Сучасні антивірусні програми

Размещено на http://www.allbest.ru/

Сучасні антивірусні програми

План

вірус комп'ютерний антивірусний програма

1. Поняття про комп'ютерні віруси

2. Класифікація комп'ютерних вірусів

3. Методи антивірусного захисту комп'ютерної мережі

4. Як відбувається пошук вірусів

5. Деякі антивірусні програми

6. Висновок

1. Поняття про комп'ютерні віруси

З появою комп'ютерів з'явилася проблема ймовірності зараження новими вірусами троянських коней та черв'яків. Вони роблять неможливим нормальне функціонування програм і комп'ютера. Основною причиною швидкого поширення вірусів є підключення комп'ютерів до мережі Internet.

Дана вірусна програма відрізняється від звичних програм тим, що, по-перше, запускається без відома користувача, а по-друге, після свого запуску починає самовідтворюватися, тобто створювати шкідливі копії і вставляти їх у файли, системні ділянки дисків, обчислювальні мережі. Ці відмінності є основою для більшості визначень терміна «комп'ютерний вірус». Комп'ютерний вірус - це спеціально створена програма, або сукупність машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК певні деструктивні дії. Так для лікування програм, знищення вірусів і профілактики постійно потрібні нові антивірусні програми.

Віруси відносять до такого продукту як вид "поганого продукту". Комп'ютерні троянські коні, як і їх міфічні попередники, маскують свої дії під виглядом благопристойної, безневинної продукції, завдаючи болісні, руйнівні удари по інформації в наших коп'ютерах. В той же час функцій розмноження, зараження інших програм, на відміну від вірусів, троянські коні не мають. Їм часто присвоюються точні (або дуже схожі) імена широко відомих комп'ютерних програм. Свого часу троянські коні набули такого поширення, що солідні комп'ютерні журнали щомісяця друкували їх довгі списки.

Комп'ютерні черв'яки являють собою програми, які призначені для проникнення через інформаційні мережі до даних, що зберігаються в інших фірмах, установах тощо. Зрозуміло, що робиться це з корисливих міркувань. створення та розповсюдження вірусів, троянських коней та черв'яків, незважаючи на мотиви цього, є, безумовно, шкідливими для суспільства діями, що завдають значних матеріальних збитків. Ось чому у деяких країнах ці дії розглядаються як карний злочин і переслідуються законом. На жаль авторів "поганої продукції" знайти дуже нелегко!

Оскільки комп'ютерні віруси є програмами, вони можуть виявитися лише при запуску на виконання. Поки вірус не запущений, він може досить довго знаходитися на диску в «дрімаючому» стані і не завдавати ніякої шкоди. Важливо знайти вірус ще до того, як він встигне виявити себе. Це принцип роботи всіх антивірусних програм, призначених для боротьби з вірусами.

Комп'ютерний вірус називається так завдяки своїй спроможності до самовідтворення і «розмноження». Після свого запуску вірус може створювати власні копії, тобто нові фрагменти програмного коду. Ці копії можуть не збігатися з оригіналом. Розмноження вірусу відбувається, як правило, через оперативну пам'ять комп'ютера. Скажімо, код вірусу потрапляє в пам'ять разом із завантаженим зараженим файлом і звідти починається зараження інших файлів, передусім файлів операційної системи (файлові віруси). З пам'яті вірус може переміщатися також у завантажувальні сектори дисків (завантажувальні віруси). Щоб зрозуміти, яку шкоду спричиняють віруси, потрібно розібратися в їх класифікації.

2. Класифікація комп'ютерних вірусів

Класифікація вірусів

Об'єкти, до яких вносяться комп'ютерні віруси, називаються середовищем існування вірусів. Залежно від середовища існування розрізняють такі типи вірусів.

Файлові віруси. - вносяться у файли, що виконуються (exe, com, bat), у системні файли Іо. sys і Msdos. sys, у файли драйверів (sys, drv, vxd), у файли бібліотек (dll), а також у ряд інших типів файлів. Після укорінення файлові віруси починають розмножуватися при кожному запуску файла.

Наприклад: Вірус VIENNA (Відень) Інші назви вірусу: 648, Restart (перезавантаження), Time Bomb (часова бомба) та ін. Один із перших найбільш примітивних вірусів. Знайдений спочатку у Відні, потім заполонив увесь світ.

Вірус CASCADE (Каскад, водоспад)

Інші назви вірусу: LetterFall (буквопад), Letter та ін. Існує два варіанти вірусу за довжиною (1701 або 1704 байт). Заражає тільки COM-програми, резидентний. Спричиняє обсипання символів на екрані, що супроводжується характерним шелестінням. При цьому блокується можливість роботи з клавіатурою. Зберігає працездатність тільки на машинах типу PC XT/AT.

Вірус BLACK FRIDAY (Чорна п'ятниця)

Інші назви вірусу: Israeli Virus (ізраїльський вірус), Ierusalem (Єрусалим), Black Hole (чорна дірка) та ін. Вірус одержав вказані назви, оскільки вперше був виявлений в ізраїльському університеті та із-за своїх характерних дій. Він заражає EXE- та COM-файли, збільшуючи їх розміри на 1813 байт, і залишається резидентним у пам'яті ПК. При цьому зараження може відбуватися неодноразово, що приводить до неймовірного розростання заражених файлів. Інфікований даним вірусом ПК сповільнює свою роботу в декілька тисяч разів. При виведенні інформації на дисплей у нижньому лівому куті екрана з'являється чорний прямокутник (дірка). Нарешті, якщо час роботи приходиться на п'ятницю 13-го числа, то заражені файли знищуються.

Завантажувальні віруси - заражають завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму системного завантажувача вінчестера (Master Boot Record). Такий вірус заміщає собою програму в завантажувальному секторі, внаслідок цього потрапляє до оперативної пам'яті й одержує керування відразу при завантаженні операційної системи.

Файлово-завантажувальні віруси - можуть вноситись як у файли, так і в завантажувальні сектори. До таких вірусів належать, зокрема, стелс-віруси і найнебезпечніші екземпляри поліморфних вірусів (див. нижче).

Макровіруси - вносяться у файли документів Word, Excel й інші файли, підготовлені в додатках, що мають свою мову макрокоманд (наприклад, Excel). Формально ці віруси є файловими, але заражають вони не файли, що виконуються, а файли даних. Небезпека макровірусів не стільки в їхній руйнівній дії, скільки в поширеності документів, підготовлених у популярних системах Word і Excel.

Мережні віруси - поширюються по комп'ютерній мережі. Особливість цих вірусів полягає в тому, що вони заражають тільки оперативну пам'ять комп'ютерів і не записуються на носії інформації. Якщо будь-який з окремих комп'ютерів вимикається, вірус чекає протягом цього часу на інших увімкнених комп'ютерах мережі.

Можлива класифікація вірусів не тільки за середовищем їхнього існування, а й за іншими характеристиками, скажімо, за способом зараження, за руйнівними можливостями, за алгоритмом роботи.

За способом зараження часто виділяють резидентний і нерезидентний вірус. Резидентні віруси потрапляють до оперативної пам'яті комп'ютера і можуть постійно виявляти свою активність аж до вимикання або перезавантаження комп'ютера. Нерезидентні віруси, навпаки, до пам'яті не потрапляють і активні лише протягом часу, пов'язаного з виконанням певних завдань.

Класифікація вірусів за алгоритмом їхньої роботи неможлива через велику кількість (десятки тисяч) вірусів. Алгоритми роботи нових вірусів набагато витонченіші від алгоритмів вірусів, що створені десять років тому. До вірусів із складним алгоритмом роботи належать поліморфні віруси. їх важко виявити, тому що вони мають зашифрований програмний код, який є ніби безглуздим набором команд. Розшифровування коду виконується самим вірусом у процесі його виконання.

Вірусами зі складним алгоритмом є також стелс-віруси, або віруси-невидимки. Їх неможливо побачити під час перегляду файлів засобами операційної системи. Стелс-віруси можуть перехоплювати звернення до операційної системи. При відкритті ураженого файла вони негайно видаляють із нього свій програмний код, а при закритті файла відновлюють його.

Віруси можуть себе по-різному проявляти, так наприклад: сповільнюється робота комп'ютера, несподівано з'являються на екрані сторонні фрази, поява різних відеофектів, генерація звуків, деякі програми перестають працювати, або ж ведуть себе дуже дивно, на диску зявляється велика кількість зіпсованих файлів і текстових записів, разом рушиться вся файлова система на якомусь з дисків, операційна система несподівано перестає бачити вінчестер, проблеми з 32-х бітним доступом до диска і файлів у Windows 7 або Windows 8, Підміна існуючих драйверів на драйвера, невідповідні до даної системи, що призводить до виникнення великої кількості помилок, уповільнення роботи системи і зупинки роботи важливих сервісних програм.

Різні віруси можуть вести себе по-різному. Деякі тільки розмножуються, не здійснюючи шкідливих дій, інші ж відразу після зараження роблять багато дуже неприємних дій. Є такі, які спочатку ведуть себе непомітно, а по закінченні якогось часу раптом разом псують всі дані (скажімо, форматується вінчестер).

3. Методи антивірусного захисту комп'ютерної мережі

Антивірусні програми - це програми, основним завданням яких є захист від вірусів, або точніше, від шкідливих програм.

Методи і принципи захисту теоретично не мають особливого значення, головне щоб вони були направлені на боротьбу зі шкідливими програмами. Але на практиці справа йде трохи інакше: практично будь-яка антивірусна програма об'єднує в різних пропорціях всі технології і методи захисту від вірусів, створені до сьогоднішнього дня. З усіх методів антивірусного захисту можна виділити дві основні групи:

Сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів

Евристичні методи - приблизні методи виявлення, які дозволяють з певною вірогідністю припустити, що файл заражений.

Сигнатурний аналіз.

Слово сигнатура в даному випадку є калькою на англійське signature, що означає "підпис" або ж у переносному розумінні "характерна межа, щось ідентифікуюча". Власне, цим все сказано. Сигнатурний аналіз полягає у виявленні характерних ідентифікуючих рис кожного вірусу і пошуку вірусів шляхом порівняння файлів з виявленими рисами.

Сигнатурою вірусу вважатиметься сукупність рис, що дозволяють однозначно ідентифікувати наявність вірусу у файлі (включаючи випадки, коли файл цілком є вірусом). Всі разом сигнатури відомих вірусів складають антивірусну базу.

Задачу виділення сигнатур, як правило, вирішують люди - експерти в області комп'ютерної вірусології, здатні виділити код вірусу з коду програми і сформулювати його характерні риси у формі, найбільш зручній для пошуку. Як правило - тому що в найбільш простих випадках можуть застосовуватися спеціальні автоматизовані засоби виділення сигнатур. Наприклад, у разі нескладних по структурі троянів або черв'яків, які не заражають інші програми, а цілком є шкідливими програмами.

Практично в кожній компанії, що випускає антивіруси, є своя група експертів, що виконує аналіз нових вірусів і поповнює антивірусну базу новими сигнатурами. З цієї причини антивірусні бази в різних антивірусах відрізняються. Проте, між антивірусними компаніями існує домовленість про обмін зразками вірусів, а значить рано чи пізно сигнатура нового вірусу потрапляє в антивірусні бази практично всіх антивірусів. Кращим же антивірусом буде той, для якого сигнатура нового вірусу була випущена раніше всіх.

Одна з поширених помилок щодо сигнатур полягає в тому,що кожна сигнатура відповідає рівно одному вірусу або шкідливій програмі. І як наслідок, антивірусна база з великою кількістю сигнатур дозволяє виявляти більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства схожих вірусів використовується одна сигнатура, і тому вважати, що кількість сигнатур рівна кількості вірусів, що виявляються, вже не можна.

Співвідношення кількості сигнатур і кількості відомих вірусів для кожної антивірусної бази своє і цілком може опинитися, що база з меншою кількістю сигнатур насправді містить інформацію про більшу кількість вірусів. Якщо ж пригадати, що антивірусні компанії обмінюються зразками вірусів, можна з високою часткою упевненості вважати, що антивірусні бази найбільш відомих антивірусів еквівалентні.

Важлива додаткова властивість сигнатур - точне і гарантоване визначення типу вірусу. Ця властивість дозволяє занести в базу не тільки самі сигнатури, але і способи лікування вірусу. Якби сигнатурний аналіз давав тільки відповідь на питання, є вірус чи ні, але не давав би відповіді, що це за вірус, очевидно, лікування було б не можливе - дуже великим був би ризик зробити не ті дії і замість лікування отримати додаткові втрати інформації.

Інша важлива, але вже негативна властивість - для отримання сигнатури необхідно мати зразок вірусу. Отже, сигнатурний метод непридатний для захисту від нових вірусів, оскільки до тих пір, поки вірус не потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме тому всі найбільш крупні епідемії викликаються новими вірусами. З моменту появи вірусу в мережі Інтернет до випуску перших сигнатур зазвичай проходить декілька годин, і весь цей час вірус здатний заражати комп'ютери майже безперешкодно. Майже - тому що в захисті від нових вірусів допомагають додаткові засоби захисту, розглянуті раніше, а також евристичні методи, використовувані в антивірусних програмах.

Евристичний аналіз

Слово "евристика" походить від грецького дієслова "знаходити". Суть евристичних методів полягає в тому, що вирішення проблеми ґрунтується на деяких правдоподібних припущеннях, а не на строгих висновках з наявних фактів і передумов. Оскільки таке визначення звучить достатньо складно і незрозуміло, простіше пояснити на прикладах різних евристичних методів.

4. Як відбувається пошук вірусів

Якщо сигнатурний метод заснований на виділенні характерних ознак вірусу і пошуку цих ознак у файлах, що перевіряються, то евристичний аналіз ґрунтується на (вельми правдоподібному) припущенні, що нові віруси часто виявляються схожі на які-небудь з вже відомих. Постфактум таке припущення виправдовується наявністю в антивірусних базах сигнатур для визначення не одного, а відразу декількох вірусів. Заснований на такому припущенні евристичний метод полягає в пошуку файлів, які не повністю, але дуже близько відповідають сигнатурам відомих вірусів.

Позитивним ефектом від використання цього методу є можливість виявити нові віруси ще до того, як для них будуть виділені сигнатури. Негативні сторони:

· Вірогідність помилково визначити наявність у файлі вірусу, коли насправді файл чистий - такі події називаються помилковими спрацьовуваннями.

· Неможливість лікування - і через можливі помилкові спрацьовування, і через можливе неточне визначення типу вірусу, спроба лікування може привести до більших втрат інформації, чим сам вірус, а це неприпустимо.

· Низька ефективність - проти дійсно новаторських вірусів, що викликають найбільш масштабні епідемії, цей вид евристичного аналізу малопридатний.

Пошук вірусів, що виконують підозрілі дії. Інший метод, заснований на евристиці, виходить з припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад: