Бройдо В.Л. Вычислительные системы, сети и телекоммуникации (2002) (1186248), страница 162
Текст из файла (страница 162)
По способу заражения среды обитания вирусы делятся на: о резидентные; ГЗ нерезидентные. Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.
Вирусы бывают неопасные и опасные, Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают; они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, име- Безопасность информационных систем б61 ющие далеко идущие последствия: искажецие и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (жесткие дйски, г!азЬ-чипсет В)03, перепрограммируя его). По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах, как: П паразитические вирусы, изменяющие содержимое файлов или секторов диска; они достаточно просто могут быть обнаружены и уничтожены; Сз вирусы-репликаторы («черви» %'ОКМ), саморазмножающиеся и распространяющиеся по телекоммуникациям и записываюнше по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами «черви» деструктивных действий не выполняют, поэтому их часто называют псевдовирусами); Ы «троянские» вирусы маскируются под полезные программы (существуют в виде самостоятельных программ, имеюгцих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение .сов вместо .ехе) и выполняют деструктивные функции (например, очищают гАТ); самостоятельно размножаться, как правило, не могут; Гз вирусы-невидимки (стелс-вирусы), по имени самолета-невидимки «згеа!СП», способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженногоо файла, либо подставляют вместо своего тела незараженные участки файлов; Ы самошифруюшиеся вирусы (в режиме простоя зашифрованы, и расшифровываются только в момент начала работы вируса); СЗ мутирующиеся вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные программы для обезвреживания этих вирусов; ГЗ «отдыхающие» вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус «Чернобыль» в сети Интернет функционирует только в день годовщины чернобыльской трагедии), Классификация компьютерных вирусов показана на рис.
20.2. Для своевременного обнаружения и удаления вирусов важно знать основные признаки появления вируса в компьютере: !д неожиданная неработоспособность компьютера или его компонентов; ГЗ невозможность загрузки операционной системы; а медленная работа компьютера; сз частые зависания и сбои в компьютере; гз прекращение работы ранее успешно исполнявшихся програгим; 662 Глава 20. Качество и эффективность информационных систем 1 х СЗ искажение или исчезновение файлов и каталогов; СЗ непредусмотренное форматирование диска; о необоснованное увеличение количества файлов па диске; о необоснованное изменение размера файлов; О искажение данных в СМОК-памяти; о существенное уменьшение объема свободной оперативной памяти; о вывод на экран непредусмотренных сообщений и изображений; О появление непредусмотренных звуковых сигналов. Класснфнквцня компьютерных внрусов ° Сетевые ° Файловые ° Фвйпово-загрузочные ° Загрузочные ° Документные Среда обитания Резидентные Нерезидентные Способ звреження ° Опасные ° Не опасные Степень воздействия ° Паразитические ° Релпнквторы ° Нввнднмкн ° 'мугнрующне ° Троянские ° Свмошнфрующнеся * Отдыхающие Алгоритм функционирования Рнс.
20.2. Классификация компьютерных вирусов Способы защиты от вирусов Прежде всего следует знать возможные источники заражения вирусами и аккуратно с ними работать, то есть осуществлять антивирусную профилактику. Источниками непреднамеренного вирусного заражения могут явиться только съемные носители информации и системы телекоммуникаций. Сьемньге носители информации — чаще всего это дискеты, съемные жесткие диски, контрафактные (не лицензионные) компакт-диски. Вирусы с зараженных съемных носителей могут попасть на винчестер ПК, даже если информация с этого носителя на винчестер не переносилась, а всего лишь было прочитано оглавление носителя или была попытка загрузить операционную систему с дискеты, не являющейся системной.
Но большинство существующих вирусов поражают только тот диск, на который информация переносится (именно поэтому рекомендуется на одном физическом диске — винчестере — создавать два логических диска С: и 0:, причелг на системный диск Сг никакой рабочей информации не записывать, а использовать его только для хранения системной информации и антивирусных про- Безопасность информационных систем граммных средств, которые в нужный момент могут быть использованы для устранения вирусов на диске 0:). Сьемный носитель может быть заражен сам (вирус находится в его загрузочном секторе) или может быть заражен какой-либо файл на этом носителе.
Поэтому для профилактики вирусного заражения компьютера все сменные носители, если они использовались перед этим на других ПК, целесообразно сразу же при их подключении проверить антивирусной программой. Системы телекоммуникаций могут служить поставщиками вируса при их подключении к ПК через модемы и сетевые карты. Поэтому целесообразно осуществлять автоматический входной контроль всех файлов, поступающих по сети, а также по возможности подключать модемы к компьютеру через простые программные брандмауэры, позволяющие хотя бы частично вылавливать приходящие по сети вирусы. Особенно осторожно следует обращаться с электронной почтой, во-первых, потому, что она часто используется для транспортировки вирусов, а во-вторых, поскольку многие очень вредные новые вирусы (например, уже упоминавшийся ранее вирус «1!оче уон», нанесший общемировой ущерб, превысивший $10 млрд) именно в электронной почте автоматически создают паразитные файлы-вложенияя и раз мешаются в них.
При получении письма с вложением, если в тексте письма на вложение нет ссылки, рекомендуется для безопасности вообще это вложение не читать. Для обнаружения и удаления компьютерных вирусов разработано много различных программ. Эти антивирусные программы можно разделить на; !з программы-детекторы; Ы программы-ревизоры, !з программы-фильтры или сторожа; !З программы-доктора или дезинфекторы, фаги; !З программы-вакцины или иммунизаторы. Классификация антивирусных программ представлена на рис. 20.3.
Рис. 20.3. Классификация антивирусных программ Программы-детекторы осушествляют поиск компьютерных вирусов в памяти машины и при обнаружении искомых сообщают об этом. Детекторы могут искать как уже известные вирусы (ищут характерную для конкретного уже известного вируса последовательность байтов — сигнатуру вируса), так и произвольные вирусы (путем подсчета контрольных сумм для массива файла). 664 Глава 20. Качество и эффективность информационных систем Программы-Ревизоры (например, программа Адгп() являются развитием детекторов, но выполняющим значительно более сложную и эффективную работу. г~ни запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим.
При сравнении проверяется длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры. Программы-фильтры (например, утилита НОВ Ъ'эа(е) выполняют наблюдение и выявление подозрительных, характерных для вирусов процедур в работе компью1тера (коррекция исполняемых .ехе и .сею файлов, запись в загрузочные секторы дисков, изменение атрибутов файлов, прямая запись на диск по прямому адресу и т. д.). При обнаружении таких действий фильтры посылают пользователю запрос о подтверждении правомерности таких процедур.
Программы-доктора — самые распространенные и популярные програмлгы (например, программы АЪгР доктора Касперского, г)осгог ЪЪгеЬ, Агдэтезц Ыоггоп Апггщггцз и т. д.). Эти программы не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски. Многие программы-доктора находят и удаляют большое число (десятки тысяч) вирусов и являются полифагами. Полифаги АЪгР, Пг.ЪЪгеЬ и т. д.
обновляются ежемесячно, а при появлении особо опасных вирусов и чаще. Программы-вакцины применяются для предотвращения заражения файлов идисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой-вирусом уже зараженным, и поэтому вирус не внедряется. Основные меры по защите компьютеров от вирусов 1. Не использовать нелицензионные или не проверенные дрограммные продукты (например, с контрафактных СП и ПЪгьг).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
