47421 (Компьютерные вирусы. Методы и средства защиты)

Федеральное агентство по культуре и кинематографии.

Кировский филиал

Государственного образовательного учреждения высшего

профессионального образования

«Пермский государственный институт искусства и культуры».

КОНТРОЛЬНАЯ РАБОТА

По Информатике

на тему:

Компьютерные вирусы. Методы и средства защиты.

Выполнила студентка группы Рт-3

Решетникова Светлана Михайловна

Киров – 2007

Оглавление

1. Введение

2. Компьютерные вирусы и их разновидности

3. Методы защиты от компьютерных вирусов

4. Средства антивирусной защиты

Вывод

Список использованной литературы

1. Введение

Еще не так давно, всего три десятка лет назад, ЭВМ представляла собой целый комплекс огромных шкафов, занимавших несколько больших помещений. А всего и делала-то, что довольно быстро считала. Нужна была буйная фантазия журналистов, чтобы увидеть в этих гигантских арифмометрах «думающие агрегаты, и даже пугать людей тем, что ЭВМ вот-вот станут разумнее человека. ЭВМ стремительно совершенствовалась: резко сокращались её размеры, она работала все быстрее и быстрее, обрастала все новыми приспособлениями, с помощью которых стала печатать текст, чертить чертежи и даже рисовать картинки.

Что же говорить о современных компьютерах, компактных, быстродействующих, оснащённых руками - манипуляторами, экранами дисплеев, печатающими, рисующими и чертящими устройствами, анализаторами образов, звуков, синтезаторами речи и другими «органами»! На всемирной выставке в Осаке компьютеризированные роботы уже ходили по лестнице, перенося вещи с этажа на этаж, играли с листа на фортепьяно, беседовали с посетителями. Так и кажется, что они вот-вот сравняются по своим способностям с человеком, а то и превзойдут его. Да компьютеры многое могут. Но, конечно, далеко не всё.

Самый главный минус в компьютере – это вирус, который может появиться не только через Интернет, но и через обычные диски. КОМПЬЮТЕРНЫЙ ВИРУС, программа ЭВМ, способная без ведома пользователя и вопреки его желанию самопроизвольно размножаться и распространяться; нарушая работоспособность программного обеспечения ЭВМ (отсюда его название по аналогии с болезнетворным вирусом). Впервые появился в начале 1980-х гг. в США. К 1995 насчитывалось несколько десятков разновидностей компьютерных вирусов. Для борьбы с ними разрабатываются антивирусные программы.

2. Компьютерные вирусы и их разновидности

Компьютерным вирусом называется рукотворная программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи с целью прерывания и нарушения работы программ, порчи файлов, файловых систем и компонентов компьютера, нарушения нормальной работы пользователей.

Компьютерным вирусам, как и биологическим, характерны определенные стадии существования:

1. латентная стадия, в которой вирусом никаких действий не предпринимается;2. инкубационная стадия, в которой основная задача вируса - создать как можно больше своих копий и внедрить их в среду обитания;3. активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.

Сейчас существуют сотни тысяч различных вирусов, и их можно классифицировать по нескольким признакам.

По среде обитания вирусы можно разделить на:

1.файловые;2.загрузочные;3.файлово-загрузочные;4.сетевые;5.документные. Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения .ехе и .com (самые распространенные вирусы), но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы (вирус подключает к такому файлу исполняемые программы, предварительно заразив их), программные файлы на языках процедурного программирования (заражают при трансляции исполняемые файлы). Файловые вирусы могут создавать файлы-двойники (компаньоны-вирусы). В любом случае файловые вирусы при запуске программ, ими зараженных, берут на время управление на себя и дезорганизуют работу своих "квартирных хозяев".

Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузке DOS с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицируют таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.

Файлово-загрузочные вирусы интегрируют возможности двух предыдущих групп и обладают наибольшей "эффективностью" заражения.Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей).

Документные вирусы (их часто называют макровирусами) заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте.

По способу заражения среды обитания вирусы делятся на: -резидентные; -нерезидентные. Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой, и после ее завершения из оперативной памяти удаляются.

Вирусы бывают неопасные и опасные. Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают; они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, имеющие далеко идущие последствия: искажение и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (жесткие диски, Flash-чипсет BIOS, перепрограммируя его). По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах, как:

1. паразитические вирусы, изменяющие содержимое файлов или секторов диска; они достаточно просто могут быть обнаружены и уничтожены;

2. вирусы-репликаторы ("черви" WORM), саморазмножающиеся и распространяющиеся по телекоммуникациям и записывающие по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами "черви" деструктивных действий не выполняют, поэтому их часто называют псевдовирусами);

3. "троянские*- вирусы маскируются под полезные программы (существуют в виде самостоятельных программ, имеющих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение .com вместо .ехе) и выполняют деструктивные функции (например, очищают файловые структуры); самостоятельно размножаться, как правило, не могут;

4. вирусы-невидимки (стелс-вирусы), по имени самолета-невидимки "stealth", способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;

5. самошифрующиеся вирусы (в режиме простоя зашифрованы, и расшифровываются только в момент начала работы вируса);

6. мутирующиеся вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные программы для обезвреживания этих вирусов;

7. "отдыхающие" вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус "Чернобыль" в сети Интернет функционирует только в день годовщины чернобыльской трагедии).

Прежде всего следует знать возможные источники заражения вирусами и аккуратно с ними работать, т.е. осуществлять антивирусную профилактику (особенно если ты на LANе, там много любителей засылать трояны и мониторить). Источниками вирусного заражения могут явиться только съемные носители и системы телекоммуникаций.

Вирус можно написать на любом языке программирования, конечно же, самыми распространенными являются C++ и Delphi, но можно и на "бэйсике", все зависит от назначения вируса.

При подробном изучении вирусов их научились объединять в семейства и распознавать по специальным сигналам и текстам. Каждое семейство имеет своё название.

[1] Time, семейство

Резидентные неопасные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец запускаемых .EXE-файлов. Приблизительно раз в час пищат несколько раз спикером компьютера.

[2] Havoc (Stealth_Boot), семейство

Загрузочные стелс- вирусы. При загрузке с пораженного флоппи записываются в MBR винчестера. Затем перехватывают INT 13h и поражают флоппи-диски при чтении с них. Заражение дискет происходит по алгоритму "Brain".

В зависимости от системного таймера "Havoc.a,b,Innocent" стирают сектора дисков. "Havoc.Amse" безобиден, никак не проявляется.

"Havoc.Alfredo" расшифровывает текст и выводит его на принтер:

LIMA – PERU (c) Laboratorio Luz de Luna ANGEL X TE SALUDA

[3] Brain, семейство

Состоит из двух практически совпадающих безобидных вирусов: "Brain-Ashar" и "Brain-Singapore". Они заражают загрузочные сектора дискет при обращении к ним (INT 13h, AH=02h). Продолжение вируса и первоначальный загрузочный сектор размещаются в секторах, которые принадлежат свободным кластерам диска. При поиске этих кластеров вирусам приходится анализировать таблицу размещения файлов (FAT). В FAT эти кластеры помечаются как сбойные (так называемые "псевдосбойные" кластеры). У зараженного диска устанавливается новая метка "(C) Brain". Вирусы используют "стелс"-механизм: при попытке просмотра загрузочного сектора зараженного диска они "подставляют" истинный сектор.

[4] Vienna, семейство

Нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Ищут файлы в текущем каталоге и в зависимости от версии вируса в корневом каталоге, либо в каталогах, отмеченных системной переменной PATH.

Заражение происходит при запуске инфицированной программы, при этом заражается не более одного файла. Многие вирусы семейства при попытке заражения проверяют у файла значение секунд (или месяца в зависимости от версии вируса) последней модификации файла. Если оно равно 1Fh (62 секунды, соответственно 0Dh - 13-й месяц), то файл не заражается. Некоторые представители семейства в зависимости от таймера могут "убивать" файлы, записывая в их начало 5 байтов либо команды перехода на перезагрузку JMP F000:FFF0, либо JMP C800:0005, JMP C800:0000 или JMP C800:0006 в зависимости от версии вируса.

[5] Cascade

Очень опасен. Иногда выводит сообщение:

IL SISTEMA К FOTTUTO!!

S.E.K. VIRUS Made in ITALY RM

5iD G.Ferraris 90/91 (c)

и стирает сектора дисков. Также уничтожает файл CHKLIST.CPS.

[6] Ping-Pong

Не опасен. Перехватывает INT 8, 13h. Имеет байт, содержащий номер версии вируса. Если обнаруживает диск, зараженный своей предыдущей версией, то "обновляет" ее. Вызывает видеоэффект скачущего шарика (знак 07h ASCII), который перемещается по экрану, отражаясь от знаков и границ экрана.

[7] VirDem, семейство

Опасные нерезидентные вирусы, записываются в начало .COM-файлов текущего диска.

"Virdem.833" двигает по экрану изображение жука.

"VirDem.1542" заполняет экран цветной абстрактной картинкой.

"VirDem.1336.a" снимает и не восстанавливает атрибуты файла.

[8] GoodTimes - миф о компьютерном вирусе

В начале декабря 1994 по сетям Internet и FIDO прошло сообщение о якобы существующем вирусе, который заражает компьютер посредством электронной почты - при получении и чтении писем. Сообщение выглядело следующим образом:

Here is some important information. Beware of a file called GoodTimes. Happy Chanukah everyone, and be careful out there. There is a virus on America Online being sent by E-Mail. If you get anything called "Good Times", DON'T read it or download it. It is a virus that will erase your hard drive. Forward this to all your friend. It may help them a lot.

Это сообщение вызвало настоящую панику среди пользователей Internet. Было зафиксировано даже несколько сообщений о действительно зараженных компьютерах - однако все такие сообщения были "секонд-хенд", но никто в действительности так никогда и не встретился с этим монстром (по той причине, что такого вируса никогда и не было).

Весной 1995 история с "GoodTimes" продолжилась еще одним сообщением на ту же тему - о вирусе, распространяющем себя по всем E-mail адресам, которые присутствуют в ящиках Inbox и SentMail. Как и в первом случае, никакого такого вируса обнаружено так и не было.

Тогда же в очередном номере журнала вирусописателей "VLAD" появились исходные тексты вируса, названного его автором "Good Times" (разработчики антивирусов назвали сей вирус "GT-Spoof"). Это был обычный DOS-вирус, не имевший никакого отношения к сетям и Internet.

[9] Vacsina, Yankee, семейство

Семейство вирусов "VACSINA" (не "VACCINA"!) и "Yankee" насчитывает более 40 файловых резидентных неопасных вирусов. Характерной особенностью вирусов данного семейства является то, что они восстанавливают файлы, зараженные предыдущими версиями вирусов семейства, и затем инфицируют их снова. Заражают COM- и EXE-файлы при их выполнении (вирусы версий до 26h) или загрузке в память (вирусы версий 26h и выше). Стандартно заражают COM- файлы. Кроме того, вирусы "Vacsina" увеличивают длину заражаемого файла до параграфа. Начиная с версии 2Ah к файлу после заражения дописываются дополнительные 4 байта.

Вирусы младших версий (до 23h) инфицируют EXE-файлы специальным образом: файлы переводятся в формат COM-файлов. Для этого к файлу дописывается небольшой фрагмент вируса (132 байта), настраивающий адреса по таблице адресов при загрузке файла в память для выполнения, и изменяются первые три байта файла (JMP на фрагмент). Дописанные к файлу 132 байта не распространяют вируса. Их действие заключается только в настройке адресов программы при ее запуске. Обработанный таким образом файл будет выполняться операционной системой и заражаться многими вирусами как COM-файл. При запуске EXE-программы, содержащейся в подобном файле, управление передается на фрагмент настройки адресов, который анализирует таблицу адресов в заголовке файла и соответствующим образом корректирует загруженную программу. Затем управление передается на стартовый адрес, указанный в заголовке файла. Вирусы перехватывают вектор прерывания 21h, а некоторые представители семейства "Yankee" - INT 1, 3, 9, 1Ch.

Вирусы вызывают звуковые эффекты: при заражении файла вирусом "VACSINA" раздается звуковой сигнал (BELL), вирусы "Yankee" в зависимости от некоторых условий (при одновременном нажатии клавиш Alt-Ctrl-Del либо в 17.00) исполняют мелодию "Yankee Doodle Dandy". При некоторых условиях вирус "Vacsina.06" расшифровывает и выдает на экран строку "Az sum vasta lelja."