Автор работы: Пользователь скрыл имя, 14 Марта 2014 в 21:07, реферат
Первые исследования саморазмножающихся искусственных конструкций проводились в середине нынешнего столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин «компьютерный вирус» появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла, однако строгого определения, что же такое компьютерный вирус, так и не дано, несмотря на то, что попытки дать такое определение предпринимались неоднократно.
Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать пиратские копии. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов.
Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах.
Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа. Такие резервные копии носят название backup-копий. Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусом агрессивных свойств или при сбое компьютера.
Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов.
Старайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.
Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.
Ограничивайте круг лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению «многопользовательские» персональные компьютеры.
Вторая статья:
Откуда беруться вирусы
Основным источником вирусов на сегодняшний день является глобальная сеть Internet.
Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office97. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д.
Предположим, что пользователь ведет переписку с пятью адресатами, каждый из которых также переписывается с пятью адресатами. После посылки зараженного письма все пять компьютеров, получившие его, оказываются зараженными. Затем с каждого вновь зараженного компьютера отправляется еще пять писем. Одно уходит назад на уже зараженный компьютер, а четыре — новым адресатам.
Таким образом, на втором уровне рассылки заражено уже 1+5+20=26 компьютеров. Если адресаты сети обмениваются письмами раз в день, то к концу рабочей недели (за 5 дней) зараженными окажутся как минимум 1+5+20+80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней зараженными оказываются более ста тысяч компьютеров! Причем каждый день их количество будет учетверяться.
Описанный случай распространения вируса является наиболее часто регистрируемым антивирусными компаниями. Нередки случаи, когда зараженный файл-документ или таблица Excel по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.
Электронные конференции, файл-серверы ftp и BBS
Файл-серверы «общего пользования» и электронные конференции также служат одним из основных источников распространения вирусов. Практически каждую неделю приходит сообщение о том, что какой-либо пользователь заразил свой компьютер вирусом, который был снят с BBS, ftp-сервера или из какой-либо электронной конференции. При этом часто зараженные файлы «закладываются» автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда — под новые версии антивирусов). В случае массовой рассылки вируса по файл-серверам ftp/BBS пораженными практически одновременно могут оказаться тысячи компьютеров, однако в большинстве случаев «закладываются» DOS- или Windows-вирусы, скорость распространения которых в современных условиях значительно ниже, чем макро-вирусов. По этой причине подобные инциденты практически никогда не кончаются массовыми эпидемиями, чего нельзя сказать про макро-вирусы.
Третий путь «быстрого заражения» — локальные сети.
Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере (в случае Novell NetWare — LOGIN.COM). На следующий день пользователи при входе в сеть запускают зараженные файлы. Вместо служебного файла LOGIN.COM может также выступать различное программное обеспечение, установленное на сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в фирме, и т.д.
Пиратское программное обеспечение.
Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных «зон риска». Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов.
Персональные компьютеры «общего пользования»
Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную «заразу» получат и дискеты всех остальных студентов, работающих на этом компьютере. То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус попадает в компьютерную сеть фирмы папы или мамы.
Ремонтные службы.
Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники — тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности. Однажды забыв закрыть защиту от записи на одном из своих флоппи-дисков, такой «маэстро» довольно быстро разнесет заразу по машинам своей клиентуры и скорее всего потеряет ее (клиентуру).
Компьютерные вирусы распространяются и через DVD.
Компьютерный вирус был обнаружен в Америке на DVD с мультфильмом Powerpuff Girls. Это первый известный случай, когда вирус распространяется через DVD. Киностудия Warner Brothers решила отозвать все диски с серией мультфильма, которая называется Meet The Beat Alls. Вирус, попавший на DVD, называется Funlove - "Любовь к развлечениям". Он находится в файлах, которые позволяют создавать скринсейверы и заставки для ПК на темы мультфильма. Этому вирусу уже два года, поэтому обладатели известных антивирусных программ могут не беспокоиться. По словам представителя компании, занимающейся борьбой с вирусами, зараженный DVD продается пока только в Соединенных Штатах
Анализ алгоритма вируса
На мой взгляд, наиболее удобным для хранения и анализа вируса объектом является файл, содержащий его (вируса) тело. Как показывает практика, для анализа файлового вируса удобнее иметь несколько зараженных файлов различной, но не очень большой, длины. При этом желательно иметь зараженные файлы всех типов (COM, EXE, SYS, BAT, NewEXE), поражаемых вирусом. Если необходимо проанализировать часть оперативной памяти, то при помощи некоторых утилит (например, AVPUTIL.COM) довольно просто выделить участок, где расположен вирус, и скопировать его на диск. Если же требуется анализ сектора MBR или boot-сектора, то скопировать их в файлы можно при помощи популярных «Нортоновских утилит» или AVPUTIL. Для хранения загрузочного вируса наиболее удобным является файл-образ зараженного диска. Для его получения необходимо отформатировать дискету, заразить ее вирусом, скопировать образ дискеты (все сектора, начиная с нулевого и кончая последним) в файл и при необходимости скомпрессировать его (эту процедуру можно проделать при помощи «Нортоновских утилит», программ TELEDISK или DISKDUPE).
Зараженные файлы или файл-образ зараженной дискеты лучше передать разработчикам антивирусных программ по электронной почте или, в крайнем случае, на дискете по обычной почте. Однако если это займет много времени, которое, как известно, не ждет, то пользователям, достаточно уверенным в себе, можно попробовать и самостоятельно разобраться в вирусе и написать собственный антивирус. полне вероятно, что вирус повторно заразит дискету или винчестер после того, как код вируса будет удален (даже если воспользоваться утилитой FORMAT).
При анализе алгоритма вируса предстоит выяснить: способ(ы) размножения вируса; характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках; метод лечения оперативной памяти и зараженных файлов (секторов).
При решении этих задач не обойтись без
дизассемблера или отладчика (например,
отладчиков AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблеров
Sourcer или IDA).
И отладчики, и дизассемблеры имеют и положительные
и отрицательные черты — каждый выбирает
то, что он считает более удобным. Несложные
короткие вирусы быстро «вскрываются»
стандартным отладчиком DEBUG, при анализе
объемных и высокосложных полиморфик-стелс-вирусов
не обойтись без дизассемблера. Если необходимо
быстро обнаружить метод восстановления
пораженных файлов, достаточно пройтись
отладчиком по началу вируса до того места,
где он восстанавливает загруженную программу
перед тем, как передать ей управление
(фактически именно этот алгоритм чаще
всего используется при лечении вируса).
Если же требуется получить детальную
картину работы вируса или хорошо документированный
листинг, то кроме дизассемблеров Sourcer
или IDA с их возможностями восстанавливать
перекрестные ссылки, здесь вряд ли что
поможет. К тому же следует учитывать,
что, во-первых, некоторые вирусы достаточно
успешно блокируют попытки протрассировать
их коды, а во-вторых, при работе с отладчиком
существует ненулевая вероятность того,
что вирус вырвется из-под контроля.
При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса — в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.
При анализе загрузочного вируса основной
задачей является выяснение адреса (адресов)
сектора, в котором вирус сохраняет первоначальный
загрузочный сектор (если, конечно, вирус
сохраняет его).
Для резидентного вируса требуется также
выделить участок кода, создающий резидентную
копию вируса и вычислить возможные адреса
точек входа в перехватываемые вирусом
прерывания. Необходимо также определить,
каким образом и где в оперативной памяти
вирус выделяет место для своей резидентной
копии: записывается ли вирус по фиксированным
адресам в системные области DOS и BIOS, уменьшает
ли размер памяти, выделенной под DOS (слово
по адресу [0000:0413]), создает ли для себя
специальный MCB-блок либо использует какой-то
другой способ.
Существуют особые случаи, когда анализ вируса может оказаться очень сложной для пользователя задачей, например при анализе полиморфик-вируса. В этом случае лучше обратиться к специалисту по анализу кодов программ.
Для анализа макро-вирусов необходимо
получить текст их макросов. Для нешифрованных
не-стелс вирусов это достигается при
помощи меню Tools/Macro. Если же вирус шифрует
свои макросы или использует стелс-приемы,
то необходимо воспользоваться специальными
утилитами просмотра макросов. Такие специализированные
утилиты есть практически у каждой фирмы-производителя
антивирусов, однако они являются утилитами
«внутреннего пользования» и не распространяются
за пределы фирм.
На сегодняшний день известна единственная
shareware-программа для просмотра макросов
— Perforin. Однако эта утилита пока не поддерживает
файлы Office97.
Третья статья:
Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма, т.е. в теле заложен код, благодаря чему вирус отправляет заражённые письма, адреса, которых хранятся на компьютере жертве. Файл-серверы общего пользования и электронные конференции также служат одним из основных источников распространения вирусов.
При этом часто зараженные файлы закладываются автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов), так же известны случаи когда, к примеру, какая-либо крупная организация, по разработке ПО, предоставляет новую версию продукта (патчрелиз) на свободную закачку, не зная того, что файл заражён вирусом.
Третий путь быстрого заражения - локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере.
Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных зон риска. Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов.
Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную заразу получат и дискеты всех остальных студентов, работающих на этом компьютере.
То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус разносится на другие компьютеры (путём записи информации на накопители и другие компьютеры).