Комп’ютерні віруси й антивірусні програмні засоби

В 1991 році була зроблена спроба створити стандарт класифікації та іменування вірусів на зустрічі CARO, та на даний час єдиної системи нема.

Прийнято розділяти віруси:

- за об'єктами, які вражаються (файлові віруси, скриптові віруси, завантажувальні віруси, мережеві черв'яки, макро-віруси);

- за способом зараження (віруси-компаньйони, перезаписуючі віруси, віруси-ланки, файлові хробаки, віруси, що вражають вихідний код програм, паразитичні віруси);

- за операційними системами і платформами, що вражаються (Unix, DOS, Linux, Microsoft Windows та інші);

- за активністю (нерезидентні віруси, резидентні віруси);

- за технологіями, які використовуються вірусом (поліморфні віруси, шифровані віруси, нешифровані віруси, стелс-віруси (руткіт і буткіт));

- за деструктивними можливостями (безпечні віруси, нешкідливі віруси, небезпечні віруси, дуже небезпечні віруси);

- за мовою, на якій написаний вірус (асемблер, високорівнева мова програмування, скриптова мова та інші).

Рис. 1

За час існування комп'ютерної техніки та програмного забезпечення вірусів написано не менше,ніж звичайних програм. Ось основні категорії вірусів.

Adware (шкідливі програми рекламного характеру). Це тип програм, які демонструють користувачеві крім виконання основних функцій ще й рекламні банери. Цю рекламу, як правило, складно відключити вручну.

Backdoors (Чорний хід). Такі програми мають доступ до віддаленого комп'ютера навіть при розмежованому доступі. Програма працює в прихованому режимі та дозволяє отримати практично необмежені права зловмисникам. За допомогою «бекдорів» злочинці отримують доступ до особистих даних. Та частіше всього вони використовуються для інфікування вірусами та черв'яками інших комп'ютерів.

Bot-Net (бот-мережі)- це мережі, що складаються з тисяч персональних комп'ютерів та локальних мереж, об'єднаних в єдине ціле, і які керуються віддалено. Троянські або інші вірусні програми контролюють таку мережу, інфікують комп'ютери та чекають інструкцій про початок активних дій, вони не завдають шкоди системам, де самі встановлені. Такі програми використовуються зловмисниками для проведення DDoS-атак під час роботи комп'ютерів, для розсилки спаму. Головна небезпека бот-мереж у великій кількості елементів, які в них включаються. Завдяки цьому адміністратори таких мереж можуть блокувати роботу веб-серверів.

Експлойт («дірка в безпеці») - це скрипт або комп'ютерна програма, яка використовує недоліки чи помилки операційних систем та іншого програмного забезпечення. Одна з форм роботи експлойта - атаки з Інтернету, виконані за допомогою пакетів даних, які використовують в мережевому програмному забезпеченні «слабкі місця». Так в систему проникають програми, які дозволяють отримати зловмисникам підвищені права доступу.

Hoaxes (обман, містифікація, жарт). Користувачі мереж періодично отримують неправдиві повідомлення про віруси, які поширюються через електронну пошту. Ці попередження пропонують розіслати іншим користувачам їх же з метою захисту комп'ютерів від «небезпеки».

Honeypot (приманка)- це служба, яка запущена в мережі, спостерігає за нею тафіксує спроби проникнення до неї. Дана служба користувачеві недоступна,а тому з боку користувача до неї не має бути звернень. Якщо зловмисники сканують мережу, вивчаючи її вразливі місця, і користуються при цьому запропонованими «приманкою» сервісами, то їх звернення реєструються як спроба несанкціонованих проникнень в систему.

Макровіруси - це невеликі програми, написані на макромовах (наприклад WordBasic). Вони звичайно поширюються між документів, створених конкретними програмами. Тому їх ще називають «документними вірусами». На відміну від звичайних вірусів, вони обмежуються лише документами певних програм, а не пошкоджують виконувані файли.

Фармінг - це маніпулювання хост-файлами веб-браузерів з метою зміни спрямування запитів за помилковими адресами. По суті, це модифікації фішинга. Фармінг-злочинці розпоряджаються об'ємними серверними сховищами,щоб зберігати фальшиві веб-сайти. Фармінг став узагальнюючою назвою DNS-атак. Маніпуляції хост-файлами ведуть до спрямованих маніпуляцій системою вірусами та троянськими програмами. В такому випадку з даної системи можливі звернення тільки до фальшивих сайтів, навіть якщо в полі браузеру введені вірні веб-адреси.

Фішинг полює на персональні дані користувачів Інтернету. Фішинг-зловмисники відправляють нібито офіційні листи, які спонукають користувачів добровільно надавати зловмисникам конфіденційну інформацію - імена користувача, паролі. Завдяки цим даним злочинці роблять від імені користувачів різні дії. Клієнти мають пам'ятати, що банки ніколи не просять повідомити електронною поштою, по СМС або телефону номер кредитної карти, PIN або інші дані доступу до різних систем.

Поліморфні віруси - майстри камуфляжу та маскування. Вони змінюють власний програмний код, що робить досить трудомістким їхнє виявлення.

Руткіти - це програмні утиліти, що встановлюються на комп'ютер та маскують факти проникнення й присутності в системі. Руткіти пробують актуалізувати встановлені шпигунські програми або повторно інсталювати раніше видалені.

Скриптові віруси і черв'яки. Процес створення даних вірусів дуже простий, а використання певних технологій дозволяє поширитися в планетарному масштабі за декілька годин. Скриптові віруси та черв'яки вимагають присутності однієї зі скриптових мов (Javascript, наприклад) для вільного проникнення до неінфікованих скриптів. Часто це відбувається за допомогою пересилки електронною поштою або під час обміну файлами. Черв'яками називаються програми, які розмножуються самостійно та не інфікують другі програми, тобто вони не можуть бути частиною коду програми-носія. Єдиною можливістю забезпечити проникнення в системи з жорсткими обмеженнями політик безпеки яких-небудь шкідливих програм часто стають черв'яки.

Шпигунські програми пересилають персональні дані без дозволу користувачів третім особам. Здебільшого шпигунські програми служать для того, щоб аналізувати стиль поведінки користувача в Інтернеті та активувати рекламні банери певного спрямування.

Троянські програми (трояни) зустрічаються останнім часом достатньо часто. Це програми, які мають виконувати певні завдання, та після їх запуску виконують завдання руйнівного характеру, показуючи таким чином своє дійсне приховане обличчя. Троянські програми не розмножуються самостійно, що й відрізняє їх від вірусів-черв'яків. Вони зазвичай цікаво називаються (SEX.EXE або STARTME.EXE), спонукаючи користувачів запустити їх на виконання. Трояни, наприклад, можуть відформатувати вінчестер безпосередньо після активізації.

Зомбі-комп'ютер - це комп'ютер, що інфікований Malware-програмами, які дозволяють хакерам використовувати систему в злочинних цілях та отримати права видаленого управління нею. Керований комп'ютер використовується як платформа організації DoS-атак, розсилки фішинг-листів і спаму.

3. ОЗНАКИ ЗАРАЖЕННЯ КОМП'ЮТЕРА ВІРУСОМ

вірус фішинг антивірусний програма

Ознаки зараження вірусом:

зменшується вільна пам'ять комп'ютера;

сповільнюється робота комп'ютера;

при виконанні програм з'являються затримки;

в файлах виявляються незрозумілі зміни;

змінюється безпричинно дата модифікації файлів;

з'являються незрозумілі помилки Write-protection;

виникають помилки при інсталяції і запуску Windows;

відключається 32-розрядний допуск до диску;

неможливо зберігати документи Word в інші каталоги, окрім Template;

погано працюють диски;

з'являються файли невідомого походження.

Ранні ознаки зараження досить важко виявити, та коли вірус переключається в активну фазу, то легко помічаються наступні зміни:

зникають файли;

виконується форматування HDD;

неможливо завантажити комп'ютер;

незавантажуються файли;

з'являються незрозумілі системні повідомлення або звукові ефекти.

На даний час основні ознаки -- самовільне відкривання браузером рекламних сайтів, підвищений підозріло інтернет-трафік та повідомлення, що ваші електронні листи містять віруси.

Міфи про віруси.

Віруси самопоширюються. Віруси не можуть самі себе виконувати. З цього випливає, що вони самі не поширюються. Вірус нічого не може зробити, перш ніж не завантажаться заражені програми чи комп'ютер не перезавантажиться із зараженого диску.

Між будь-якими комп'ютерами можуть поширюватися віруси. Теоретично можна створити вірус, який може функціонувати в різних операційних системах, але це дуже складне завдання. Практично ж можна стверджувати, що DOS-віруси не можуть заразити такі комп'ютери, як Macintosh, Unix.

Захищені від запису диски можуть заразити віруси. Це не можливо. Однак можуть бути заражені диски, якщо захист виключений.

Деякі віруси зовсім не шкідливі. Є віруси, які не знищують інформацію, та вони збільшують навантаження на процесор і без відома користувача змінюють програмний код.

Віруси знаходяться лише в піратських дисках. В піратських копіях віруси знаходяться частіше, та відомі випадки, коли навіть комерційне програмне забезпечення містило віруси.

Віруси можуть зруйнувати комп'ютер. Чутки про віруси, які руйнують монітор чи вінчестер, деколи з'являються, та ні разу це не було підтверджено.

4. АНТИВІРУСНІ ПРОГРАМИ ТА ЇХ КЛАСИФІКАЦІЯ

Щоб вберегтися від вірусів варто застосовувати відповідне програмне забезпечення, наприклад безкоштовні антивіруси.

Способи протидії комп'ютерним вірусам:

Профілактика зараження вірусами та зменшення шкоди, яка настає від такого зараження:

не запускати на виконання незнайомі програми;

не користуватися піратськими копіями програмних продуктів;

не відкривати одержані через Інтернет документи без перевірки на наявність вірусів;

періодично створювати резервні копії важливих файлів на зовнішніх носіях інформації;

завжди захищати свої носії інформації від запису при роботі за іншими комп'ютерами, якщо запис інформації на них не виконуватиметься.

Встановити на комп'ютер антивірусну програму та постійно поновлювати її версії та бази даних.

Методика використання програм-антивірусів, в тому числі видалення або знешкодження відомого вірусу.

Способи виявлення та видалення невідомих вірусів.

Способи захисту від зараження вірусами комп'ютера, забезпечення надійного зберігання інформації на носіях інформації:

перед зчитуванням з дисків інформації завжди перевіряти їх на наявність вірусів;

перенесені на свій комп'ютер архіви файлів перевіряти на жорстокому диску відразу після розархівування, обмеживши ділянку перевірки щойно записаними файлами;

періодично запускати антивірусні програми для перевірки файлів, пам'яті й системних ділянок, тестувати на наявність вірусів жорсткий диск комп'ютера.

Антивірусні програми - це програми для виявлення, захисту та видалення комп'ютерних вірусів. Сьогодні спеціалізовані в чистому вигляді варіанти програм практично не зустрічаються. Розробники антивірусів на даний час передбачають практично всі основні типи антивірусних програм, які правильно було б назвати стосовно питань безпеки компонентами чи складовими, аніж самостійними програмами.

Вибір антивірусної програми.

На даний час існує багато антивірусних програм, як комерційних, так і freeware, а також є платні антивірус із безкоштовними ліцензіями для домашнього використання. Основна відмінність між ними полягає,як правило, у відсутності технічної підтримки. Так само в деяких безкоштовних програмах-антивірусах може ряд можливостей бути відключеним, скажімо, автоматичне оновлення антивірусних баз.

Як вибрати відповідний антивірус? Варто почитати відгуки користувачів на форумі або порівняльні огляди,в першу чергу, а також переглянути офіційні сайти програм, щоб взнати їх відмінності та умови ліцензій. Далі слід поцікавитися ефективністю роботи антивірусного продукту, для чого виконуються різні тестування.

На сьогоднішній день найавторитетнішим вважається журнал VirusBulletin, що систематично виконує тестування антивірусних програм. Є ще й інші незалежні лабораторії - AV-Compa-ratives чи AMTSO, що теж регулярно тестують найпопулярніші антивіруси.

Ще один важливий чинник, який впливає на вибір антивірусного продукту, - продуктивність його роботи. Так як резидентний захист звичайно увімкнутий постійно, при інтенсивній роботі він може створювати велике навантаження на ресурси комп'ютера, знижуючи загальну продуктивність. Частково компенсувати цей ефект можна виконавши його оптимізацію.

Зазвичай основне навантаження під час сканування створюють архіви, так як їх потрібно спочатку розпакувати, та враховуючи, що в архівах віруси безпечні до розпаковки, перевірку на їх присутність включати необов'язково. За великим рахунком, можна аналізувати лише виконувані файли (EXE, COM, BAT, VBS) і динамічні бібліотеки (DLL), а повну перевірку робити періодично вручну.

Незалежно від вибору антивірусної програми, можна дати кілька простих порад, що допоможуть уникнути багатьох проблем:

По-перше, тримати антивірусні бази в оновленому, актуальному стані. По можливості налаштувати автоматичне оновлення антивірусу або виконувати цю процедуру вручну хоча б один раз на тиждень.

По-друге, не відключати резидентний сканер. Якщо це обмежують ресурси комп'ютера, слід спробувати максимально оптимізувати роботу сканера в параметрах, але повністю відключати його потрібно лише в крайніх випадках.

По-третє, прагнути проводити повну перевірку всіх дисків хоча б один раз на місяць. Якщо це багато часу займає, можна запускати її вночі, якщо комп'ютер в той час не використовується.

Не варто покладатися тільки на програму, адже вона теж може помилятися. Не потрібно відкривати невідомі файли, не слід заходити на підозрілі сайти, стежити за оновленнями операційної системи і тоді шанси заразити комп'ютер будуть мінімальні.

5. МЕТОДИ ЗНАХОДЖЕННЯ ВІРУСІВ