Компьютерные вирусы

Под компьютерными вирусами подразумеваются программы, которые непреднамеренно попадают на компьютер пользователя и приносят вред данным и системе в целом. Лучше всего определить вирус получится не описанием того что он делает, а тем каким путем он (вирус) распространяется и инфицирует другие программы.

Поведение компьютерного вируса очень схоже на поведение биологического вируса. Биологический вирус проникает в организм человека и распространяется на все органы человека до тех пор, пока иммунная система не откажет либо будет уничтожен дополнительно внешними факторами. Также и компьютерный вирус проникает в компьютерную систему и прикрепляется к программе (к приложению, к набору программ). После запуска программы вирус начинает свою деятельность и распространяется на другие части системы.

Вирусы могут быть как доброкачественными, так и злокачественными. В первом случае компьютер может понести не такой серьезный вред, как во втором.

Виды компьютерных вирусов

В этом разделе представлены виды компьютерных вирусов, хотя фактически многие вирусы являются «гибридами» разных видов.

Файловый вирус. Наиболее часто инфицирующий или заражающий программные файлы вид вирусов. Может инфицировать любой файл с исходным кодом, включая скрипты и программные конфигурационные файлы. Активируется одновременно с запуском программы, скрипта, или конфигурационного файла.

Системный или загрузочный вирус. Данный тип вируса не обязательно заражает файл, цель данного вредителя заражение определенных областей жесткого диска отвечающие за системные процессы. К таким областям жесткого диска относят загрузочную запись (boot record) область жесткого диска необходимая для последующей загрузки операционной системы. Так в жестком диске вирус прикрепляется к главной загрузочной записи (Master Boot Record).

Вирус вида Multipartite. Данный вид вируса инфицирует, как и загрузочный сектор, так и файлы. Из-за гибридной природы вируса он унаследовал наихудшие свойства двух своих родителей, и следовательно является более заразительным и разрушительным чем предыдущие.

Макровирусы (macro viruses). Макровирусы являются программами, написанными на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office.

Stealth-вирусы (Стэлс) или вирусы-невидимки. Эти вирусы являются разновидностью резидентных вирусов (постоянно находятся в оперативной памяти). Stealth-вирусы фальсифицируют информацию, прочитанную из диска так, что программа, которой предназначена эта информация получает неверные данные. А еще данный вирус может изменить файл, но при этом размер файла остается неизменным, что сводит на нет обнаружение вируса. Стэлс вирусы относятся к категории маскирующихся вирусов, которых очень сложно обнаружить.

Шифрованные вирусы. Эти вирусы, которые сами шифруют свой код для затруднения их обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент - процедуру расшифровки которого можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.

Полиморфные вирусы. Данный тип вирусов опасен тем, что использует специальную технику некой трансформации и видоизменения кода, для ухода от обнаружения антивирусными программами. Началось всё ещё в далёком 1990 году (далёком для IT-сферы), тогда, Марком Вашбёрном был написан первый полиморфный вирус, который и положил начало для создания такого мощного и опасного типа вирусов. Данный тип вирусов, как уже указывалось выше, может менять свой код, причём полностью. Изменение кода происходит после заражения очередного компьютера. В результате изменения кода вируса, образуется множество различных форм одного и того же «зловреда», сложных для детектирования антивирусным софтом. В большинстве случаев изменение кода достигается путём добавления операторов, которые практически не меняют принцип работы вируса.

Стадии в жизни компьютерного вируса

Обычно в течении жизни вирус проходит следующие стадии:

1. Латентная фаза. Во время этой фазы вирус не исполняет никаких действий.

2. Фаза распространения. Период, во время которого вирус осуществляет саморазмножение.

3. Инфицирование или этап выполнения особых целевых функций.

4. Фаза проявления. Фактически действие вируса выполняется именно во время этой фазы.

Обнаружение компьютерных вирусов

Известны следующие методы обнаружения вирусов:

1. Технологии сигнатурного анализа - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов, то есть поиск строк в программном коде присущий к определенному виду вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Этот вид метода имеет следующие недостатки: для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе, поэтому антивирусная база должна обновляться часто; этот метод эффективен только при обнаружении уже известных вирусов.

2. Эмуляция. Имитирует запуск инфицированного файла, тем самым проверяя какой-нибудь вредоносный код (ПО). Вначале файл помещается в так называемую, песочницу или виртуальную среду. Объясняя простыми словами, файл думает, что он взаимодействует с настоящей средой, то есть операционной системой, что конечно на самом деле не так. Этот метод может быть потребовать больших временных затрат что может привести к медленной работе системы.

3. Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы. Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

4. Поведенческий анализ — технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Например, для внедрения в систему, почти каждый макровирус использует один и тот же алгоритм: в какой-нибудь стандартный макрос, автоматически запускаемый средой Microsoft Office при выполнении стандартных команд (например, « Save », « Save As», «Open», и т.д.), записывается код, заражающий основной файл шаблонов normal.dot и каждый вновь открываемый документ. Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю. Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись, форматирование жестких дисков и т. д. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы — все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

5. Анализ контрольных сумм — это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений — одновременность, массовость, идентичные изменения длин файлов — можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название «ревизоры изменений») как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе — при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Советы по защите компьютера от вирусов

· Установите антивирусное программное обеспечение.

· Не открывайте незапрошенные вложения в сообщениях электронной почты.

· Поддерживайте компьютер в актуальном состоянии.

· Используйте брандмауэр.

· Используйте параметры конфиденциальности браузера.

· Используйте блокирование всплывающих окон в браузере.

· Включите контроль учетных записей.