План:
1. Вступ. Основні положення
2. Поділ вірусів за деструктивно-класифікаційними ознаками:
2.1. Середовище перебування
2.2. Способи зараження
2.3. Бутові віруси
2.4. Віруси в структурі файлової системи
2.5. Stealth-віруси
2.6. Поліморфні віруси
2.7. CD-ROM-віруси
3. Класифікація антивірусних програм
4. Засоби боротьби з вірусами
5. Висновки. Важливість антивірусного захисту
6. Додаток. Дев’ятнадцять найбільш шкідливих мережевих вірусів
7. Список використаної літератури
Вступ. Основні положення.
Проблема безпеки інформації в період загальної інформатизації, широкого впровадження e-технологій — одне із найгостріших питань сьогодення. Комплексне вирішення проблеми безпеки інформації як складової частини національної безпеки держави в цілому ґрунтується на розробці загальної стратегії. Необхідно створити єдину правову, організаційну та матеріально-технічну базу з урахуванням міжнародних норм і правил безпеки інформації, а також оптимізувати чинні в країні нормативні, організаційні та регламентуючі документи.
Способи захисту інформації можна поділити на способи її захисту від пошкоджень і способи захисту від несанкціонованого доступу.
Основною властивістю комп’ютерних вірусів є саморозмноження. Тому процедура, що здійснює цю функцію, займає в алгоритмі вірусу центральне місце, всі інші функції (прояв, засоби маскування і т.д.) мають другорядне значення. Для організації антивірусного захисту ПЕОМ коротко розглянемо основні принципи роботи та лікування різних класів вірусів.
Поділ вірусів за деструктивно-класифікаційними ознаками.
Комп'ютерні віруси поділяються на первинні класи за деструктивно-класифікаційними ознаками, способами їх створення і знешкодження:
þ за місцезнаходженням вірусів (файлові, бутові, файлово-бутові, пакетні, мережеві, віруси в структурі файлової системи, WinWord-віруси, Windows-віруси, OS/2-віруси, Novell NеtWare-віруси, BIOS-віруси, CD-ROM-віруси);
þ за способом зараження середовища мешкання вірусів (резидентні, нерезидентні);
þ за наслідками деструктивних дій вірусів (нешкідливі, не уразливі, уразливі, дуже уразливі);
þ за особливостями алгоритму вірусу (stealth-віруси, worm-віруси, companion-віруси, МtЕ-віруси, DIR-віруси, driver-віруси, віруси-паразити, віруси-привиди, «троянські» програми, логічні бомби, комбіновані віруси та ін.);
þ за способами знешкодження вірусів (знешкоджені однією антивірусною програмою (АVО-віруси) і знешкоджені кількома антивірусними програмами або n-комплектом антивірусів (АVN-віруси);
þ за способом створення вірусів (створені ручними засобами розробки (Н-віруси) і створені автоматизованими засобами розробки (А-віруси).
Середовище перебування. Файлові віруси проникають у виконавчі файли. Звичайний файловий вірус, після передачі йому управління, виконує такі дії:
1. Він перевіряє ОЗУ на наявність своєї копії і інфікує пам’ять комп’ютера, якщо копія вірусу не знайдена;
2. Може виконувати додаткові функції: здійснювати які-небудь деструктивні дії, демонструвати візуальні або звукові ефекти і т.д.;
3. Поновлює оригінальний код програми;
4. Повертає управління основній програмі;
Під час поновлення програми в первісному вигляді вірус використовує інформацію, що зберігається в його тілі при зараженні файлу. Це може бути довжина файлу, перші три байти в разі COM-файлу або декілька байтів заголовка в разі EXE-файлу
Файлові віруси при розповсюдженні вкорінюються в початок, кінець або середину файлу.
Спосіб укорінення в кінець файлу очевидний — він просто дописує своє тіло в кінець файлу. Існує кілька способів укорінення в середину файлу. Код вірусу може бути скопійований:
1. У таблицю настройки адрес (для EXE-файлів);
2. В область стека;
3. Поверх коду або даних програми (при цьому програма безповоротно пошкоджується).
LAN-віруси (мережеві). Насамперед, треба враховувати велику загрозу розповсюдження вірусів по мережах. Віруси розповсюджуються від користувача до користувача при обміні програмними продуктами. Локальні мережі (LAN) широко застосовуються для спільного використання програмних пакетів, обміну програмами та даними між користувачами.
Вірус найчастіше може потрапити на ПЕОМ, підключену до локальної мережі, коли користувач копіює собі файли з мережі або просто запускає програми із мережевих папок.
Проте на практиці ситуація не настільки драматична, оскільки мережеві ОС надають штатні механізми захисту та розподілу користувачів. При грамотному використанні цих можливостей можна обмежити простір, в якому буде розповсюджуватись вірус, тільки робочою областю того користувача, який вніс його в систему.
WinWord-віруси (макровіруси) — це досить нові віруси, які розповсюджуються з електронними документами. Перші такі віруси з’явились в 1995 р. Таке повідомлення нібито фантастичне, оскільки вірус повинен мити команди , що виконуються, а в документі міститься тільки текст та його шрифтове оформлення. Але разом з документом можуть зберігатися макрокоманди, які створюються з використанням спеціальної мови програмування WORD Basic. Ці макрокоманди фактично є програмами. Віруси, які використовують такі шляхи розповсюдження, принципово можуть бути не тільки в MS Word, а і в інших прикладаннях MS Office.
Найбільш доцільною протидією від таких нових версій макровірусів є постійне оновлення своїх антивірусних програм та уважне вивчення публікацій з антивірусної тематики.
Резидентні віруси — це віруси, які вкорінюють в ОС свій резидентний модуль. такі віруси, як правило, перевіряють ОЗУ на наявність своєї копії, щоб запобігти повторному зараженню системи.
Відомі два способи перевірки резидентним вірусом своєї копії в ОЗУ ПЕОМ. Перший полягає в тому, що вірус вводить нову функцію деякого переривання, дія якої заключується в повернені сигнального значення. при перевірці іншим способом, вірус просто сканує пам’ять комп’ютера. ці способи можуть поєднуватись один з одним.
При інфікуванні ПЕОМ, вірус може записати свою резидентну частку в будь-яке вільне місце оперативної пам’яті. При цьому об’єм оперативної пам’яті може і не змінитись, оскільки вірус розміщує резидентний модуль у вільних або мало використовуваних системних областях.
Способи зараження. Існують три способи зараження EXE-файлів:
4. EXE-файл переводиться в формат COM-файлу, а потім заражується, як COM-файл;
5. У заголовку EXE-файлу значення точки входу в програму змінюється таким чином, що відразу після запуску управління переходить на вірус;
6. Точка входу не змінюється, але вірус замінює команди, які знаходяться за адресою точки входу таким чином, щоб вони передали йому керування.
Бутові віруси заражують сектор завантаження або завантажувальний запис вінчестера. При інфікуванні диска вірус переносить оригінальний сектор у будь-який інший сектор диска і копіює себе в завантажувальний сектор вінчестера (або в MBR). Якщо довжина вірусу більша за довжину сектора, то в заражуваному секторі міститься перша частини вірусу, інші його частини містяться в інших секторах. Якщо ці частини розміщуються у перших вільних секторах, то ті, як правило, позначаються як збійні (точніше, сектори утворюють кластер або кластери, які позначаються як псевдозбійні кластери).