Портал Mz-Don

Меню
  • Контакты
  • Статьи
  • Блог

Классификация вирусов от касперского

Вредоносные программы довольно разнообразны. Однако, их можно разбить на группы, чтобы было легче понять, с каким видом заразы имеешь дело, и как с ним бороться


29 октября 2013



Вирус. Если просто, то это самовоспроизводящийся программный код, который внедряется в установленные программы без согласия пользователя. Вирусы можно разделить по типу объектов, которые они заражают, по методам заражения и выбора жертв. Вирусы можно подцепить разными способами: от нажатия вредоносной ссылки или файла в неизвестном письме до заражения на вредоносном сайте. При этом вирус может выполнять множество разных задач, направленных в первую очередь на принесение вреда операционной системе. В настоящее время вирусы довольно редки, так как создатели вредоносов стараются держать свои программы и их распространение под контролем. В противном случае вирус довольно быстро попадает в руки антивирусных компаний.

Червь. Черви являются в некотором роде вирусами, так как созданы на основе саморазмножающихся программ. Однако черви не могут заражать существующие файлы. Вместо этого червь поселяется в компьютер отдельным файлом и ищет уязвимости в Сети или системе для дальнейшего распространения себя. Черви также могут подразделяться по способу заражения (электронная почта, мессенджеры, обмен файлами и пр.). Некоторые черви существуют в виде сохраненных на жестком диске файлов, а некоторые поселяются лишь в оперативной памяти компьютера.

Троян. По своему действию является противоположностью вирусам и червям. Его предлагают загрузить под видом законного приложения, однако вместо заявленной функциональности он делает то, что нужно злоумышленникам. Троянцы получили свое название от одноименного печально известного мифологического коня, так как под видом какой-либо полезной программы или утилиты в систему проникает деструктивный элемент. Трояны не самовоспроизводятся и не распространяются сами по себе. Однако с увеличением вала информации и файлов в Интернете трояна стало довольно легко подцепить. Нынешние трояны эволюционировали до таких сложных форм, как, например, бэкдор (троян, пытающийся взять на себя администрирование компьютера) и троян-загрузчик (устанавливает на компьютер жертвы вредоносный код).

Руткит. В современном мире руткит представляет собой особую часть вредоносных программ, разработанных специально, чтобы скрыть присутствие вредоносного кода и его действия от пользователя и установленного защитного программного обеспечения. Это возможно благодаря тесной интеграции руткита с операционной системой. А некоторые руткиты могут начать свою работу прежде, чем загрузится операционная система. Таких называют буткитами. Однако, как бы ни развивался этот тип вредоносов, сложные современные антивирусные программы в состоянии обнаружить и обезвредить практически все существующие разновидности руткитов.

Бэкдор (средство удаленного администрирования). Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии. В зависимости от функциональных особенностей конкрентного бэкдора, хакер может установить и запустить на компьютере жертвы любое программное обеспечение, сохранять все нажатия клавиш, загружать и сохранять любые файлы, включать микрофон или камеру. Словом, брать на себя контроль за компьютером и информацией жертвы.

Загрузчик. Эта зараза является небольшой частью кода, используемой для дальнейшей загрузки и установки полной версии вредоноса. После того как загрузчик попадает в систему путем сохранения вложения электронного письма или, например, при просмотре зараженной картинки, он соединяется с удаленным сервером и загружает весь вредонос.

Для начала знакомства с разновидностями вредоносных программ вполне достаточно. Зная врага в лицо, уже легче находиться в безопасности и использовать правильные методы защиты от него. Единственное, в чем надо убедиться, так это в том, что вы используете правильное защитное ПО.

Люди, постоянно работающие за компьютером, часто сталкиваются с проблемами при его эксплуатации, начинают звать на помощь программистов, хотя в большинстве случаев такие казусы случаются из-за невнимательности и необразованности самого пользователя. Ведь основные беды приходят именно с заражением компьютера вирусом. Понятие и классификация компьютерных вирусов - это та основа, знание которой способно предотвратить 50% неполадок на компьютере пользователя.

Знание - сила

Попробуем определить, что же такое компьютерный вирус. Как и в реальной жизни, вирус - это организм, способный к самостоятельному копированию и бесконтрольному размножению. Это программа, способная самостоятельно, без ведома пользователя, развиваться, выполнять свои функции, заложенные в неё программистом. Этого мало для того, чтобы поймать вирус или предотвратить заражение вашего компьютера, однако поможет вам в простейших случаях хотя бы забить тревогу и вызвать специалиста. Классификация компьютерных вирусов поможет последнему с точностью подобрать инструмент, необходимый для спасения вашего компьютера. Поэтому постараемся и мы разобраться в ней.


Общее понятие

Сравнив чуть ранее компьютерный вирус с реальным микроорганизмом, можно провести параллель и с тем, что поражает конкретный вирус или червь. Одной из основополагающих является классификация компьютерных вирусов по среде обитания, ведь, в зависимости от назначения, расположение вируса в компьютерной среде будет также различаться. Приведём общую стандартную схему.


  1. Файловые вирусы. Пожалуй, самыми распространёнными на сегодняшний день являются вирусы, которые поражают файлы на вашем компьютере. В большинстве случаев они проникают в исполняемые файлы или библиотеки программ для исполнения своих задач. Эти вирусы представляют из себя скрипт, написанный на скриптовом языке программирования (например JavA).
  2. Загрузочные вирусы. Как понятно из названия, они запускаются при загрузке операционной системы. Они записывают свой код в загрузочный сектор Windows.
  3. Сетевые вирусы. Достаточно неприятная вещь, рассылающая свои копии по сети, почте или системам обмена сообщениями по типу ICQ. Еще одним неприятным моментом является то, что такой вирус может размножаться до тех пор, пока не заполнит всё место на компьютере пользователя, а в самом худшем случае еще и начнет освобождать себе место, удаляя пользовательские программы.
  4. Макро-вирусы. Поражают исключительно файлы приложений, поддерживающих работу с макросами, такими как Office.

Стоит заметить, что такая классификация вирусов не может быть полной, поскольку развитие этой заразы не стоит на месте, и существуют вирусы, которые можно отнести к нескольким подтипам.

Внимание, опасность!

Рассматривать вирусы можно с абсолютно разных сторон. Если говорить о них по степени воздействия на систему, то классификация компьютерных вирусов кратко будет выглядеть так:

  1. Опасные. Такие вирусы определяются по количеству нанесённого урона файлам владельца компьютера. Данный тип уничтожает не только информацию пользователя, но и ресурсы самой операционной системы.
  2. Неопасные вирусы зачастую даже не заметны обычному пользователю. Они могут спокойно жить в вашем компьютере, выполняя, например, роль посредника при рассылке своих копий по сети. Найти такие вирусы достаточно сложно, лучшим способом будет установка утилиты для отслеживания загрузки процессора компьютера, а также сетевой активности.


Работают специалисты

Отдельного упоминания заслуживает классификация компьютерных вирусов и антивирусных программ. Большинство специалистов, работающих в сфере компьютерной безопасности, имеют свои классификации и способы обозначения компьютерных вирусов. Например, всем известная лаборатория Касперского. После многих лет работы ими была создана, пожалуй, самая подробная классификация компьютерных вирусов. Касперский выделяет следующие типы "вредителей":

  1. Уже известные сетевые вирусы - черви, использующие для распространения электронную почту.
  2. Упаковщики. Это, скорее, просто вредители, а не вирусы, засланные с определённой целью. Их задача заключается в архивировании файлов таким образом, чтобы их разархивация была невозможна. Зачастую при архивации они в дополнение ещё и кодируют информацию.
  3. Вредоносные утилиты.
  4. Троянские программы. Их название происходит от мифа о троянском коне. Соответствуя своему прототипу, такие вирусы маскируются под безвредные программы для проникновения на компьютер. Их основное функциональное назначение - предоставление доступа злоумышленнику к управлению вашим компьютером. Здесь также можно выделить некоторые подкатегории:

1) вирусы, для удалённого управления вашим компьютером;

2) вирусы для загрузки вредоносного обеспечения из интернета;

3) программы, несанкционированно устанавливающие на компьютер другие вирусы.

Как заразиться

Предупреждён - значит вооружён. Так гласит народная мудрость. Зная, где и как существует возможность подхватить компьютерный вирус, можно избежать огромных проблем, связанных с удалением его. Предотвратить заражение намного проще, чем вылечить компьютер после попадания в него вируса. Существует также классификация компьютерных вирусов по способу заражения:

  1. Нерезидентные вирусы живут и работают недолго. Однажды выполнив свою функцию, они остаются на компьютере. Даже если вы найдёте такой вирус, нет никаких гарантий, что он уже не выполнил свою задачу и, например, не выслал ваши пароли злоумышленнику.
  2. Резидентные вирусы намного опаснее. Они загружаются в оперативную память компьютера, и при обращении к ней операционной системы поражают выполняемые файлы. Справиться с этой бедой очень сложно, поскольку после удаления тела вируса с жесткого диска его работающая часть останется в памяти и создаст себе новую копию.


Защита от вирусов

Как уже стало понятно, вредоносных программ существует великое множество. Защититься от них не поможет ни одна классификация вирусов. Компьютерных мошенников, спамеров развелось настолько много, что своими собственными руками справиться со всеми невозможно. Именно для этого существует большое количество антивирусных программ, способных помочь справиться с этой проблемой. Рассмотрим их с точки зрения обычных пользователей.


Достойной заменой "Касперскому", может послужить NOD32. Надёжно и прочно защищает, специально для обычных пользователей существуют бесплатные версии. Работает как часы и без сбоев, но абсолютную надёжность обеспечивает исключительно в полной платной комплектации. Поэтому единственным недостатком этого антивируса станет цена, если исключить скачивание неподдерживаемых взломанных версий.

Лидером среди антивирусов по праву можно считать Dr.Web. Не гоняясь за славой и заработком, он предоставляет всем желающим на своём сайте скачать пробную версию с полным функционалом. Одной из главных особенностей "Доктора" является возможность приостановить полностью работу операционной системы, что позволяет поймать даже самых "хитрых вредителей". Этой программой используется собственная классификация вирусов. Компьютерных червей утилита находит быстро и эффективно, а резидентные вирусы не способны "спрятаться" в оперативной памяти.

Врага надо знать в лицо

Итак, выше была рассмотрена классификация компьютерных вирусов. С примерами вам, наверно, было бы проще разобраться, поэтому приведём несколько для наглядности.


Trj.Reboot - заставляет перезагружаться ваш компьютер.

Relax - инфицирует документы Microsoft Word, а также глобальные переменные. Был особенно популярен и актуален на Windows 98. Результатом работы становится выведение на экран информационного сообщения.

Marburg - поражает выполняемые файлы с расширением EXE, запуская их в различных директориях, в результате чего увеличивается их размер.

Flame - компьютерный червь, обнаруженный "Лабораторией Касперского". Его особенность в том, что он состоит из нескольких десятков частей, каждая из которых имеет свой функционал.

Подумайте о безопасности

В данной статье были рассмотрены понятие и классификация компьютерных вирусов. Если вы внимательно и вдумчиво прочитали всё написанное, то наверное уже поняли, что абсолютной защиты не существует. Несмотря на это, выбор средств защиты ложится на ваши плечи. Последнее, что стоило бы указать, так это просто пару полезных советов:


  1. Не лезьте на подозрительные сайты и не переходите по ссылкам, присланным незнакомыми людьми.
  2. Не ведитесь на рекламу и всплывающие окна в интернете.
  3. Если скачиваете программы из интернета, убедитесь в безопасности источника.
  4. В случае если ищете какую-либо программу, старайтесь скачивать её на популярных ресурсах, а не на задворках всемирной паутины.
  5. Не используйте носители данных, которые могли вставляться в компьютеры общего пользования (интернет-кафе).

Следуя этим простым советам, вы сможете обойтись даже без антивируса. А классификация компьютерных вирусов понадобится вам разве что для учебы или саморазвития.

Вирусы принято классифицировать по следующим признакам:

· среда обитания, поражаемая операционная система,

· особенности алгоритма работы,

По среде обитания, иначе говоря, по поражаемым объектам вирусы делятся на файловые, загрузочные, сетевые вирусы и макровирусы.

•Файловые вирусыявляются одними из самых распространенных типов компьютерных вирусов. Их характерной чертой является то, что они инициируются при запуске заражённой программы. Код вируса обычно содержится в исполняемом файле этой программы (файл с расширением .exe или .bat), либо в динамической библиотеке (расширение.dll), используемой программой. В настоящее время такие вирусы, как правило, представляют собой скрипты, написаны с использованием скриптового языка программирования и могут входить в состав веб-страниц. Они внедряются в исполняемые файлы, создают дубликаты файлов или используют особенности организации файловой системы для выполнения несанкционированных действий.

•Загрузочные вирусызаписываются в загрузочный сектор диска и запускаются при запуске операционной системы, становясь ее частью.

•Макровирусыпоражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся файлы, созданные с помощью пакета программ Microsoft Office. Весьма полезно перед открытием незнакомого файла, созданного в таких программах, как Word или Excel, удостовериться, что поддержка макросов отключена (Сервис – Параметры – Безопасность макросов). Либо, для версии Microsoft Word 2010, в разделе "Безопасность программы" проверьте, включен ли режим защищенного просмотра файлов и предотвращения выполнения данных.

Однако, можно сказать, что современный вирус зачастую можно отнести сразу к нескольким группам вирусов. Такими сочетаниями являются, например, файловые загрузочные вирусы или файловые сетевые черви. Пример последнего: сетевой макро- вирус, который не только заражает документы, созданные в программах Word или Excel, но и рассылает свои копии по электронной почте.

Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе.

По деструктивным, то есть разрушительным возможностям выделяют опасные и не опасные вирусы.

Опасные вирусы выводят из строя операционную систему, портят или уничтожают информацию, хранящуюся на диске.

Неопасные вирусы практически не влияют на работоспособность компьютера и не понижают эффективность работы операционной системы, кроме увеличения дискового пространства, которое они занимают и уменьшения объёма свободной памяти компьютера.

Основные типы вредоносных объектов

• Средисетевых вирусоввыделяют вредоносные программы, которые используют для своего распространения электронную почту и сети обмена данными.

•Упаковщики различными способами архивируют содержимое файла, в том числе с помощью шифрования, для того, чтобы исключить корректное разархивирование информации.

•Трояны – группа вредоносных программ-вирусов, маскирующихся под полезные программы, проникающие на компьютер под видом безвредного программного обеспечения. Как и её прототип из греческой мифологии, программа-троян выглядит не тем, чем является на самом деле. Такая программа несет в себе средства, позволяющие её создателю иметь доступ к системе, в которой она исполняется. Другими словами, основное функциональное назначение троянов – предоставить к пораженному компьютеру свободный доступ через Интернет с удаленного компьютера.

•Вредоносные утилиты разрабатываются для автоматизации создания других вирусов, червей или троянских программ. В большинстве случаев они не представляют угрозы компьютеру, на котором исполняются.

• И, наконец,программы, которые не являются вредоносными, но обладают функциональными возможностями для совершения несанкционированных и часто вредоносных действий.

Антивирусная программа (антивирус) — изначально компьютерная программа, которая предназначена для обезвреживания вирусов и различного рода вредоносного ПО, с целью сохранности данных и оптимальной работы вашего персонального компьютера.

Антивирусное ПО, пришлось ждать не долго, оно появилось сразу после появления первых вредоносных программ. В нынешний момент над разработкой антивирусных программ трудятся целые корпорации во главе с тысячами людей, которые постоянно "латают дыры", чтоб наш информационный мир был более чистым и безопасным.

Антивирусные программы (антивирусы) используют два определенных принципа работы (устранения) с вредоносным ПО:

· Сканирование вашего компьютера и сопоставление уже имеющегося вируса с базой данных на сервере определенного производителя.

· Сканирование и обнаружение программ, которые ведут себя подозрительно и могут по определению являться вредоносным ПО.

Также можно определить некоторую классификацию антивирусных модулей, которые входят в составы различных антивирусных программ (антивирусов):

1. Сканеры — антивирусный модуль, который работает на основе сопоставления. Другими словами, антивирус ищет наличие вируса по базе сигнатур. Качество сканирования зависит от даты обновления баз данных и от эвристического анализа.

2. Ревизорный модуль — запоминает состояние файловой системы, что в последствии дает возможность сравнить отличия и сопоставить результаты. В случае отличия, вирус ловиться.

3. Мониторы — это специальный программы помощники, которые в случае выявления потенциально опасного вредоносного ПО(чаще всего встречаются EXE файлы) предлагают пользователю на выбор несколько операций, в число которых обязательно входит функция "удалить".

4. Вакцины — принцип действия этого модуля, может напоминать нам обычную "прививку". Другими словами, когда вирус хочет проникнуть и заразить программу, то роль вакцины заключается в том, чтоб показать вирусу, что программа уже заражена. К сожалению, в данный момент, когда количество вирусов в глобальной сети измеряется миллионами, данный способ уже устарел.

Антивирусы защищают ваш компьютер от вирусов и других вредоносных программ, например червей и троянов. Антивирусные программы нужно регулярно обновлять в интернете. Для получения обновлений надо подписаться на услугу обновления антивирусных баз производителя антивирусной программы. Перед подключением к сети Интернет необходимо запускать антивирусную программу!

Основные задачи антивирусов:

· Сканирование файлов и программ в режиме реального времени.

· Сканирование компьютера по требованию.

· Сканирование электронной почты.

· Защита от атак враждебных веб-узлов.

· Восстановление поврежденных файлов (лечение).

Антивирусные программы принято разделять начистые антивирусыиантивирусы двойного назначения. Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Программы двойного назначения — это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Разновидностью программ двойного назначения являютсяповеденческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

Дата добавления: 2018-04-05 ; просмотров: 457 ;

Что такое компьютерный вирус?

Компьютерным вирусом называется программа, без ведома пользователя внедряющаяся на компьютеры и производящая различные несанкционированные действия.

Данное определение было бы неполным, если бы мы не упомянули главное обязательное свойство компьютерного вируса. Таковым является возможность создавать свои дубликаты (не всегда совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Компьютерные вирусы являются одним из подвидов большого класса компьютерных программ, которые называются вредоносными кодами. К сожалению, в ущерб научному подходу, сегодня вирусами называют все вредоносные коды. Хотя, с точки зрения строгого понятийного аппарата это не совсем (точнее совсем) некорректно, но в целях популяризации данной статьи мы все же согласимся с устоявшимся мнением.

Троянский конь – именно такое название так из-за сходства в проникновении в стан противника, использованного в ходе осады Трои, получили эти программы. Подобно грекам вирусописатели засылают эти программы на компьютеры других пользователей под видом полезных, забавных и, зачастую, весьма прибыльных утилит. Например, пользователю приходит письмо по электронной почте, в котором ему предлагается запустить присланный файл, где лежит 1 000 000 рублей. После запуска этого файла в компьютер незаметно внедряется утилита, которая совершает ряд нежелательных действий. Эти действия могут быть самого разного характера – от смены стартовой страницы в Интернет-броузере и похищении секретной информации до уничтожения самого компьютера.

История происхождения компьютерных вирусов

Виды компьютерных вирусов

Год за годом классификация компьютерных вирусов становиться все более затрудненной. Чем далее информационные технологии проникают в нашу жизнь, чем более сложными и мощными они становятся, тем больше появляется совершенно новых типов вирусов. На сегодняшний день общее число около 55 000 вирусов делится на десятки групп, каждая из которых характеризуется своими оригинальными особенностями.

В общем случае компьютерные вирусы можно разделить на классы по следующим основным признакам:

особенности алгоритма работы

В зависимости от среды обитания современной вирусологией выделяются файловые, загрузочные и макро.

Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять .COM-файл, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени — .COM и .EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также и BAT-COM-EXE.

Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, наверное, во всех операционных системах — подобного типа вирусы были обнаружены не только в DOS, но в Windows и OS/2.

Существуют и другие типы компаньон-вирусов, использующие иные оригинальные идеи или особенности других операционных систем.

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. При включении или перезагрузке компьютера, после необходимых тестов установленного оборудования (памяти, дисков и т.д.), программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров запуска) и передает на него управление.

Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

Макро-вирусы являются разновидностью компьютерных вирусов, созданной при помощи специальных макроязыков, встроенных в популярные офисные приложениях наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw! и др. Макроязыки используются для написания специальных программ (макросов) для повышения эффективности работы в этих приложениях. Например, при помощи макроса Word можно автоматизировать процесс заполнения и рассылки факсов. Пользователю достаточно будет только ввести данные в поля формы и нажать на кнопку – все остальное макрос сделает сам. Таким образом, использование макросов позволяет максимально упростить и автоматизировать работу. Проблема заключается в том, что это можно сделать незаметно для пользователя. Более того, можно незаметно совершить гораздо более опасные действия: изменить содержание документа, стереть файл или директорию. Вредоносные макросы, обладающие способностью создавать свои копии и совершающие некоторые действия без ведома пользователя и называются макро-вирусами.

Функциональные возможности этого типа вирусов ограничены возможностями макроязыков, при помощи которых они созданы. Именно при помощи этих языков они размножаются, распространяются, наносят вред зараженным компьютерам. Таким образом, чем более продвинутый макроязык, тем более хитрыми, изощренными и опасными могут быть макро-вирусы. Наиболее распространенный макроязык Visual Basic for Applications (VBA) предоставляет вирусам наиболее полный спектр возможностей. Причем, с каждой новой версией эти возможности стремительно расширяются. Таким образом, чем более совершенными будут офисные приложения, тем опаснее будет становиться работа в них.

Макро-вирусы представляют реальную угрозу компьютерным пользователям. Мало того, по нашим прогнозам, одновременно с совершенствованием макроязыков и обнаружением новых “дыр“ в системах безопасности офисных приложений, макро-вирусы будут становиться все более неуловимыми и опасными, а скорость их распространения достигнет небывалых величин.

Среди особенностей алгоритма работы вирусов выделяются следующие

самошифрование и полиморфичность

Резидентность вируса и физического лица практически идентичны. Отличие лишь в том, что резидент (в смысле человек) постоянно находится в какой-то стране, а вирус – в системной памяти компьютера. Именно оттуда он и производит все свои операции – заражает другие программы, совершает деструктивные действия и т.д. Таким образом, резидентные вирусы остается активными вплоть до выключения компьютера.

Правила “компьютерной гигиены“:

ни в коем случае не открывайте файлы, присылаемые Вам по электронной почте неизвестными людьми

осторожно относитесь к файлам, присылаемым Вашими знакомыми и партнерами. Они могут даже и не знать, что с их компьютера вирус незаметно рассылает свои копии людям из их адресной книги!

обязательно проверяйте антивирусным сканером с максимальным уровнем проверки все дискеты, компакт-диски и другие мобильные носители информации, а также файлы, получаемые из сети Интернет, и других публичных ресурсов (BBS, электронных конференций и т.д.)

с осторожностью допускайте работать с Вашим компьютером других пользователей

внимательно следите за предоставляемыми правами доступа к Вашему компьютеру

своевременно устанавливаете “заплатки“ от производителей используемых Вами операционных систем и программ

для повышения сохранности Ваших данных периодически проводите резервную архивацию информации на независимые носители

Что касается антивирусных средств, то пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Однако, в чем преимущества и недостатки того или иного способа защиты? Насколько они эффективны именно по отношению к различным типам вирусов?

На сегодняшний день выделяется пять основных подходов к обеспечению антивирусной безопасности.

Во-первых, это классический сканер – пионер антивирусного движения, впервые появившийся на свет практически одновременно с самими компьютерными вирусами. Принцип его работы заключается в поиске в файлах, памяти, и загрузочных секторах вирусных сигнатур, т.е. уникального программного кода вируса. Здесь возникает первая проблема, потому что малейшие модификации вируса могут сделать его невидимым для сканера. К примеру, существует несколько десятков вариантов вируса Melissa, и почти для каждого из них антивирусным кампаниям приходилось выпускать отдельное обновление антивирусной базы. Последнее обстоятельство означает вторую проблему: время между появлением вируса и выходом соответствующего обновления пользователь оставался практически незащищенным от атак новых вирусов. Позднее, эксперты придумали и внедрили в сканеры оригинальный способ обнаружения неизвестных вирусов – эвристический анализатор, т.е. анализ кода программы на предмет возможного присутствия в нем компьютерного вируса. Однако, данный метод характеризуется высоким уровнем ложных срабатываний (false alarm), недостаточной надежностью и невозможностью вылечить обнаруженные вирусы. Наконец, третья проблема: антивирусный сканер проверяет файлы, только когда пользователь “попросит“ его это сделать, т.е. запустит сканер. Это требует от пользователя постоянного внимания и концентрации. Очень часто он забывает проверить сомнительный файл, загруженный, например, из Интернета и, в результате, своими руками заражает компьютер. Сканер способен определить факт заражения пост фактум, т.е. уже после того, как в системе появится вирус.

Для устранения такой возможности был разработан второй вид антивирусных программ – антивирусные мониторы. По своей сути они являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты, пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

Третья разновидность антивирусов – ревизоры изменений (integrity checkers). Их принцип работы основан на снятии оригинальных “отпечатков“ (CRC-сумм) с файлов и системных секторов. Эти “отпечатки“ сохраняются в базе данных. При следующем запуске ревизор сверяет “отпечатки“ с их оригиналами и сообщает пользователю о произошедших изменениях. У этого типа антивирусных программ тоже есть свои недостатки. Во-первых, ревизоры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. Во-вторых, они не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Этим пользуются некоторые вирусы, которые используют эту “слабость“ ревизоров и заражают только вновь создаваемые файлы, оставаясь, таким образом, невидимыми для них. В-третьих, ревизоры требуют регулярного запуска – чем чаще это будет происходить, тем надежнее будет контроль за вирусной активностью.

Необходимо также упомянуть такую разновидность антивирусных программ, как иммунизаторы. Они делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: абсолютная неспособность обнаружить заражение stealth-вирусами (вирусами-невидимками), которые хитро скрывали свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже зараженные. Например, чтобы предотвратить заражение COM-файла вирусом Jerusalem достаточно дописать в его конец строку MsDos. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Второй тип иммунизации не может быть признан универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности файлов. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Из-за описанных выше недостатков иммунизаторы не получили большого распространения и в настоящее время практически не используются.

Все перечисленные выше типы антивирусов не решают главной проблемы – защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока антивирусные вендоры не разработают противоядия. Иногда на это требуется до нескольких недель. Все это время компании по всему миру имеют реальную “возможность“ потерять важнейшие данные, от которых зависит их будущее.

Однозначно ответить на вопрос “что же делать с неизвестными вирусами?“ нам предстоит лишь в грядущем тысячелетии. Однако уже сейчас можно сделать прогноз относительно наиболее перспективных путей развития антивирусного программного обеспечения. На наш взгляд, таким направлением станут т.н. поведенческие блокираторы (behaviour blocker/sandbox). Именно они имеют реальную возможность со 100% гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это резидентная программа, которая перехватывает различные события и в случае “подозрительных“ действий (действий, которые может производить вирус или другая вредоносная программа), запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор совершает не поиск сигнатуры, т.е. кода вируса, а отслеживает и предотвращает его действие. Идея блокираторов не нова. Они появились давно, однако эти антивирусные программы не получили широкого распространения из-за сложности настройки, требующей от пользователей глубоких знаний в области компьютерных технологий.

Давайте рассмотрим подробнее достоинства и недостатки поведенческих блокираторов. Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса, предупреждая пользователя до того как вирус заразит другие файлы или нанесет какой-либо вред компьютеру. Но вирусоподобные действия может производить и сама операционная система или полезные утилиты. Поведенческий блокиратор (здесь имеется ввиду “классический“ блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить кто же выполняет подозрительное действие -- вирус, операционная система или какая-либо утилита и вынужден спрашивать подтверждения у пользователя. Т.е. в конечном счете решение зачастую принимает пользователь, который должен обладать достаточными знаниями и опытом, чтобы дать правильный ответ. В противном случае ОС или утилита не сможет произвести требуемое действие, либо вирус проникнет в систему. Именно по этой причине блокираторы и не стали популярными: их достоинства зачастую становились их недостатками, они казались слишком навязчивыми своими запросами и пользователи просто удаляли эти программы. К сожалению, ситуацию сможет исправить лишь изобретение искусственного интеллекта, который сможет самостоятельно разобраться в причинах того или иного подозрительного действия.

Возвращаясь к макро-вирусам, необходимо заметить, что здесь ситуация совсем иная. Если рассматривать программы, написанные на наиболее распространенном макроязыке VBA, то тут можно с очень большой долей вероятности отличить вредоносные действия от полезных. В конце 1999 года “Лаборатория Касперского“ разработала уникальную систему защиты от макро-вирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора — Office Guard. Благодаря проведенному анализу макро-вирусов в процессе моделирования их поведения, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу новую, высокоинтеллектуальную систему фильтрации действий макросов и с высокой долей достоверности безошибочно выявлять те из них, которые представляют собой реальную опасность. Именно благодаря этому Office Guard не столь “навязчив“ как его файловые братья. Но, задавая меньше вопросов пользователю, этот блокиратор не стал менее надежным. Используя его, пользователь практически на 100% защищен от макро вирусов, как известных, таки и еще не написанных.

Office Guard перехватывает и блокирует выполнение даже многоплатформенных макро-вирусов, т.е. способных работать сразу в нескольких приложениях. Программа одинаково надежно предотвращает их действие в MS Word, Excel, Access (только версия 2000), PowerPoint.

Office Guard контролирует работу макросов с внешними приложениями, в т.ч. с почтовыми программами. Тем самым полностью исключается возможность распространения макро-вирусов через электронную почту. Именно таким способом в марте этого года вирусы Melissa и Papa поразили десятки тысяч компьютеров по всему миру. Office Guard, в отличие от обычных антивирусов, полностью решает эту проблему блокировкой доступа макросов к электронной почте.

Эффективность блокиратора была бы нулевой, если макро-вирусы могли бы произвольно отключать его. Именно это является одним из недостатков встроенной в приложения MS Office антивирусной защиты. В Office Guard реализован новейший механизм противодействия атакам макро-вирусов на него самого, с целью его отключения и устранения из системы. Этот алгоритм делает невозможным снятие антивирусного блокиратора без вмешательства самого пользователя.

Использование Office Guard избавляет пользователя от вечной головной боли по поводу загрузки и подключения новых обновлений антивирусной базы для защиты от новых макро-вирусов, потому что любой новый макро-вирус уже по определению будет перехватываться программой. Это означает, что ликвидируется наиболее опасный отрезок времени между появлением вируса и антивируса. Однажды установленный, он надежно защитит компьютер от макро-вирусов вплоть до выхода новой версии языка программирования VBA с реализацией новых функций, которые могут использоваться для написания вирусов.

Поведенческий блокиратор решает проблему обнаружения и предотвращения распространения макро-вирусов. Однако, по определению, он не предназначен для их удаления. Именно поэтому его необходимо использовать совместно с антивирусным сканером, который будет способен успешно уничтожить вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прибегая к остановке работы компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

Денис Зенкин,
Евгений Касперский

Читайте также:

  • Принял за вирус самого себя
  • Последние новости по гриппу в беларуси
  • Вирус да придет спаситель
  • Пандемии обуславливают вирусы гриппа
  • Если билирубин алт и аст в норме может ли быть гепатит
  • Контакты
  • Политика конфиденциальности