Вирусы и средства борьбы с ними

Введение.

Жизнь человечества невозможен без  систематизации, накопления, передачи и сохранения знаний. Осуществлять строительство, проводить научные  исследования, заниматься торговлей  очень трудно на основе лишь приблизительных  расчетов. По мере накопления человечеством  информации стали актуальными вопросы  сохранения, тщательного отбора и  систематизации имеющихся данных. Так  человечество постепенно пришло к изобретению  и использованию устройств или  систем, способных выполнять заданную, чётко определённую последовательность операций, численных расчётов и манипулирования  данными - компьютер.

Прогресс в вычислительной технике  не может не восхищать. Всего за несколько  лет быстродействие серийно выпускаемых  ЭВМ увеличилось в миллион  раз при существенном уменьшении размеров и энергопотребления этих умных монстров. В период столь  бурного развития комьпьюторная  техника прошла множество этапов технической доработки и программного обеспечения.

По мере развития и модернизации компьютерных систем и программного обеспечения возрастает объем и  повышается уязвимость хранящихся в  них данных.

В наш век многие области деятельности человека связаны с применением  компьютера. Эти машины плотно внедрились в нашу жизнь. Они имеют колоссальные возможности, позволяя тем самым  освободить мозг человека для более  необходимых и ответственных  задач, В результате утомляемость резко снижается, и мы начинаем работать гораздо производительнее, нежели без применения компьютера. Компьютер может хранить и обрабатывать очень большое количество информации, которая в настоящее время является необходимым ресурсом во многих сферах деятельности .

Одной из самых опасных на сегодняшний  день угроз информационной безопасности являются компьютерные вирусы.

Вирусы и средства борьбы с ними.

Компьютерный вирус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.   Принято разделять вирусы по поражаемым объектам, по поражаемым операционным системам и платформам, по технологиям, используемым вирусом, по языку, на котором написан вирус.

Классификация по поражаемым объектам:

1. Загрузочные (boot) вирусы – запускаются при загрузке компьютера и заражают программу начальной загрузки, хранящуюся в загрузочном секторе дискеты или винчестера.                                                                    
2. Файловые вирусы – прикрепляют себя к файлу или программе, и активизируются при каждом использовании файла. Могут распространяться через файлы документов, не модифицировать их, а лишь иметь к ним какое-то отношение. 
   

Классификация файловых вирусов по способу заражения:

1. Перезаписывающие вирусы – вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться.
2. Вирусы-компаньоны – как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его
3. Файловые черви – создают собственные копии с привлекательными для пользователя названиями в надежде на то, что пользователь их запустит.
4. Вирусы-звенья – не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес.
5. Паразитические вирусы – файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность.
6. Вирусы, поражающие исходный код программ – вирусы данного типа поражают исходный код программы или её компоненты (.OBJ, .LIB, .DCU), а также VCL и ActiveX-компоненты. После компиляции программы оказываются встроенными в неё.
7. Вирусы без точки входа – к ним относятся вирусы, не записывающие команд передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса.
8. Скриптовые вирусы – написаны на различных скриптовых языках – BATCH, PHP, JS, VBS.
9. Макровирусы – являются программами на языках, встроенных во многие системы обработки данных. Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла в другие.
10. Сетевые черви – распространяется в локальных и глобальных компьютерных сетях целиком, не подкачивая по сети свои части.

Классификация по поражаемым операционным системам и платформам:

1. DOS вирусы
2. Microsoft Windows
3. Unix
4. Linux

Классификация по технологиям, используемым вирусом:

1. Полиморфные вирусы – вирусы, использующие технику, позволяющую затруднить обнаружение компьютерного вируса с помощью скан-строк и, возможно, эвристики.
2. Стелс-вирусы – вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах .

Классификация по языку, на котором написан вирус:

1. Ассемблер
2. Высокоуровневый язык
3. Скриптовый

Классификация по деструктивным возможностям:

1. Безвредные вирусы – вирусы никак не влияющие на работу компьютера.
2. Неопасные вирусы – вирусы влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами.
3. Опасные вирусы – вирусы, которые могут привести к серьезным сбоям в работе компьютера.
4. Очень опасные вирусы – вирусы в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ.

Так же, антивирусы можно разделить еще на две большие категории:

1. Предназначенные для непрерывной работы - к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернет, другие средства, сканирующие потоки данных
2. Предназначенные для периодического запуска - различного рода средства проверки по запросу, предназначенные для однократного сканирования определенных объектов.

Антивирусная  программа  — любая программа для обнаружения компьютерных вирусов, а также считающихся вредоносными программ и модифицированных такими программами файлов, а также для профилактики — предотвращения модификации файлов или операционной системы вредоносным кодом.

Основными задачами антивируса является:

1. Препятствование проникновению вирусов в компьютерную систему
2. Обнаружение наличия вирусов в компьютерной системе
3. Устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы
4. Минимизация ущерба от действий вирусов

Технологии, применяемые в антивирусах, можно  разбить на две группы:

1. Технологии сигнатурного анализа                                                              Сигнатурный анализ — метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.
2. Технологии вероятностного анализа                                                            Технологии вероятностного анализа в свою очередь подразделяются на три категории:

• Эвристический анализ                                                                   Технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов.                                                                                                    В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

• Поведенческий анализ                                                                              Технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций.
• Анализ контрольных сумм                                                                                               Способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений — одновременность, массовость, идентичные изменения длин файлов — можно делать вывод о заражении системы.

Антивирусный  комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения  практических проблем по обеспечению  антивирусной безопасности компьютерных систем. В антивирусный комплекс также  в обязательном порядке входят средства обновления антивирусных баз.                                                              Исходя из текущей необходимости в средствах защиты выделяют следующие типы антивирусных комплексов:

1. Антивирусный комплекс для защиты рабочих станций                               Состоит из средств непрерывной работы и предназначенных для периодического запуска, а также средств обновления антивирусных баз.
2. Антивирусный комплекс для защиты файловых серверов                                 Обычно состоит из двух ярко выраженных представителей средств непрерывного работы и периодического запуска:

• Антивирусного сканера при доступе - аналогичен сканеру при доступе для рабочей станции

• Антивирусного сканера по требованию - аналогичен сканеру по требованию для рабочей станции,а также средства обновления антивирусных баз.

3. Антивирусный комплекс для защиты почтовых систем                                Безусловно, антивирусный комплекс не предназначен для защиты почтовой системы от поражения вирусами, его назначение - препятствовать доставке зараженных сообщений пользователям сети

4. Антивирусный комплекс для защиты шлюзов                                          Предназначен для проверки на наличие вирусов данных, через этот шлюз передаваемых.

При организации защиты сети и выборе антивирусного комплекса нужно  принимать во внимание:

1. Трудоемкость обслуживания — установка антивирусного комплекса без удаленного управления на каждую из станций сети вынуждает администратора совершать регулярные обходы всех станций с целью проверки актуальности антивирусных баз.
2. Отказоустойчивость - система антивирусной защиты должна работать непрерывно.
3. Большая критичность системы — как правило, ценность информации, хранящейся в сети организации выше чем у информации, хранящейся в компьютере домашнего пользователя.
4. Человеческий фактор. Как и для любой системы безопасности, пользователь должен пассивно участвовать в работе системы антивирусной защиты.

Внедрение комплексной системы антивирусной защиты включает в себя следующие  этапы:

1. Создание рабочей группы специалистов, ответственных за проведение работ по внедрению.
2. Обработка информации, полученной в результате обследования
3. Разработка Плана внедрения и Программы и методики проведения испытаний
4. Проведение работ по установке антивирусных комплексов, входящих в состав внедряемой КСАЗ и дополнительных работ, связанных с установкой заплат безопасности для используемых операционных систем
5. Настройка КСАЗ и передача ее в опытную эксплуатацию
6. Опытная эксплуатация КСАЗ
7. Проведение приемочных испытаний и приемка КСАЗ в промышленную эксплуатацию
8. Промышленная эксплуатация КСАЗ