внедриться в код исполняемого файла. При запуске зараженного файла вирус получает управление, выполняет некоторые действия и возвращает управление коду, в который он был внедрен. Действия, которые выполняет вирус, включают поиск подходящего для заражения файла, внедрение в него так, чтобы получить управление при запуске файла, произведение некоторого эффекта, например, звукового или графического. Если файловый вирус резидентный, то он устанавливается в памяти и получает возможность заражать файлы и проявляться независимо от первоначального зараженного файла.

Существует несколько способов внедрения файловых вирусов. Наиболее частый — внедрение в исполняемые файлы (com, exe, dll); создание файлов двойников; использование особенностей файловой системы. Существует также несколько методов внедрения кода вируса в исполняемый файл.

OVERWRITING — самый простой метод, при котором вирус записывает свой код вместо кода заражаемого файла, уничтожая при этом его содержимое. При таком методе заражения, система быстро выходит из строя, приложения не запускаются и поэтому такие вирусы быстро обнаруживаются.

PARASITIC — наиболее распространенный, при распространении обязательно изменяет код файла, оставляя его при этом полностью или частично работоспособным. При написании подобных вирусов необходимо учитывать вид исполняемой программы.

COMPANION — используют следующие особенности MS-DOS — если в каталоге содержаться два одинаковых файла, то операционная система будет исполнять первый из них. Средствами низкого уровня создают в том же самом каталоге новый файл с именем и расширением аналогичным файлу жертве. При этом новый файл должен располагаться до файла жертвы, переименовывается и делается скрытым. При запуске файла первым начинает исполняться файл, содержащий тело вируса.

LINK — использует особенности файловой системы MS-DOS и не изменяют содержимого файла.

ФАЙЛОВЫЕ ЧЕРВИ — при запуске файла вируса создают свою копию в других каталогах под другим именем и др.

Алгоритм работы файлового вируса:

1. Если вирус резидентный, то он проверяет оперативную память на наличие в ней своей копии, и если копии нет, то копию записывает в память, делая ее резидентной. Если нерезидентный, то он сканирует диск в поиске незараженных файлов и заражает их;

2. Выполняет деструктивные функции, если они есть, то возвращает управление основной программе, при этом паразиты восстанавливают программу в исходном виде. Часто перед запуском файла на исполнение вирусы лечат исполняемый файл.

Загрузочно-файловые вирусыиспользуют принципы как загрузочных, так и файловых вирусов, и являются наиболее опасными.

4. Сетевые вирусы. Используют для своего распространения сетевые протоколы или команды компьютерных сетей и электронной почты. Сетевые вирусы используют ошибки программирования в наиболее популярных почтовых клиентах и наиболее часто реализованы под MS OUTLOOK. Благодаря этим ошибкам, в электронное письмо может быть внедрен код, который будет выполнен этим клиентом при открытии письма и в результате машина может быть заражена файловым вирусом. Эти вирусы воздействуют только при конкретной версии почтовых клиентов.

В зависимости от особенностей алгоритма работы вирусы можно разделить на 4 группы.

1. Резидентность. Резидентный вирус при инфицировании компьютера оставляет в памяти свою резидентную часть. Эта часть перехватывает в дальнейшем обращении ОС к файлам с целью их заражения. Резидентные вирусы находятся в памяти и остаются активными вплоть до выключения питания. Резидентами можно считать и макровирусы, т.к. они находятся в памяти вплоть до закрытия окна редактора. При этом роль ОС играет редактор. Резидентные вирусы существуют в многозадачных системах и здесь время жизни ограничено моментом закрытия зараженного DOS-окна.

2. Использование стелс-алгоритмов. Позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов и при этом стелс-вирус, либо временно лечат зараженные файлы, либо подставляют вместо себя незараженные участки информации. Макровирусы также могут использовать стелс-алгоритмы. В этом случае производится запрет на вызов меню просмотра макроса.

3. Самошифрование и полиморфичность. Используются практически всеми современными вирусами с тем, чтобы максимально усложнить процедуру обнаружения вируса. Это достигается тем, основное тело вируса шифруется, причем каждый раз по-разному, а программа расшифровки каждый раз модернизируется. Полиморфик вирусы не имеют сигнатур, и от одного зараженного файла к другому тело вируса изменяется, посредством шифрования или добавления незначащих команд.

4. Нестандартные приемы - используются, для того чтобы максимально защитить свою копию от обнаружения и удаления.

В зависимости от деструктивных возможностей вирусы можно разделить на 4 группы:

1. Условно безвредные. Не содержат специальных деструктивных функций и приводят только к незначительному замедлению скорости работы компьютера и уменьшению свободного дискового пространства.

2. Не опасные. Содержат вывод графических, звуковых, и прочих эффектов и уменьшают скорость работы компьютера и дисковое пространство.

3. Опасные. Могут привести к серьезным сбоям в работе РС.

4. Очень опасные. В алгоритме работы таких вирусов заложены процедуры, способные вызвать потерю и уничтожение программ и данных, а также вывести из строя отдельные части ЭВМ.

Меры противодействия безопасности и удаления вирусов:

o избегать случайных связей;

o использование антивирусных программ с постоянным обновлением антивирусных баз;

Как правильно управлять финансами своего бизнеса, если вы не специалист в области финансового анализа - Финансовый анализ

Финансовый менеджмент - финансовые отношения между суъектами, управление финасами на разных уровнях, управление портфелем ценных бумаг, приемы управления движением финансовых ресурсов - вот далеко не полный перечень предмета "Финансовый менеджмент"

Поговорим о том, что же такое коучинг? Одни считают, что это буржуйский брэнд, другие что прорыв с современном бизнессе. Коучинг - это свод правил для удачного ведения бизнесса, а также умение правильно распоряжаться этими правилами

Среди всего разнообразия вирусов следует выделить следующие группы:

•загрузочные (boot) вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе дискеты или винчестера, и запускающиеся при загрузке компьютера;

• файловые вирусы в простейшем случае заражают пополняемые файлы, но могут распространяться и через файлы документов (системы Word for Windows) и даже вообще не модифицировать файлы, а лишь иметь к ним какое-то отношение;

• загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов;

Из вирусов, функционирующих не на персональных компьютерах под операционной системой MS DOS, следует упомянуть сетевые вирусы, распространяющиеся в сетях, объединяющих многие десятки и сотни тысяч компьютеров.

• выделяют некоторую область дискеты и делают ее недоступной операционной системе (помечая, например, как сбойную - bad);

• организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем - программа начальной загрузки.

Магнитные диски компьютеров винчестерского типа обычно бывают разбиты на несколько логических разделов. Программы начальной загрузки при этом имеются в MBR (Master Boot Record - главная загрузочная запись) и в загрузочном разделе винчестера, заражение которых может происходить аналогично заражению загрузочного сектора дискеты. Однако, программа начальной загрузки в MBR использует при переходе к программе загрузки загрузочного раздела винчестера, так называемую таблицу разбиения (Partition table), содержащую информацию о положении загрузочного раздела на диске. Вирус может исказить информацию Partition table и таким образом передать управление своему коду, записанному на диск, формально не меняя загрузочной программы.