«Історія комп’ютерних вірусів» - nadoest.com ))
Головна
Пошук за ключовими словами:
сторінка 1
Схожі роботи
«Історія комп’ютерних вірусів» - сторінка №1/1
Черняхівська ЗОШ І-ІІІ ступенів

Проект


на тему:

«Історія комп’ютерних вірусів»

Вчитель: Іванюха Тетяна В.

Виконала: Мишук Р.

План

1.Походження терміну

2.Історія комп'ютерних вірусів.

3.Життєвий цикл вірусу

4.Типи вірусних загроз.

5.Суспільний аспект.

6.Класифікація.

7.Ознаки зараження вірусом.

8.Протидія вірусам.

9.Недоліки існуючих підходів.

10.Комплексний підхід до захисту від вірусних загроз.

11.Список використаної літератури.



1.Походження терміну

Комп'ютерний вірус (англ. computer virus) — комп'ютерна програма, яка має здатність до прихованого саморозмноження. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера. Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу Інтернет по всьому світу. Малообізнані користувачі ПК помилково відносять до комп'ютерних вірусів також інші види шкідливих програм — програми-шпигуни чи навіть спам.

За створення та поширення шкідливих програм (в тому числі вірусів) у багатьох країнах передбачена кримінальна відповідальність. Зокрема, в Україні створення і поширення комп'ютерних вірусів переслідується і карається відповідно до Кримінального кодексу (статті 361, 362, 363).



2.Історія комп'ютерних вірусів

Ні кому як відомо, що "найбільшим і вкрай небезпечним ворогом будь-якої сучасної комп'ютера є віруси. І дарма що, навіщо використовується ПК і підключений він до Інтернету чи локальної мережі. Сьогодні розмаїтість злобливих програм настільки велика, під загрозою виявляється буквально кожен комп'ютер. Взагалі-то, всю історію розвитку комп'ютерних вірусів схожий на гонку озброєнь. Спочатку з'являється злоблива програма, потім - захист від нього. І, виток за витком, віруси перетворилися з найпростіших програм, у складні комплекси, вміють приховувати своєї діяльності, перетворюватися буквально в невидимки, використовувати писав криптографічні і мережні технології. Паралельно розвивалися і антивірусні кошти. Спочатку що це досить примітивні утиліти, видалені в файлах відомі їм сигнатури. І ось антивірус - це складний комплекс нижченаведених, який складається найчастіше з кількох програм, тож використовує різні способи виявлення й видалення вірусів. Але чого ж відбувався процес розвитку? Давайте хоча б коротко розглянемо основні віхи історія комп'ютерних вірусів.



1949 рік

Саме з 1949 роки можна вести відлік історії комп'ютерних вірусів. Було це США. Вчений Джон фон Науман, угорець з походження, працював у одному з університетів, розробив математичну теорію зі створення самосприймаючих алгоритмів. Результати його досліджень було опубліковано у кількох спеціалізованих журналах. Проте задля справедливості слід зазначити, що ці роботи викликали особливого ажіотажу і залишився абсолютно непоміченими оточуючими, крім вузьке коло вчених-математиків.

Єдиним практичним використанням теорії Науманна виявилося розвага, яке придумали самі собі математики, працюють у науково-дослідному центрі компанії Bell. Вони захопилися створенням спеціальних програм, єдиною метою яких неможливо було віднімання в друг в одного віртуального простору. У цих "гладиаторах" уперше було використана функція саморозмножения - обов'язковий ознака будь-якого комп'ютерного вірусу.

Кінець 60-х - початок 70-х

Протягом двадцяти років теорія Науманна практично ніде не використовувалася. Проте наприкінці 1960-х років з'явилися перші повідомлення про найсправжнісіньких комп'ютерних віруси. Тоді їх писали програмісти так просто, для розваги чи "проби сил". Саме такою і він найперший відомий вірус Pervading Animal. Він виконувала жодних деструктивних дій, та й заразив лише комп'ютер (Univax 1108), де й створили. Але саме цей вірус є "прабатьком" всього сьогоднішнього різноманіття злобливих програм.

До речі, віруси тоді з'являлися у результаті заздалегідь спланованих дій, а й випадково. Тоді відбувалося активне розробка нових прийомів програмування. Тому іноді у результаті помилок в коді програма починала "жити власним життям", копіюю себе по накопичуючись чи залишаючись працювати у пам'яті машини. Такі "віруси" не виконували деструктивних дій, проте займали системні ресурси комп'ютера. Та якщо врахувати обсяги існували тоді накопичувачів і оперативної пам'яті, стає зрозуміло, що ця була досить серйозної.

1975 рік

Цей рік можна вважати датою народження антивірусних програм. Почалося все з появи першого мережного вірусу The Creeper, котрий використовує Telenet. Небезпека поширення цієї зарази була досить великий, тож за захистом було написано спеціальна дитяча програма The Reeper. Відтоді почалася своєрідна гонка озброєнь між вірусами і антивірусами.



Початок 80-х

Саме тоді з'являються перші масові віруси. Проте працюють вони лише з комп'ютерах Apple. До речі, їхнього поширення вперше використовувався одне із найбільш популярних способів - піратські гри. Користувачі копіювали друг в одного різні програми (добре що той час поміщалися на дискетах), а водночас і і віруси. І оскільки антивірусного софта тоді мало було, то число постраждалих було чимало велике.



1986 рік

Цей рік ознаменувався появою першого вірусу для комп'ютерів IBM - The Brain, який досить розійшовся у світі. Хіба найцікавіше, автори, два пакистанських програміста, створили його лише із найблагішими намірами. Річ у тім, що вони працювали у компанії, що займається розробкою ПО. І щоб чи хоч якось покарати місцевих піратів, програмісти і написали цей вірус. Вони навіть залишили імена і телефони, щоб порушники зрозуміли, хто підніс їм "подарунок". Проте іграшка виявилася дуже небезпечною. Поширення вірусу вийшло з-під контролю, і злоблива програма швидко поширилася щодо країн.

Вірус The Brain наробив багато галасу. Власне, саме відразу ж на комп'ютерні віруси звернув увагу як спеціалізовані видання з інформаційну безпеку, а й журнали, розраховані звичайних користувачів. А загальний ажіотаж підстьобнув відразу кількох різних компаній створення спеціальних антивірусних програм.

1988 рік

Наприкінці 80-х років років минулого століття активно розвивалася мережу ARPANET - предок сучасного Інтернету. І саме він послужила середовищем до швидшого поширення "хробака", написаного американським програмістом. Зараженими виявилися майже шість тисяч комп'ютерів у всій Америці. Але 1988 рік знаменний навіть появою мережного вірусу, а тим, що його автор став перед правосуддям. Покарання було дуже суворим (штраф в тис. три роки іспитового терміну), проте створили перший прецедент, який неодноразово використовувався у майбутньому. Ще однією плюсом судового розгляду виявилося притягнення до проблемі вірусів некомп'ютерною преси, зокрема і серйозних ділових видань. Галас навколо суду виявилася відмінній рекламою антивірусних програм, розробка яких активно тривала.



1989 рік

Узагалі-то, цього року знаменний появою Інтернету. У вірусної ж історії жодних віхових подій було. Ну, успіхів хіба що зазначено перше серйозне покарання створення шкідливої програми. Він був присуджено автору вірусу, яким закривався доступ до всієї необхідної інформації на жорсткому диску, але в екран виводив повідомлення з вимогою перевести певну суму в зазначений рахунок у банку. І багато людей справді платили! Проте виявилися і ті, хто звернувся до поліцію. Зібраних стражами порядку доказів вистачило те що, щоб засудити автора вірусу за здирство.

У іншому ж усе йшло своєю чергою. З'являлися нові віруси, поліпшувалося антивірусне програмне забезпечення. Дедалі більше з'являється компаній виявлялися задіяні у цій боротьбі. Поступово тема комп'ютерних вірусів ставала дедалі популярнішою в різної пресі. Ділові видання намагалися підрахувати втрати від злобливих програм, тож передбачити, що буде у майбутньому. З іншого боку, тим часом з'явилися перші книжки, присвячені комп'ютерним вірусам.

Середина 90-х

Віруси продовжують активно вдосконалюватися. Написання злобливих програм багато хто займається люди. У великий скандал викликав випадок, коли 12-річний хлопчик написав вірус, який вразив комп'ютери Білого дому. З іншого боку, тим часом зафіксовано поява "бомб уповільненої дії", які розмножуються, але нічим не проявляються до точної дати. Також у середині 1990-х років жертвами вірусів кілька разів ставали люди, отримують від великих компаній певну інформацію на дискетах. Зокрема, корпорація Microsoft якось розіслав лабета-тестерам заражену версію Windows 95.

У 1990-х активно веде боротьбу проти вірусів. Їх авторів починають переслідувати вже з всьому світу. У деяких країнах, зокрема у навіть Великобританії, вже пройшла низка гучних судових процесів над. Усі обвинувачувані відбулися штрафами, розміри яких поступово росли. Антивірусне ПО постійно продовжує удосконалюватися й починає успішно протистояти поширенню і руйнівним діям вірусів.

1998 рік

Цього року дві американські підлітка створили вірус, який заразив більш як півтисячі комп'ютерів Міністерства оборони США. Через війну діяльність цього відомства виявилася практично паралізована. Це було, як кажуть, знакове подія. Саме відразу ж державу й суспільство визнали, що комп'ютерні віруси можуть нести велику небезпеку, ніж навіть зброю масового знищення. Через війну Пентагон, а й за них і всі великі корпорації роблять великі замовлення якісне і надійне антивірусне ПО, стимулюючи цим розробку. До речі, побічно ця ситуація зіграла позитивну роль розвитку найрізноманітніших, особливо мережевих, систем інформаційну безпеку. Люди почали усвідомлювати небезпека, яка, як з'ясувалося, походить тільки від вірусів.



1999 рік

Цей рік відзначений першої всесвітньої епідемією. Викликав її вірус Melissa. Кількість заражених їм комп'ютерів обчислювалася десятками тисяч, а збитки, завданий світовій економіці, становив просто запаморочливу на той час цифру - 80 мільйонів. Відтоді антивірусне ПО стала обов'язковою атрибутом будь-якого комп'ютера. Компанії, займаються його розробкою, отримали величезні прибутку, тож з 1999 року розробка захисту від злобливих програм рушила вперед семимильними кроками.



2000 рік

Зафіксований рекорд за поширення вірусу і кількості заражених їм комп'ютерів. "Черв'як" I Love You! протягом усього кількох годин вразив понад мільйон ПК у світі. Автора вірусу знайшли досить швидко, їм виявився філіппінський студент. Проте залучити його до відповідальності зірвалася, що у законодавстві Філіппін немає відповідних правових норм. Це викликало термінове створення умов та підписання міжнародних угод про протидію комп'ютерним вірусам. Отже, ця була визнана світової.



2002 рік

Вірусної атаці зазнали 13 вузлових інтернет-серверів, які забезпечують працездатність Глобальної мережі. Фахівці б'ють тривогу. Активно розвиваються кошти мережевий безпеки, які включають у собі як антивірусне ПО, а йбрандмауери. З іншого боку, більшості країн оголошено справжню війну авторам комп'ютерних вірусів. Їх покарання стають дедалі жорсткішими. Зокрема, Девід Сміт, творець вірусу Melissa, засуджений до великому штрафу і 20 місяців ув'язнення.



2003 рік

Час активний розвиток мережевих "хробаків". Інтернет періодично стрясають епідемії. Знову виявляються побитими рекорди поширення вірусу. Цього разу відзначився "хробак"Slammer, що протягом всього 10 хвилин заразив 75 тисяч комп'ютерів, серед яких виявилося навіть машини Держдепартаменту США. Через війну консульства Америки на півдня ніхто не звернув роботи, оскільки здійснювати процес видачі віз не міг.

А загалом рік пройшов без особливих несподіванок. Антивирусное ПО було ще досконалішим, тому у розповсюдженні вірусів винні здебільшого самі користувачі. Увага громадськості до зловредним програмам приваблюють як друковані ЗМІ, а й радіо і телебачення. Тому поступово користувачі починають привчати себе на дотриманню основних правил безпеки з Інтернету, який сьогодні й є основним джерелом вірусів.



3.Життєвий цикл вірусу

Оскільки відмінною рисою вірусів у традиційному змісті є здатність до розмноження в рамках одного комп'ютера, розподіл вірусів на типи відбувається у відповідності зі способами розмноження.

Сам процес розмноження може бути умовно розділений на кілька стадій:

- Проникнення на комп'ютер

- Активація вірусу

- Пошук об'єктів для зараження

- Підготовка вірусних копій

- Впровадження вірусних копій

Особливості реалізації кожної стадії породжують атрибути, набір яких фактично й визначає клас вірусу.

Проникнення

Віруси проникають на комп'ютер разом із зараженими файлами або іншими об'єктами (завантажувальними секторами дискет), ніяк, на відміну від хробаків, не впливаючи на процес проникнення. Отже, можливості проникнення повністю визначаються можливостями зараження й класифікувати віруси по цих стадіях життєвого циклу окремо змісту немає.



Активація

Для активації вірусу необхідно, щоб заражений об'єкт одержав керування. На даній стадії розподіл вірусів відбувається по типах об'єктів, які можуть бути заражені:

1. Завантажувальні віруси - віруси, що заражають завантажувальні сектори постійних і змінних носіїв.

Приклади. Шкідлива програма Virus. Boot. Snow.a записує свій код в MBR жорсткого диска або в завантажувальні сектори дискет. При цьому оригінальні завантажувальні сектори шифруються вірусом. Після одержання керування вірус залишається в пам'яті комп'ютера (резидентність) і перехоплює переривання INT 10h, 1Ch й 13h. Іноді вірус проявляє себе візуальним ефектом - на екрані комп'ютера починає падати сніг.

Інший завантажувальний вірус Virus.Boot.DiskFiller також заражає MBR вінчестера або завантажувальні сектори дискет, залишається в пам'яті й перехоплює переривання - INT 13h, 1Ch й 21h. При цьому, заражаючи дискети, вірус форматує додаткову доріжку з номером 40 або 80 (залежно від обсягу дискети він може мати 40 або 80 доріжок з номерами 0-39 або 0-79 відповідно). Саме на цю нестандартну доріжку поза полем звичайної видимості вірус записує свій код, додаючи в завантажувальний сектор лише невеликий фрагмент - головну частину вірусу.

При зараженні вінчестера Virus.Boot.DiskFiller розташовує свій код безпосередньо за MBR, а в самому MBR міняє посилання на активний завантажувальний сектор, указуючи адресу сектора де він розташований.

2. Файлові віруси - віруси, що заражають файли. Ця група додатково ділиться на три, залежно від середовища в якій виконується код:

Властиво файлові віруси - ті, які безпосередньо працюють із ресурсами операційної системи.

Приклади. Найвідоміший файловий вірус всіх часів і народів - Virus.Win9x.CIH, відомий також як "Чорнобиль". Маючи невеликий розмір - близько 1 кгб - вірус заражає PE-файли (Portable Executable) на комп'ютерах під керуванням операційних систем Windows 95/98 таким чином, що розмір заражених файлів не міняється. Для досягнення цього ефекту вірус шукає у файлах "порожні" ділянки, що виникають через вирівнювання початки кожної секції файлу під кратні значення байт. Після одержання керування вірус перехоплює IFS API, відслідковуючи виклики функції звертання до файлів і виконують зараження файлу. 26 квітня спрацьовує деструктивна функція вірусу, що полягає в стиранні Flash BIOS і початкових секторів жорстких дисків. Результатом є нездатність комп'ютера завантажуватися взагалі (у випадку успішної спроби стерти Flash BIOS) або втрата даних на всіх жорстких дисках комп'ютера.

З останніх шкідливих програм, що володіють вірусною функціональністю, можна відзначити Email-Worm.Win32.Bagle.p (а також його модифікації .q й .r). Будучи в першу чергу хробаком з основним каналом поширення через електронну пошту, Bagle.p містить також функцію зараження EXE-файлів шляхом дописування в їхній кінець поліморфного коду вірусу

Макровіруси - віруси, написані мовою макрокоманд й, що виконують у середовищі якого-небудь додатка. У переважній більшості випадків мова йде про макроси в документах Microsoft Office.

Приклади. Одними з найбільш руйнівних макровірусів є представники сімейства Macro.Word97.Thus. Ці віруси містять три процедури Document_Open, Document_Close й Document_New, якими підмінює стандартні макроси, що виконуються при відкритті, закритті й створенні документа, тим самим забезпечуючи зараження інших документів. 13 грудня спрацьовує деструктивна функція вірусу - він видаляє всі файли на диску C:, включаючи каталоги й підкаталоги.

Модифікація Macro.Word97.Thus.aa крім зазначених дій при відкритті кожного зараженого документа вибирає на локальному диску випадковий файл і шифрує перші 32 байта цього файлу, поступово приводячи систему в непрацездатний стан.

Макровіруси здатні заражати не тільки документи Microsoft Word й Excel. Існують шкідливі програми орієнтовані й на інші типи документів: Macro.Visio.Radiant заражає файли відомої програми для побудови діаграм -Visio, Virus.Acad.Pobresito - документи AutoCAD, Macro.AmiPro.Green - документи популярного раніше текстового процесора Ami Pro.

Скріпт-віруси - віруси, що виконують у середовищі певної командної оболонки: раніше - bat-файли в командній оболонці DOS, зараз частіше VBS й JS - скріпти в командній оболонці Windows Scripting Host (WSH).



Приклади. Virus.VBS.Sling написаний мовою VBScript (Visual Basic Script). При запуску він шукає файли з розширеннями .VBS або .VBE і заражає їх. При настанні 16-го червня або липня вірус при запуску видаляє всі файли з розширеннями .VBS й .VBE, включаючи самого себе.

Virus.WinHLP.Pluma.a - вірус, що заражає файли допомоги Windows. При відкритті зараженого файлу допомоги виконується вірусний скрипт, що використовуючи нетривіальний метод (по суті, уразливість в обробці скріптів) запускає на виконання вже як звичайний файл Windows певний рядок коду, що міститься у скрипті. Запущений код робить пошук файлів довідки на диску й впроваджує в їхню область System скріпт автозапуску.



Пошук жертв

На стадії пошуку об'єктів для зараження зустрічається два способи поводження вірусів.

1. Одержавши керування, вірус робить разовий пошук жертв, після чого передає керування асоційованому з ним об'єкту (зараженому об'єкту).

Приклад. Звичайно при освоєнні нової платформи спочатку з'являються віруси саме цього типу. Так було з появою вірусів під DOS, під Windows 9x, під Windows NT, під Linux.

Наприклад, таким вірусом є Virus.Multi.Pelf.2132 - один з деяких представників мультиплатформових вірусів. Цей вірус здатний заражати як PE-файли, так і файли у форматі ELF (формат файлів, що виконують, під Linux). При запуску вірус робить у поточному (під обома операційними системами) і вищестоящих каталогах (під Windows) файлів форматів, що заражають, (PE й ELF), визначаючи дійсний формат файлу по його структурі. Після зараження знайдених файлів вірус завершує роботу й повертає керування запущеному файлу.

2. Одержавши керування, вірус так чи інакше залишається в пам'яті й робить пошук жертв безупинно, до завершення роботи середовища, у якій він виконується

Приклад. Virus.DOS.Anarchy.6093 також є мультиплатформеним у тому розумінні, що він здатний заражати DOS COM- і EXE-файли, а також документи Microsoft Word 6/7. При цьому вірус може активуватися при запуску як у середовищі DOS, так й у середовищі Windows 95. Після запуску вірус перехоплює переривання INT 21h, а в середовищі Windows додатково вносить зміни в драйвер VMM32.VXD (Virtual Memory Manager) з метою перехоплення звертань до файлів. При запуску або відкритті COM-, EXE й DOC -файлу вірус заражає його. Крім цього, у файловому варіанті вірус є поліморфним (див. нижче), і в будь-якому варіанті має stealth-функціональність (див. нижче)

Віруси другого типу в часи однозадачной DOS було прийнято називати резидентними. З переходом на Windows проблема залишитися в пам'яті перестала бути актуальної: практично всі віруси, що виконують у середовищі Windows, так само як й у середовищі додатків MS Office, є вірусами другого типу. І навпроти, скрипт-вируси є вірусами першого типу. Відповідно, атрибут резидентний застосуємо тільки до файлових DOS вірусам. Існування нерезидентних Windows вірусів можливо, але на практиці вони є рідкісним винятком.

Окремо має сенс розглянути так називані stealth-віруси - віруси, які перебуваючи постійно в пам'яті, перехоплюють звертання до зараженого файлу й на ходу видаляють із нього вірусний код, передаючи у відповідь на запит незмінену версію файлу. У такий спосіб ці віруси маскують своя присутність у системі. Для їхнього виявлення антивірусним засобам потрібна можливість прямого звертання до диска в обхід засобів операційної системи. Найбільше поширення Stealth-віруси одержали в часи DOS.

Підготовка вірусних копій

Процес підготовки копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднене або зовсім неможливо.

При створенні копій для маскування можуть застосовуватися наступні технології:

Шифрування — вірус складається із двох функціональних шматків: властиво вірус і шифратор. Кожна копія вірусу складається із шифратора, випадкового ключа й властиво вірусу, зашифрованого цим ключем.

Метаморфізм — створення різних копій вірусу шляхом заміни блоків команд на еквівалентні, перестановки місцями шматків коду, вставки між значущими шматками коду "сміттєвих" команд, які практично нічого не роблять.

Сполучення цих двох технологій приводить до появи наступних типів вірусів.

Шифрований вірус - вірус, що використає просте шифрування з випадковим ключем і незмінний шифратор. Такі віруси легко виявляються по сигнатурі шифратора.

Метаморфний вірус - вірус, що застосовує метаморфізм до всього свого тіла для створення нових копій.

Поліморфний вірус - вірус, що використає метаморфний шифратор для шифрування основного тіла вірусу з випадковим ключем. При цьому частина інформації, використовуваної для одержання нових копій шифратора також може бути зашифрована. Наприклад, вірус може реалізовувати кілька алгоритмів шифрування й при створенні нової копії міняти не тільки команди шифратора, але й сам алгоритм.

Поліморфні віруси можна ділити на класи за рівнем поліморфізму.

Пік популярності поліморфних вірусів довівся на часи DOS, проте, і пізніше поліморфізм використався в безлічі вірусів, продовжує використатися поліморфізм і сьогодні.

Приклади. Згаданий вище Email-Worm.Win32.Bagle.p є поліморфним вірусом.

Одним з найбільш складних і щодо пізніх поліморфних вірусів є Virus.Win32.Etap. При зараженні файлу вірус перебудовує й шифрує власний код, записує його в одну із секцій файлу, що заражає, після чого шукає в коді файлу виклик функції ExitProcess і заміняє його на виклик вірусного коду. Таким чином, вірус одержує керування не перед виконанням вихідного коду зараженого файлу, а після нього.



Впровадження

Впровадження вірусних копій може здійснюватися двома принципово різними методами:

Впровадження вірусного коду безпосередньо в заражає об’єкт

Заміна об'єкта на вірусну копію. Об'єкт, що заміщає, як правило, перейменовується

Для вірусів характерним є переважно перший метод. Другий метод набагато частіше використається хробаками й троянами, а точніше троянськими компонентами хробаків, оскільки трояни самі по собі не поширюються.

Приклад. Один з деяких поштових хробаків, що поширюються по поштовій книзі The Bat! - Email-Worm.Win32.Stator.a, крім усього іншого заражає деякі файли Windows за принципом вірусу-компаньйона. Зокрема, до заражають файлам, що, ставляться: mplayer.exe, winhlp32.exe, notepad.exe, control.exe, scanregw.exe. При зараженні файли перейменовуються в розширення .VXD, а вірус створює свої копії під оригінальними іменами файлів, що заражають. Після одержання керування вірус запускає відповідний перейменований оригінальний файл.

Як варіант другого методу, у часи DOS застосовувався наступний прийом. При наборі імені файлу, що виконує, без вказівки розширення, DOS шукає один по одному спершу BAT, потім COM, і зрештою EXE-файл. Відповідно, вірусна копія створювалася в одному каталозі з EXE-файлом, дублюючи його ім'я й приймаючи розширення COM. Таким чином, при спробі запустити даний EXE-файл без явної вказівки розширення спочатку запускався вірус.

Аналогічний прийом може використатися й в Windows-системах, але оскільки основна маса користувачів Windows рідко користуються запуском файлів з командного рядка, ефективність цього методу буде низкою.

4.Типи вірусних загроз

Основними видами загроз антивірусної безпеки стають різні типи шкідливого ПО, здатного завдати певний шкода АИС чи її користувачам. Шкідливе ПО є комп'ютерні віруси, і навіть програми типу “троянського коня”,adware, spyware та інших.

Віруси — це спеціально створений програмний код, здатний самостійно поширюватися у комп'ютернійсреде2. Нині можна виділити такі типи інформаційних вірусів: файлові і завантажувальні віруси, “мережні хробаки”, безтілесні віруси, і навіть комбінований тип вірусів. Кожен з цих типів відрізняється виглядом носія, і навіть методом поширення у АИС.

Програми типу “троянського коня” (TrojanHorses) теж належать до шкідливому програмному коду, проте, на відміну вірусів, немає можливості самостійно поширюватися в АИС. Програми такого типу маскуються під штатне ПО системи та дозволяють порушнику отримати видалений не санкціонованого доступу до тих вузлам, де вони встановлено.

Шкідливе ПО типу spyware призначено для збору певній інформації на роботу користувача. Прикладом таких даних може бути список інтернет-сайтів, відвідуваних користувачем, перелік програм, встановлених з його робочої станції, вміст повідомлень електронної пошти та інших. Зібрана інформація перенаправляється програмами spyware на заздалегідь певні адреси у мережі інтернет. Шкідливе ПО такого типу може бути потенційним каналом витоку конфіденційної комп'ютерної інформації з АИС.

Основна функціональна завдання шкідливих програм класу adware залежить від відображенні рекламної інформації на робочих станціях користувачів. Задля реалізації цього, зазвичай, виводять на екран користувача рекламні банери, містять інформацію про те чи інших товарах і послугах. Найчастіше ці програми поширюються разом із іншим ПО, яке встановлюється на вузли АИС. Попри те,що програми adware уявити не можуть безпосередню загрозу для конфіденційності чи цілісності інформаційних ресурсів АИС, їхньої роботи може спричинить порушення доступності внаслідок несанкціонованого використання обчислювальних ресурсів робочих станцій.

Зазвичай, вірусні загрози можуть існувати одному з чотирьох етапів свого життєвого циклу.

Основним умовою першим етапом життєвого циклу вірусної погрози на АИС служить наявність уразливості, з урахуванням якої потенційно можливо провести вірусніатаки3.Уязвимости можуть виникати недоліки організаційно-правового або програмно-апаратного забезпечення АИС. Перший типу можливостей пов'язані з відсутністю певних тих нормативних документів, у яких визначаються вимоги до антивірусної безпеки АИС, і навіть шляху їхнього реалізації. Приміром, у створенні може відсутні політика інформаційну безпеку, враховує вимоги до антивірусної захисту. Прикладами уязвимостей програмно-апаратного забезпечення є помилки у ПО, відсутність засобів захисту, неправильна конфігурація програмного оточення, наявність нестійких догадів паролів та інших.

Уязвимости можуть бути як у технологічному, і на експлуатаційному етапах життєвого циклу АИС. Технологічні уразливості виявляються на стадіях проектування,розробки та розгортання АИС. Експлуатаційні уразливості пов'язані із вічно неправильною настроюванням програмно-апаратного забезпечення, встановленого в АИС.

Другий етап життєвого циклу вірусної загрози припускає використання вірусом наявної технологічної чи експлуатаційної уразливості для інфікування ресурсів АИС. На цьому етапі вірус заражає одне із хостів (серверів, завдання яких полягає — забезпечувати доступом до мережним ресурсів), входять до складу АИС. Залежно від типу уразливості АИС застосовуються різні методи їхнього використання. На етапі життєвого циклу вірус виконує ті дії, котрим він був призначений. Приміром, вірус може встановити інфікована комп'ютер програму типу “троянського коня”, спотворити інформацію, що зберігається нахосте, чи зібрати конфіденційну інформації і передати її в певний адресу у мережі інтернет. Нерідко віруси також можна використовувати для порушення працездатності атакованої АИС. На четвертому етапі життєвого циклу відбувається подальше поширення вірусів у АИС у вигляді інфікування інших комп'ютерів, розміщених у однієї ЛВС разом із зараженим хостом. Найчастіше поширення вірусів складає основі ж уязвимостей, що були для первинного інфікування АИС.





5.Суспільний аспект

Для одних віруси є бізнесом. Причому не тільки для їхніх авторів, але і для тих, хто з цими вірусами бореться. Бо процвітання компаній, які випускають антивірусні програми не є несподіванкою ні для кого. Для інших — це хобі. Хобі — збирання вірусних колекцій і хобі — написання вірусів. Ще інші — створюють віруси для прояву власної зухвалості і незалежності, у деяких колах подібна діяльність просто необхідна для підняття свого престижу. Є й такі, для кого віруси це витвір мистецтва; зустрічаються лікарі за покликанням, отже, може бути і комп'ютерний лікар за покликанням. Для деяких віруси служать приводом пофілософствувати на теми створення і розвитку комп'ютерного життя. Для інших віруси — це також стаття кримінального кодексу. Але для більшості користувачів комп'ютерів віруси — це щоденна головна біль і турбота, причина збоїв у роботі комп'ютера і ворог номер один.



6.Класифікація

Не існує єдиної системи класифікації та іменування вірусів (хоча спроба створити стандарт була зроблена на зустрічі CARO в 1991 році).

Прийнято розділяти віруси за:

- об'єктами, які вражаються (файлові віруси, завантажувальні віруси, анти-антивірусні віруси, скриптові віруси, макро-віруси, мережеві черв'яки).

- способом зараження (перезаписуючі віруси, віруси-компаньйони, файлові хробаки, віруси-ланки, паразитичні віруси, віруси, що вражають вихідний код програм)

- операційними системами і платформами, які вражаються (DOS, Microsoft Windows, Unix, Linux, інші)

- активністю (резидентні віруси, нерезидентні віруси)

- технологіями, які використовуються вірусом (нешифровані віруси, шифровані віруси, поліморфні віруси, стелс-віруси (руткіт і буткіт)

- деструктивними можливостями (нешкідливі віруси, безпечні віруси, небезпечні віруси, дуже небезпечні віруси)

- мовою, на якій написаний вірус (асемблер, високорівнева мова програмування, скриптова мова, інші)





7.Ознаки зараження вірусом

1.Зменшення вільної пам'яті

2.Уповільнення роботи комп'ютера

3.Затримки при виконанні програм

4.Незрозумілі зміни в файлах

5.Зміна дати модифікації файлів без причини

6.Незрозумілі помилки Write-protection

7.Помилки при інсталяції і запуску Windows

8.Відключення 32-розрядного допуску до диску

9.Неспроможність зберігати документи Word в інші каталоги, крім Template

10.Погана робота дисків

11.Файли невідомого походження

Ранні ознаки зараження дуже тяжко виявити, але коли вірус переходить в активну фазу, тоді легко помітити такі зміни:

1.Зникнення файлів

2.Форматування HDD

3.Неспроможність завантажити комп'ютер

4.Неспроможність завантажити файли

5.Незрозумілі системні повідомлення, звукові ефекти і т. д.

Здебільшого, все це в минулому. Зараз основні ознаки — самовільне відкривання браузером деяких сайтів (рекламного характеру), підозріло підвищений інтернет-трафік та повідомлення від друзів, що ваші листи електронної пошти до них містили вірус.



8.Протидія вірусам

Комп'ютерні віруси залишаються у час однією з найбільш небезпечних загроз інформаційну безпеку автоматизованих інформаційних систем (>АИС). Однією з підтверджень цього є статистичні дані асоціаціїmi2g (>mi2g.com), відповідно до яких 2004 року сумарний збитки, завданий вірусами, становив 184 млр дол. Це майже двічі перевищує аналогічний показник 2003 року.

Необхідно також відзначити, що, за даними досліджень Інституту комп'ютерної безпеки і Федерального Бюро Розслідувань США, 2004 року більш 78 % організацій, були піддаються вірусниматакам1. У цьому у 97 % були встановлено міжмережеві екрани, а 96 % компаній використовували антивірусні кошти. Сказане тут свідчить, що наявні підходи до захисту від шкідливого ПО неможливо повною мірою вирішити завдання забезпечення антивірусної безпеки. Проте, як розпочати опису недоліків традиційних методів захисту від комп'ютерних вірусів, розглянемо основні види вірусних загроз, що потенційно можуть загрожувати для АИС організацій. До речі, загальні інформацію про захисту АИС ви можете почерпнути у роки про дві статті циклу — в “БіК” № 1 і № 2 за 2007 рік.

9.Недоліки існуючих підходів

Нині у багатьох компаніях існує міф у тому, що з захисту АИС від шкідливого ПО досить встановити антивірусні продукти усім робочих станціях і серверах, що автоматично забезпечить потрібний рівень безпеки. На жаль, практика показує, що така підхід Демшевського не дозволяє повною мірою вирішити завдання захисту від шкідливого коду. Ускладнення зумовлені такими основними причинами:

· переважна більшість антивірусних коштів виходить з сигнатурних методах виявлення шкідливого ПО, яка дозволяє їм виявляти нові види вірусів, сигнатури яких відсутні у тому базах даних;

· часом в організаціях відсутні нормативно-методичні документи, які регламентують порядок роботи з антивірусними засобів захисту. Це може спричинить можливим порушень правил експлуатації, саме — несвоєчасному оновленню сигнатурних баз, відключення компонентів антивірусів, запуску програм з неперевірених інформаційних носіїв тощо. буд.;

· антивірусні засоби захисту неможливо виявляти і усувати уразливості, основі яких комп'ютерні віруси можуть проникати у АИС підприємств;

· антивіруси що немає функціональними можливостями, що дозволяє ліквідовувати наслідки вірусних атак.

Іншим розповсюджним підходом до захисту від шкідливого коду є використання у АИС антивірусних засобів захисту лише одну виробника, які на сервери, робочі станції і мережні шлюзи. Недоліком такого методу є високий рівень залежність від продукції цього виробника. Це означає, у разі коли з якоїсь причини буде порушено працездатність антивірусного ядра чивендор (виробник ПО) зможе своєчасно оновити свою базі даних, то під загрозою вірусної епідемії виявиться усю інфраструктуру компанії. Актуальність цієї проблеми зумовлена тим, що антивірусні лабораторії по-різному реагують на з'являються комп'ютерні віруси. Иллюстрирует це приклад,зображений на рис. 2. Він показує час реакції різних компаній-виробників на вірус Sober.P, що з'явився 2 травня 2005 року. Як бачите, різниця у часі реакції становить до максимально восьми годин, протягом яких АИС потенційно то, можливо успішно атакована зловмисниками. Необхідно також відзначити і різницю в часу реагування компаній мали на той чи іншого вірус: той виробник, що сьогодні першим відреагував на поява вірусу класу А, завтра може останнім випустити сигнатуру для вірусу типу Б.

10.Комплексний підхід до захисту від вірусних загроз

Такий підхід до захисту від шкідливого коду передбачає узгоджене застосування правових, організаційних і програмно-технічних заходів,перекривающих разом все основні канали реалізації вірусних загроз. Відповідно до цим підходом у створенні необхідно реалізувати наступний комплекс заходів:

· виявлення й усунення уязвимостей, основі яких реалізуються вірусні загрози. Це дозволить виключити причини можливого виникнення вірусних атак;

· своєчасне виявлення і блокування вірусних атак;

· виявлення і ліквідація наслідків вірусних загроз. Цей клас заходів захисту спрямовано мінімізацію шкоди,нанесенного у результаті вірусних загроз.

Важливо розуміти, що ефективна реалізація перелічених вище заходів для підприємства можлива лише за наявності нормативно-методичного, технологічного і кадровому забезпеченню антивірусної безпеки.

Нормативно-методичне забезпечення антивірусної безпеки передбачає створення збалансованої правова база у сфері захисту від вірусних загроз. І тому у компанії необхідно розробити комплекс внутрішніх тих нормативних документів і процедур, які забезпечують процес експлуатації системи антивірусної безпеки. Склад таких документів великою мірою залежить від розмірів самої організації, рівня складності АИС, кількості об'єктів захисту та т. буд. Приміром, значних організацій основним нормативним документом у сфері захисту від шкідливого коду мусить бути концепція чи політика антивірусної безпеки.

У межах кадровому забезпеченню антивірусної безпеки у компанії може бути організований процес навчання співробітників протидії вірусним загрозам. Програма навчання має спрямувати на мінімізацію ризиків, що з помилковими діями користувачів, що призводять до реалізації вірусних атак. Прикладами таких дій є: запуск додатків з неперевірених зовнішніх носіїв, використання нестійких догадів паролів доступу, закачування ActiveX-объектов з сайтів, не включених до списку довірених, та інших. У процесі повинні розглядатися як теоретичні, і практичні аспекти антивірусної захисту. У цьому програма навчання складатися залежно від посадових обов'язків співробітника, і навіть від цього, яких інформаційних ресурсів вона має доступ.

Технологічне забезпечення спрямоване створення комплексної системи антивірусної захисту (>КСАЗ), яка крім антивірусів додатково повинна мати у собі такі підсистеми, як захист спаму, виявлення і запобігання атак, виявлення уязвимостей, мережне екранування і підсистема управління.

Підсистема виявлення комп'ютерних вірусів базове елементом КСАЗ і послуг призначена щоб виявити різних типів комп'ютерних вірусів лише на рівні робочих станцій користувачів, серверів, і навіть мережевих шлюзів. Для виявлення вірусів підсистема повинна використовувати як сигнатурнє , і евристичні методи аналізу. У випадку виявлення вірусу підсистема забезпечує можливість оповіщення користувача і адміністратора безпеки, і навіть видалення виявлених вірусів з інфікованих файлів. Задля ефективної захисту від вірусів підсистема має базуватися на антивірусних ядрах різних виробників. Це дозволить істотно підвищити можливість виявлення вірусу рахунок те, що кожен файл чи поштове повідомлення перевірятимуть різними засобами. Ще однією перевагою використання багатоядерних антивірусів є висока надійність роботи в КСАЗ. Якщо ж у одному з скануючих ядер КСАЗ відбудеться збій, воно може бути замінено іншим активним антивірусним ядром. Прикладом програмного продукту, котрі можуть використовуватися для реалізації КСАЗ, є система Antigen компанії Microsoft (antigen), призначена для антивірусної захисту серверів Exchange,SharePoint,SMTP- шлюзов чи іншого прикладного ПО. Цей продукт може охоплювати до восьми антивірусних ядер різних виробників.

Підсистема мережного екранізування варта захисту робочих станцій користувачів від мережевих вірусних атак у вигляді фільтрації потенційно небезпечних пакетів даних. Подсистема мають забезпечувати можливість фільтрації наканальном, мережному, транспортному і прикладному рівнях стека TCP/IP. Зазвичай, дана підсистема реалізується з урахуванням міжсетевих і персональних мережевих екранів. У цьому міжмережевий екран встановлюється у точці підключення АИС до Інтернету, а персональні екрани розміщуються на робочих станціях користувачів.

Підсистема виявлення та профілактики атак варта виявлення несанкціонованої вірусної активності у вигляді аналізу пакетів даних, які у АИС, і навіть подій, реєстрованих на серверах та скорочення робочих станціях користувачів. Подсистема доповнює функції міжсетевих і персональних екранів рахунок змозі детального контекстного аналізу вмісту переданих пакетів даних. Ця підсистема включає у собі такі компоненти:

· мережні іхостові сенсори, призначені для збору інформації функціонування АИС. Мережні сенсори реалізуються як окремих програмно-апаратних блоків і призначені для збору інформації про пакетах даних, що передаються у рамках того мережного сегмента, де встановлено сенсор. Цей тип сенсорів повинен бути присутніми при всіх ключових сегментах АИС, де є захищені вузли системи. Хостові сенсори встановлюються на робочі станції і сервери АИС і збирають інформацію про всі події, що відбуваються цих вузлах системи. Хостові сенсори можуть збирати інформацію як про пакетах даних, а й інших операціях, які виконуються додатками, запущеними на вузлі АИС;

· модуль виявлення атак, виконує обробку даних, зібраних сенсорами, з метою виявлення інформаційних атак порушника. Цей модуль підсистеми повинен реалізовувати сигнатурні і поведінкові методи аналізу інформації;

· модуль реагування на виявлені атаки. Модуль має передбачати можливість як пасивного, і активного реагування. Пассивное реагування передбачає оповіщення адміністратора про виявленої атаці, тоді як активне — блокування спроби реалізації вірусної атаки;

· модуль зберігання даних, де міститься різнаінформація, і навіть результати своєї роботи підсистеми.

Підсистема виявлення уязвимостей мають забезпечувати можливість виявлення технологічних і експлуатаційних уязвимостей АИС через проведення мережного сканування. Як об'єктів сканування можуть виступати робочі станції користувачів, сервери, і навіть комунікаційне устаткування. Для проведення сканування можуть використовуватися як пасивні, і активні методи збору інформації. За результатами роботи підсистема повинна генерувати детальний звіт, до складу якого у собі інформацію про виявлених уязвимостях, і навіть рекомендації з усунення. Разом з підсистемою виявлення уязвимостей в АИС можна використовувати систему управління модулями оновлень загальносистемного й ужиткового ПО, встановленого в АИС. Спільне використання цих систем дозволить автоматизувати процес усунення виявлених уязвимостей шляхом установки необхідних оновлень на вузли АИС (servicepack,hotfix,patch та інших.).

Підсистема захисту спаму спрямовано блокування поштових повідомлень рекламного характеру. І тому підсистема повинна підтримувати можливість роботи з списками RBL (>Real-Time BlackLists), і навіть реалізовувати власні сигнатурні чи поведінкові методи виявлення спаму . Підсистема встановлюється в такий спосіб, щоб усе вхідні поштові повідомлення, які з Інтернету, спочатку проходили через її контекстний фільтр, та був потрапляли на корпоративний поштовий сервер.



Підсистема управління антивірусної безпекою варта виконання таких функцій:

·видаленої встановлення і деінсталяції антивірусних коштів у серверах і створення робочих станціях користувачів;

·видаленого управління параметрами роботи підсистем захисту, входять до складу КСАЗ;

· централізованого збирання й аналізу інформації, котра надходить з інших підсистем. Ця функція дозволяє автоматизувати процес обробки вступників даних, і навіть підвищити оперативність прийняття рішень щодо реагування на виявлені інциденти, пов'язані з порушенням антивірусної безпеки.

Впровадження комплексної системи антивірусної безпеки в АИС є досить складний багатоступінчастий процес, що включає у собі такі етапи:

· аудит інформаційну безпеку АИС, спрямованому для збирання вихідної інформації, яка потрібна на розробки плану втілення КСАЗ;

· формування вимог до КСАЗ, настановленим захисту АИС. На цьому етапі формується технічне завдання впровадження КСАЗ;

· розробка технічно-робочого проекту з впровадженню КСАЗ, що містить опис проектних рішень, схем установки, параметрів настройки КСАЗ та інших службових даних;

· навчання персоналу організації, відповідального за адміністрування КСАЗ;

· пусконалагоджувальні роботи, пов'язані зразвертиванием КСАЗ;

· технічне супровід КСАЗ, у якого вирішуються питання, пов'язані з обслуговуванням системи у процесі її експлуатації.

Склад етапів та його тривалість залежить від розмірності захищеної АИС, і навіть від масштабів впровадження КСАЗ. Роботи, пов'язані із установкою і експлуатацією системи виявлення атак, можуть відбуватися як самотужки підприємства, і з допомогою зовнішніх організацій, що спеціалізуються з надання послуг у сфері інформаційну безпеку. У цьому деякі етапи можуть об'єднуватися чи проводитися одночасно..

Комп'ютерні віруси є у час однією з найбільш значимих загроз інформаційну безпеку, про що свідчать численні дані про щорічним фінансових втрат компаній у результаті впливів вірусних атак. У цьому традиційні заходи боротьби з шкідливим програмним забезпеченням, засновані простий установці антивірусних засобів захисту на робочих станціях і серверах, виявляються недостатньо ефективними. Тому використання комплексного підходу в протидії вірусним атакам, розглянутої цієї статті, дозволить збільшити ефективність тих заходів, що використовуються компаніями нині.



11.Список використаної літератури

http://bukvar.su/informatika_programmirovanie/page,2,173819-Istoriya-komp-yuternyh-virusov-i-protivodeiystvie-im.html

http://uk.wikipedia.org/wiki/Комп'ютерний_вірус

http://www.ua5.org/virus/48-zhittvijj-cikl-vrusu.html



http://galanet82.narod.ru/stepanuk/history.htm