Автор: Пользователь скрыл имя, 02 Марта 2013 в 07:03, доклад
Стелс-вирусы - это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы.
ТРОЯНСКИЕ кони
Троянскими конями называются
вирусы, прячущиеся в файлах данных
(например, сжатых файлах или документах).
Чтобы избежать обнаружения, некоторые
разновидности троянских коней
прячутся и в исполняемых файлах.
Таким образом, эта программа
может располагаться и в
ПОЛИМОРФНЫЕ ВИРУСЫ
Полиморфные вирусы - это
вирусы, которые зашифровывают свое
тело и благодаря этому могут
избежать обнаружения путем проверки
сигнатуры вируса. Прежде чем приступить
к работе, такой вирус расшифровывает
себя с помощью специальной
СТЕЛС-ВИРУСЫ
Стелс-вирусы - это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы.
МЕДЛЕННЫЕ ВИРУСЫ
Медленные вирусы очень трудно обнаружить, так как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой исполняемый файл, причем делает это в тот момент, когда пользователь выполняет некоторые операции с этим файлом.Обнаружение медленных вирусов - это достаточно сложный процесс. Хранитель целостности должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Хранитель целостности - это антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вычислить новую контрольную сумму для нового (инфицированного) файла.
РЕТРО-ВИРУСЫ
Ретро-вирус - это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. (Не спутайте анти-антивирусы с анти-вирус-вирусами - вирусами, созданными для уничтожения других вирусов.) Создание ретро-вируса является относительно несложной задачей. В конце концов, создатели вирусов обладают доступом ко всем антивирусным программам. Приобретая такую программу, они изучают ее работу, находят бреши в обороне и после этого создают вирус на основе обнаруженных просчетов. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретровирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов
СОСТАВНЫЕ ВИРУСЫ
Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске. Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении машины вирус активизируется и будет заражать все запущенные программы.
ВООРУЖЕННЫЕ ВИРУСЫ
Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты "пустышкой". Это - код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.
ВИРУСЫ-КОМПАНЬОНЫ
Свое название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.
ВИРУСЫ-ФАГИ
Последним классическим типом вирусов являются вирусы-фаги. Вирус-фаг - это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги - это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.
И СНОВА ЧЕРВИ
Как уже говорилось, червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одной машины к другой. Я уже рассказывал о том, что черви копируют себя на другие компьютеры с помощью протоколов и систем, описанных во второй главе. Удаленное воспроизведение необходимо, так как после остановки машины пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. В 1988 году такими возможностями обладала только одна операционная система - Unix.
ФАЙЛОВЫЕ ВИРУСЫ
Файловым вирусом может быть троянский конь, вооруженный вирус, стелс-вирус и некоторые другие. Файловые вирусы опасны для данных, хранящихся на сервере, одноранговых сетей и, в какой-то степени, Internet. Далее приводятся три пути заражения сетевого сервера: Копирование (пользователем или администратором) зараженных файлов прямо на сервер. После этого вирус, расположившийся в файле, начнет заражать все остальные файлы.Выполнение файлового вируса на рабочей станции может заразить сеть. После своего запуска вирус сможет заразить любое приложение, хранимое на сервере. Если же вирус сумеет проникнуть в какой-либо файл, расположенный на сервере, то он сможет заразить и все машины в сети. Выполнение резидентного вируса на рабочей станции может вызвать заражение всей сети. После своего запуска резидентный вирус может получить информацию о передаваемых данных и скопировать себя на сервер, не обладая при этом прямым доступом к расположенной на сервере информации.
МАКРОВИРУСЫ
Как уже говорилось, макровирусы - это один из наиболее опасных типов компьютерных вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность "компьютерных инфекций", способных перемещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых гораздо больше.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом макровирус может попадать на другие машины вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров. Главное, чтобы на машине была нужная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.
"МНИМЫЕ" ВИРУСЫ
В Internet существует огромное количество предупреждений о вирусах. Большая часть этих предупреждений относится к настоящим компьютерным вирусам и является чуть ли не единственным источником информации о действии вирусов. С их помощью вы сможете сэкономить время и защитить свои данные от разрушения. Однако есть и такие люди, которые любят поразвлечься, хотя и довольно своеобразно. Эти "шутники" занимаются тем, что распространяют в Internet сообщения о "мнимых" вирусах, т. е. вирусах, которых на самом деле не существует в природе. Эти сообщения не только раздражают пользователей, но и представляют некоторую опасность. Вообразите не очень опытного пользователя, встретившего подобное сообщение о "сверхмогучем" компьютерном вирусе. Кроме того, можно потратить огромное количество времени на изучение нового "мнимого" вируса, пропустив при этом информацию о настоящих. В следующих разделах я расскажу о наиболее известных "пустышках".
ВИРУС IRINA
Сообщение о вирусе Irina появилось несколько лет назад. Идея этого сообще-ния принадлежит главе одного из электронных издательств. Он посчитал, что это создаст дополнительную рекламу интерактивной книге с таким же названием. В первоначальном сообщении электронной почты, подписанном вымышленным профессором Эдвардом Прайдоксом (Edward Prideaux) Лондонского колледжа славянских языков, указывалось, что вирус передается в электронных сообщениях, у которых в строке темы сообщения стоит слово Irina. Встретивший такое сообщение должен был немедленно удалить его, иначе вирус уничтожит все данные," размещенные на жестком диске машины. Кроме того, автор сообщения просил получателей сообщения о вирусе "быть очень осторожными" и просил их передать это предупреждение остальным пользователям. Предупреждение о вирусе Irina быстро обошло весь мир. Однако я с полной уверенностью заверяю вас, что такого вируса нет и никогда не было.
ВИРУС GOOD TIMES
С сентября 1994 года в Internet циркулируют предупреждения о вирусе Good Times. Несмотря на то что описываемое в предупреждении поведение вируса, попросту говоря, фантастично, многие продолжают верить в его существование и размножать сообщение о нем. Например, в этом сообщении указывается, что вирус Good Times может "заражать машины и без передачи каких-либо программ". Кроме того, "если программа не будет остановлена, то процессор будет разрушен с помощью использования бесконечного цикла л-ой степени сложности". Здесь я позволю себе заметить, что создатели процессоров разработали их таким образом, чтобы они могли выполнять огромное количество повторений одних и тех же операций (циклов). Кроме того, ни в математике, ни в программировании не существует такого понятия, как бесконечный цикл я-ой степени сложности. Но оказывается, это еще не все. Дело в том, что, со слов того же профессора Эдварда, "федеральная комиссия по коммуникациям столь обеспокоена вирусом Good Times, что разослала формальное предупреждение всем пользователям персональных компьютеров страны". На самом же деле эта комиссия никогда не издавала и не будет издавать никаких сообщений о вирусах просто потому, что это не входит в круг ее обязанностей.
Кроме того, я позволю себе здесь упомянуть о "мнимых" вирусах Deeyenda, Ghost.exe, Penpal Greetings! и Naughty Robot. И это далеко не полный список!
КОГДА ШУТКА ПЕРЕСТАЕТ БЫТЬ ПРОСТО ШУТКОЙ, ИЛИ AOL4FREE.COM
Один из наиболее известных "мнимых" вирусов - это троянский конь aol4free.com. Согласно сообщению, эта программа предлагает пользователям бесплатный доступ к службе America Online, а на самом деле уничтожает содержимое жесткого диска. По иронии судьбы, теперь, когда большая часть сообщества Internet уже знает о том, что такого вируса нет, а сообщение - это просто чья-то злая шутка, некоторые создатели вирусов и вправду создали троянского коня с именем aol4free.com. Этот вирус также предлагает бесплатный доступ к службе America Online, a (согласно сообщению) вместо этого удаляет содержимое жесткого диска. (Для этого он использует команду DELTREE.) На самом деле жесткий диск все еще будет содержать данные после проведения подобной атаки - вирус удаляет только элементы каталогов. Их можно восстановить с помощью любой удобной вам утилиты, вроде тех, что входят в пакеты Norton Utilities или Mace Utilities. Для получения более подробной информации о вирусе aol4free.com ознакомьтесь со специальным бюллетенем, опубликованным CIAC 17 апреля 1997 года.
КАК ЗАЩИТИТЬСЯ от ВИРУСОВ
Чтобы защитить свою сеть
от вирусов, проделывайте с приходящими
данными следующие три
Рейтинг антивирусов
апрель 2011
VB100 |
AV Test |
PC Antivirus Reviews |
AV-Compa- ratives |
Dev Duff |
Antivirus Ware |
Комплексная экспертная оценка |
Рейтинг | |
BitDefender |
10 |
10 |
9 |
4 |
10 |
5 |
48 |
1 |
Symantec |
10 |
9 |
6 |
9 |
10 |
44 |
2 | |
F-Secure |
10 |
10 |
7 |
8 |
4 |
39 |
3 - 4 | |
Kaspersky |
10 |
8 |
8 |
1 |
6 |
6 |
39 |
3 - 4 |
Eset |
10 |
5 |
3 |
7 |
9 |
34 |
5 | |
GDATA |
10 |
8 |
10 |
1 |
3 |
32 |
6 | |
Avast |
10 |
3 |
8 |
8 |
29 |
7 | ||
Panda |
8 |
7 |
7 |
4 |
26 |
8 | ||
Avira |
10 |
3 |
3 |
7 |
23 |
9 | ||
AVG (Grisoft) |
10 |
7 |
3 |
20 |
10 | |||
Webroot |
10 |
6 |
2 |
18 |
11 | |||
eScan |
10 |
3 |
2 |
1 |
1 |
17 |
12 | |
BullGuard |
10 |
6 |
16 |
13 - 15 | ||||
McAfee |
10 |
1 |
5 |
16 |
13 - 15 | |||
Sophos |
10 |
6 |
16 |
13 - 15 | ||||
Microsoft |
10 |
3 |
13 |
16 -17 | ||||
Trend Micro |
5 |
3 |
5 |
13 |
16 -17 | |||
Zone Alarm |
10 |
2 |
12 |
18 | ||||
Agnitum Outpost |
10 |
1 |
11 |
19 | ||||
AhnLab |
10 |
10 |
20 |