1.2. Классические компьютерные вирусы
Термин «компьютерный вирус» появился в 1984 г., когда сотрудник Лехайского университета США Ф. Коуэн впервые использовал его в своем докладе на конференции по информационной безопасности.
Компьютерные вирусы можно классифицировать по следующим характеристикам :
1) деструктивные способности;
2) среда обитания;
3) способ заражения;
4) способ активации;
5) способ маскировки.
Деструктивная способность компьютерного вируса – характеристика способности вируса наносить ущерб зараженной им компьютерной системе.
Деструктивные способности могут варьироваться от неопасных, приводящих лишь к уменьшению объема свободной памяти на диске или проявляющих себя безобидными звуковыми или визуальными эффектами, до опасных.
Опасные вирусы могут вызывать серьезные сбои в работе компьютерных систем, нарушение целостности, доступности и конфиденциальности информации, хранящейся и обрабатывающейся в этих системах.
Способ заражения − метод внедрения вирусного кода в заражаемые объекты.
Способы заражения и активации, которые использует тот или иной вирус, в значительной степени зависят от его среды обитания.
Среда обитания компьютерного вируса – системные области компьютера (например, BIOS), операционная система или приложения, в компоненты (файлы) которых внедряется код вируса.
По среде обитания компьютерные вирусы могут быть разделены на следующие виды :
1) файловые;
2) загрузочные;
3) макро;
4) скриптовые.
1. Файловые вирусы используют для своего размножении файловую систему какой-либо операционной системы, внедряясь в исполняемые файлы, создавая файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Файловые вирусы могут использовать различные способы заражения.
По способу заражения файловые вирусы делятся на следующие виды[1]:
1) перезаписывающие (overwriting);
2) паразитические (parasitic);
3) вирусы-компаньоны (companion);
4) вирусы-ссылки (link);
5) вирусы, заражающие объектные модули (OBJ);
6) вирусы, заражающие библиотеки компиляторов (LIB);
7) вирусы, заражающие исходные тексты программ.
Перезаписывающие (overwriting) вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Неработоспособность файлов приводит к нарушению работы операционной системы и приложений, что является проявлением действия вируса.
Паразитические (parasitic) вирусы распространяют свои копии так, что содержимое файлов изменяется, но сами файлы при этом остаются полностью или частично работоспособными. Такие вирусы могут записываться в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting), причем, внедрение вирусов в середину файлов может выполняться различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые области
файла (cavity-вирусы).
Вирусы-компаньоны (companion) создают для заражаемого файла файл-двойник, который и получает управление при запуске зараженного файла, при этом сам зараженный файл не изменяется и остается работоспособным. Такой механизм реализуется, например, если вирус переименовывает заражаемый файл, а сам записывается под изначальным именем этого файла (например, файл notepad.exe переименовывается в notepad.exd, а вирус записывается под именем notepad.exe). При запуске управление получает код вируса, который затем запускает оригинальный
файл.
Link-вирусы изменяют отдельные поля файловой системы таким образом, что операционная система при запуске зараженного файла начинает выполнять также и код вируса. При этом содержимое зараженного вирусом файла не изменяется.
Вирусы, заражающие объектные модули (OBJ-вирусы), и вирусы, заражающие библиотеки компиляторов (LIB-вирусы), – вирусы, записывающие свой код соответственно в объектные модули или библиотеки. Так как такие зараженные файлы не исполняются, то для своего распространения эти вирусы используют файлы типов COM и EXE? получаемые при компоновке зараженных OBJ и LIB-файлов с другими объектными модулями и библиотеками.
Вирусы, заражающие исходные тексты программ, добавляют свой код к исходным текстам программ, а распространение вируса происходит после ее компиляции и компоновки. OBJ-вирусы, LIB-вирусы и вирусы, заражающие исходные тексты программ встречаются редко.
2. Загрузочные вирусы записывают себя, либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (MBR – Master Boot Record), либо модифицируют адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR жесткого диска. При запуске системы управление
передается коду вируса, а не оригинальному коду загрузчика.
3. Макро-вирусы являются программами на макро-языках, встроенных в некоторые системы обработки данных (текстовые и графические редакторы, системы проектирования и т. д.), и заражают файлы таких систем, например, файлы-документы. Наибольшее распространение получили макро- вирусы для Microsoft Office. Получив управление, макро-вирус размножается путем переноса своего кода в другие файлы, чаще всего в файлы, которые в данный момент редактируются.
В Microsoft Office операции при работе с документами и таблицами основываются на выполнении собственных макросов − при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs – FileSaveAs, при печати документов – FilePrint и т. д. В макро-вирусах, инфицирующих документы Microsoft Office, либо присутствует автоматически запускаемый макрос (авто-функция), либо переопределен один из стандартных системных макросов, ассоциированный
с каким-либо пунктом меню. Также возможен вызов вирусного макроса при
нажатии на какую-либо клавишу или комбинацию клавиш.
4. Скрипт-вирусы – вирусы, написанные на каком-либо скрипт-языке (VBS, JS, BAT, PHP и т. д.), могут рассматриваться как подгруппа файловых вирусов. Скрипт-вирусы способны заражать другие скрипт-программы, файлы форматов, в которых возможно выполнение скриптов (например, HTML-файлы), либо могут являться частью многокомпонентных вирусов.
По особенностям алгоритма работы вирусы можно разделить на резидентные и нерезидентные.
Резидентные вирусы – вирусы, резидентно находящиеся в памяти инфицированного компьютера в течение всего времени его работы и заражающие те или иные объекты на основе перехвата обращений операционной системы к этим объектам. Даже при удалении всех зараженных файлов резидентная копия вируса остается активной и может
заражать вновь создаваемые или восстановленные из резервных копий файлы.
Нерезидентные вирусы – вирусы, активные незначительное время – только при запуске зараженного файла – и размещающие в оперативной памяти небольшие программы, не способные распространять вирус.
Распространение нерезидентных вирусов происходит путем поиска на диске незараженных файлов и записи в них вирусного кода.
Для скрытия своего нахождения в компьютере и для противодействия обнаружению с помощью антивирусных программ и других средств вирусы могут использовать различные способы маскировки. Для этого используются стелс-алгоритмы (stelth – невидимка), самошифрование и полиморфизм (polymorphism – изменяющийся) и другие приемы.
Стелс-вирусы – вирусы, использующие специальные алгоритмы, позволяющие скрывать присутствие вируса в системе. Возможны несколько приемов, используемых стелс-вирусами для того, чтобы оставаться необнаруживаемыми. Первый из них основан на перехвате команд чтения зараженных секторов и подстановке вместо него незараженного оригинала.
Другой прием базируется на временном восстановлении (лечении) зараженных секторов при запуске той или иной программы (например, антивирусной) с последующим повторным заражением файлов после окончания работы программы. Макро-вирусы чаще всего используют запрет вызовов меню просмотра макросов .
Полиморфик-вирусы – вирусы, не имеющие сигнатур, т. е. не имеющие постоянных участков кода. Отсутствие совпадений кода у разных образцов одного и того же вируса достигается шифрованием кода вируса и модификацией программы-расшифровщика. Полиморфизм вирусов значительно усложняет их выявление при помощи вирусных масок, представляющих собой участки постоянного кода, специфичные для конкретного вируса.
Для сокрытия присутствия в операционной системе вредоносной программы может быть использована руткит-технология (rootkit). Rootkit – программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
- Волков а.Н. Конспект лекций
- 280700 Техносферная безопасность. Профиль бтпп
- Оглавление
- Лекция 1. Современные направления и области применения информационных технологий с использованием пэвм
- По предметной области, в которой ит используются.
- Лекция 2 Архитектура эвм. Основные функции эвм как универсального средства обработки информации. Основные устройства персонального компьютера. Устройства ввода-вывода. Периферийные устройства
- Лекция 3. Основы безопасности информационных технологий и систем
- Нормативно-правовые акты в области информационной безопасности в рф
- Классификация информации хранимой в электронном виде
- Основные понятия
- Сведения, которые могут представлять интерес для сбора и анализа злоумышленниками
- Методы несанкционированного доступа
- Проблемы безопасности ip-сетей
- Угрозы и уязвимости беспроводных сетей
- Криптографические методы защиты данных
- Лекция 4. Защита от вредоносного программного обеспечения
- 1. Виды вредоносного программного обеспечения
- 1.1. Виды и классификация вредоносного программного
- 1.2. Классические компьютерные вирусы
- 1.3. Сетевые черви
- 1.4. Троянские программы
- 2. Защита от вредоносного программного обеспечения
- 2.1. Внедрение вредоносных программ в компьютерную систему и профилактика заражения
- 2.2. Признаки наличия в компьютерной системе вредоносных
- 2.3. Обнаружение и нейтрализация вредоносного программного
- 2.3.1. Антивирусные программы
- 2.3.2. Антитроянские и антишпионские программы
- 2.3.3. Межсетевые экраны
- 2.4. Защита от вредоносного программного обеспечения
- 2.5. Действия при наличии признаков заражения компьютера
- Лекция 5 Программное обеспечение эвм. Системное программное обеспечение. Прикладное программное обеспечение. Версии и модификации программ. Распространение программных продуктов
- Лекция 6. Технологии разработки программного обеспечения
- Лекция 7. Основные характеристики изображений. Работа с программой Adobe Photoshop
- 1. Основные характеристики растровых изображений
- 1.1 Растровая графика. Понятие пикселя
- 1.2 Разрешение и размеры изображения
- 1.3 Представление цвета в растровом изображении. Понятие цветовой
- 1.4 Основные форматы графических изображений. Размер файла изображения
- 2. Интерфейс программы Adobe Photoshop
- 3.1 Открытие документа
- 3.2 Создание нового документа
- 3.3 Сохранение изображений.
- 4. Изменение размеров изображения
- 4.1 Кадрирование изображения с помощью инструмента Crop. Обрезка и
- 4.2 Изменение геометрических размеров изображения с сохранением и
- 6 Работа с выделенными областями
- 6.1 Понятие выделенной области. Инструменты выделения областей.
- 6.2 Операции копирования/вставки и перемещения содержимого
- 7 Работа со слоями растрового изображения.
- 7.2 Параметры слоя. Создание, удаление, изменение порядка слоев.
- 8.1 Выбор оттенков цвета
- Лекции 8. Компьютерные сети
- Лекция 9. Базы и банки данных. Работа с субд ms access
- Работа с таблицами