Поняття "комп'ютерні віруси" та основні методи захисту від них

Комп'ютерним вірусом називається невелика, складна, ре­тельно складена і небезпечна програма, здатна самостійно розмно­жуватися, дописуючи себе до інших програм, переноситися на диски і дискети, передаватися комп'ютерною мережею, порушуючи роботу комп'ютера.

Як правило, комп'ютерні віруси написані мовами ASSEMBLER або С++, часто програмістами високої кваліфікації. Причини, що спонукають до написання подібних програм, нерідко залишаються загадковими. Не виключено, що деякі з таких людей - це невдахи, які не зуміли ефективно використати свої знання та досвід.

Дамо коротку характеристику груп розробників комп'ютерних вірусів:

• технопати. Це той самий різновид вандалів, які "розма­льовують" кабіни ліфтів, стіни під'їздів, парканів та ін. Описання цього виду психічних відхилень можна знайти в будь-якому навчальному посібнику з психіатрії;

• студенти і школярі. У більшості вузів та шкіл доступ до комп'ютерів майже не контролюється, а це дає змогу і студентам, і школярам займатися будь-якою діяльністю, включаючи і написання вірусних програм;

• ображені співробітники. Деякі "троянські" програми створюються спеціально для помсти "поганому начальнику" або для шантажу роботодавця. Тому така можливість має враховуватися керів­никами різного рівня в разі звільнення співробітників, особливо неврастеніків;

• терористи і злочинні угруповання. Комп'ютерні віруси можуть бути використані як засіб шантажу або пропаганди, напри­клад, легалізації наркотиків. Сюди необхідно віднести також розроб­ників засобів захисту від несанкціонованого копіювання, які перед­бачають різного роду "каральні заходи" при запуску програми на комп'ютері, що відрізняється від комп'ютера, на якому виконувалася інсталяція;

• військова розвідка і спецслужби. За деякими даними комп'ютерні віруси розглядаються різними спецслужбами як один із можливих заходів боротьби із супротивником.

Спочатку вірус записується розробником до якоїсь програми, а потім під час тиражування цієї програми вірус лавиноподібно поширюється на інші неінфіковані програми.

Програма, в якій знаходиться вірус, називається "зараженою".

Коли інфікована програма починає роботу, то керування спочатку отримує вірус. Він знаходить і заражає інші програми чи об'єкти, а також може виконувати інші шкідливі дії. Потім вірус передає керування тій програмі, в якій він знаходиться, і вона працює як звичайно.

Зовні робота інфікованої програми нічим не відрізняється від неінфікованої.

Для маскування вірусу певні дії щодо зараження інших про­грам і нанесення шкоди можуть виконуватися не завжди, а тільки, наприклад, за певних умов. Такими умовами може бути, наприклад, відповідні дні тижня, число або місяць.

Подібно до біологічних, життєвий цикл комп'ютерних віру­сів, як правило, включає такі фази:

а) латентний період, коли вірус ніяких дій не виконує;

б) інкубаційний період, коли вірус розмножується;

в) період активізації, коли вірус поряд із розповсюдженням виконує шкідливі дії, передбачені розробником,

Один із найавторитетніших "вірусологів" на теренах СНД Євген Касперський пропонує умовно класифікувати віруси за такими ознаками:

• середовищем розповсюдження;

• способом зараження оточуючого середовища;

• деструктивними можливостями;

• особливостями алгоритму вірусу.

Як правило, середовищем розповсюдження вірусів є: ком­п'ютерні мережі, файли програм або документів, завантажувальні сектори дисків.

За способом зараження оточуючого середовища комп'ю­терні віруси можна поділити на резидентні та нерезидентні. Резидентні віруси постійно знаходяться в пам'яті та активні до моменту виключення комп'ютера. Нерезидентні не уражають пам'ять та активні обмежений проміжок часу, доки працює заражена програма чи відкрито заражений документ.

За деструктивними можливостями комп'ютерні віруси поділяють на нешкідливі, безпечні, небезпечні і дуже небезпечні.

Нешкідливі віруси практично не впливають на роботу комп'ютера, а лише зменшують кількість вільного місця на диску внаслідок свого розповсюдження. Безпечні віруси зменшують вільну пам'ять і ство­рюють різноманітні ефекти: програвання музики, створення на екрані рисунків, перезавантаження комп'ютера, блокування або заміну функцій клавіатури та ін. Дія небезпечних вірусів може призвести до серйозних порушень функціонування комп'ютера, а дуже небезпечних -до втрати програм і даних на дисках, а то й навіть до "фізичного" пошкодження комп'ютера.

За особливостями алгоритму віруси можна класифікувати на віруси-"супутники", "паразитичні", студентські, "стелc"-віруси (невидимки), віруси-привиди (самомодифікуючі), макровіруси. Віруси-"супутники" не змінюють файли, а лише створюють для ЕХЕ-файлів файли-кошї з розширенням.соm. "Паразитичні" віруси змінюють вміст дискових секторів або файлів. Студентські віруси досить примітивні та мають дуже велику кількість помилок. "Стелс"-віруси -одні з найнебезпечніших. Вони заважають своєму виявленню тим, що перехоплюють звертання операційної системи до заражених файлів та областей диска і видають їх у початковому (незараженому) стані. Віруси-привиди також одні з найнебезпечніших. Ці самомодифікуючі віруси не мають жодної постійної ділянки свого коду. Основне тіло вірусу зашифроване і до того ж часто змінюються параметри кодування. Крім того, віруси-привиди змінюють і свою стартову частину, що служить для розкопування решти команд вірусу. Отже, в тілі подібного вірусу не існує жодного постійного ланцюжка байтів, за яким можна було б ідентифікувати вірус. Це значно ускладнює знаходження таких вірусів програмами-детекторами. Макровіруси написані не машинними кодами, а із допомогою мови програмування Visual Basic for Application, що входить до комплекту поставки пакету Microsoft Office. Тому найчастіше заражаються документи текстового редактора Word і табличного процесора Ехсеl. Такі віруси найчастіше псують документи, однак є й такі, що можуть відформатувати жорсткий диск або навіть знищити інформацію на ньому.

Поряд із комп'ютерними вірусами існує кілька різновидів небезпечних програм - "троянські" програми, програми-реплікатори ("черв'яки"), "жадібні" програми та захоплювачі паролів. Такі програми замасковані під корисні та необхідні, але дія цих програм така сама, як і невидимих комп'ютерних вірусів.

"Троянські" програми - це програми, що виконують як доповнення до основних (проектних і документованих) додаткові дії, але не описані в документації. Додатковий блок команд може спрацювати в разі виконання деякої умови: дати, часу та іншого або за командою ззовні. "Троянські" програми є загрозою для будь-якого об'єкта комп'ютерної системи. До того ж ця загроза може виражатися будь-яким зі способів: безпосередній вплив на об'єкт атаки, вплив на систему дозволів та опосередкований вплив. Найнебезпечнішим є опосередкований вплив, за якого "троянська" програма діє в межах повноважень одного користувача, але в інтересах іншого користувача, особу якого встановити майже неможливо.

Програми-реплікатори ("черв'яки") - це програми, що розповсюджуючись через мережу, відсилають свої копії. "Черв'як" використовує механізм підтримки мережі для визначення вузла, який може бути заражений. Потім із допомогою цього механізму передає своє тіло або його частину на цей вузол та активізується або чекає сприятливих для цього умов. Такий процес може стати неконтрольованим настільки, що призведе до перевантаження вузлових комп'ютерів, і, як наслідок, - блокування мережі на невизначений час.

"Жадібні" програми - це програми, що намагаються монопо­лізувати який-небудь ресурс, не даючи іншим програмам можливості використати його. Доступ таких програм до ресурсів системи призво­дить до порушення її доступності для інших. У більшості випадків безпосередній атаці піддаються об'єкти системи: процесор, опера­тивна пам'ять, пристрої введення-виведення.

Захоплювачі паролів - це спеціально призначені програми для крадіжки паролів. Вони виводять на екран терміналу (один за одним): порожній екран та екран, що з'являється після катастрофи системи або сигналізує про закінчення сеансу роботи. При спробі входу імітується введення імені та пароля, які пересилаються власнику програми-захоплювача. Після цього виводиться повідомлення про помилку введення і керування повертається операційній системі. Користувач думає, що, набираючи пароль, зробив помилку. Він повторює вхід і отримує доступ до системи. Але його ім'я та пароль уже відомі сторонній особі.

Для захисту від вірусів створено спеціальні антивірусні програми, що дають змогу виявляти віруси, лікувати інфіковані файли і диски, попереджувати підозрілі дії, характерні для вірусів.

Антивірусні програми можна розподілити на такі види:

• детектори;

• лікарі (фаги);

• ревізори;

• вірус-фільтри (охоронці);

• імунізатори (вакцинатори).

Детектором називається програма, що виконує пошук вірусів у пам'яті та на дисках комп'ютера за характерними ознаками (сигнатурою) для кожного вірусу. Недоліком таких програм є немож­ливість знаходження вірусу, невідомого розробникам цих програм.

Програми-лікарі (фаги) не лише знаходять заражені вірусами файли, але й "лікують" їх, тобто вилучають із файлу тіло програми-вірусу, повертаючи файлу попередній вигляд. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищують їх, а лише потім переходять до "лікування" файлів. Серед фатів окремо виді­ляють поліфаги, тобто програми-лікарі, призначені для пошуку і знищення великої кількості вірусів. Найвідоміші з них - це Norton AntiVirus і DrWeb. Але через те, що більшість небезпечних вірусів -мутанти, можлива ситуація, коли антивірусна програма не може правильно "вилікувати" файл. У такому випадку поліфаги, на жаль, пропонують просто знищити файл разом із вірусом.

Програми-ревізори належать до найнадійніших засобів за­хисту комп'ютерів від комп'ютерних вірусів. Ревізори запам'ято­вують інформацію про стан файлової системи дисків, а при наступних запусках системи порівнюють її стан із попереднім. При виявленні невідповідностей про це повідомляється користувачу. Програми-ревізори мають достатньо розвинені алгоритми, знаходять "стелс"-віруси і часто мають "лікуючі" блоки.

Вірус-фільтром, або "охоронцем" називається невелика резидентна програма, призначена для виявлення підозрілих дій, харак­терних для вірусу, у роботі комп'ютера.

Такими діями, наприклад, можуть бути:

• спроби корекції файлів із розширенням ЕХЕ і СОМ;

• зміна атрибутів файлу;

• прямий запис на диск за абсолютною адресою;

• запис до завантажувальних секторів диска;

• завантаження резидентної програми.

Під час спроби якої-небудь програми виконати зазначені дії користувачу пропонується заборонити чи дозволити виконання таких дій. Програми "охоронці" корисні, оскільки здатні виявити вірус на ранній стадії його існування. Однак вони не "лікують" файли і диски.

Імунізатором (вакцинатором) називають резидентну про­граму, що попереджає зараження оточуючого середовища. Розріз­няють пасивні та активні імунізатори. Вакцинація можлива лише для відомих вірусів. Нині вакцинація практично не застосовується.

Зараз найпопулярніші серед користувачів в Україні антивірусні програми АVP (Є. Касперського) та DrWeb (І. Данилова), які постійно вдосконалюються.

Програму AntiViral Toolkit Pro (AVP) ) розроблено провідною російською компанією "Лабораторія Касперского". Програма ви­йшла на світовий ринок і досить активно продається в багатьох країнах, у тому числі і в Україні.

У процесі виконання програма АVР перевіряє оперативну пам'ять, файли, системні та завантажувальні сектори, здійснює пошук вірусів у архівних файлах. Крім того, програма контролює файлові операції системи у фоновому режимі, виявляє вірус до моменту реального зараження системи, а також із допомогою евристичного модуля визначає невідомі віруси.

Головне вікно АVР за структурою схоже на вікно Windows. Воно містить рядки заголовку і меню, п'ять вкладинок, кнопку Пуск, яка під час перевірки змінюється на кнопку Стоп, і вікно перегляду "Объект-Результат".

Для виконання антивірусної перевірки в АVР необхідно:

1) у вкладниці Область вибрати потрібні диски або папки;

2) у вкладниці Обьекты вибрати зі списку всі об'єкти для перевірки;

3) у вкладниці Действия встановити необхідну дію АVР на випадок виявлення вірусу;

4) у вкладниці Настройки (Параметри) (обов'язкової) встановити перемикачі Предупреждения і Анализатор кода, щоб АVР включив механізм розпізнавання невідомих вірусів;

5) натиснути кнопку Пуск і дочекатися результатів перевірки.

Програма Dr.Web дає можливість знаходити і знищувати відомі та невідомі віруси в пам'яті, а також на дисках комп'ютера. Невідомі віруси виявляються з допомогою емулятора процесора, який дає змогу імітувати виконання програми, та евристичним аналіза­тором, який дає можливість виявити при такій імітації виконання

підозрілу поведінку програми. Так виявляються найновіші, невідомі Dr.Web віруси.

Після запуску Dr.Web виконується тестування оперативної пам'яті комп'ютера, після завершення якого програма переходить у режим очікування. Щоб виконати антивірусну перевірку дисків і файлів із допомогою програми Dr.Web, необхідно:

• вибрати потрібний об'єкт на дереві дисків (біля вибраного об'єкта з'явиться відповідний значок - кулька);

• натиснути кнопку Пуск (у правій частині вікна) і дочекатися результатів перевірки.

Додержання певних рекомендацій допоможе користувачу попередити проникнення вірусу до комп'ютера або значною мірою зменшить саму вірогідність такого проникнення.

Слід зробити так:

• установити на комп'ютер найсучасніші антивірусні програми і постійно оновлювати їх версії;

• якщо це можливо, використовувати свої дискети на іншому комп'ютері, із механічним захистом від запису;

• без крайньої необхідності не користуватися чужими дискетами і не передавати свої дискети іншим, якщо даний корис­тувач не впевнений у "чистоті" їхніх комп'ютерів;

• не запускати на виконання ніяких чужих програм, якщо їх призначення невідоме;

• не відкривати електронних листів від невідомого корес­пондента, а тим більше - додатки до таких листів без попередньої антивірусної перевірки;

• використовувати лише відомі програмні продукти, оскільки шанс, що фірмова програма виявиться інфікованою, незнач­ний;

• обов'язково створювати резервні копії важливої для користувача інформації;

• обмежити доступ до свого ПК сторонніх осіб.

5.6. Поняття "інсталяція програмного забезпечення"

Кожний програмний продукт - це перш за все виконавчий модуль із розширенням.ЕХЕ або.СОМ і цей модуль може працювати або автономно, або в супроводі схожих програм та службових файлів. До появи сучасних програм проблеми встановлення (інсталяції) на комп'ютері практично не існувало. Достатньо було лише скопіювати з дискети або компакт-диску програму на жорсткий диск, а потім запускати її на виконання звичайними засобами. Нескладні програми й досі встановлюються подібними методами.

Але для більшості сучасних програмних пакетів розробники передбачають спеціальну процедуру встановлення, під час якої вико­ристовується спеціальна копія програмного продукту - дистрибутив. Ця копія поставляється або на спеціальних дискетах, або на компакт-дисках, причому на перших дискеті чи компакт-диску завжди зна­ходиться програма встановлення SETUP.ЕХЕ (або INSTAL.ЕХЕ).

Процедура встановлення дає змогу програмними засобами автоматично розпакувати і переписати файли з дистрибутиву на жорсткий диск та відповідно зареєструвати програмний продукт для роботи у Windows.

Більшість програмістів і фірм забезпечує свої програмні продукти спеціальними текстовими файлами з іменем README ("Прочитай мене"). Призначення цього імені в тому, щоб привернути особливу увагу користувача до цього файлу. Звичайно в ньому міститься якась важлива інформація про програму: спосіб установ­лення, функції, особливості використання, адреса розробника тощо. Тому перед інсталяцією бажано знайти і прочитати подібний файл.

Після запуску програми інсталяції необхідно пройти процеду­ру, яка майже завжди має кілька стандартних кроків:

• введення імені користувача, назви організації та серійного номера програмного продукту;

• перевірка апаратних засобів системи: кількості опера­тивної пам'яті, вільного місця на дисках, підключених зовнішніх пристроїв тощо;

• конфігурація програмного продукту відповідно до вимог користувача та запис на жорсткий диск усіх програмних і службових файлів, необхідних для роботи програми в замовленій конфігурації. При цьому частина функцій програмного продукту може бути виключена;

• створення або модифікація файлів настроювання як системних (наприклад CONFIG.SYS), так і спеціалізованих файлів Windows (системного реєстру, файлів із розширенням.INI тощо).

На останньому кроці інсталяції часто пропонується виконати перезавантаження Windows, щоб нові параметри вступили в дію, і програмний продукт почав працювати коректно.

6. ВИКОРИСТАННЯ ЛОКАЛЬНИХ ОБЧИСЛЮВАЛЬНИХ МЕРЕЖ