Студенттік  вирустар – бұл жиі резиденттік емес және көп қателерден тұратын өте қарапайым вирустар.

    Stealth-вирустар  немесе көзге көрінбейтін вирустар өз бойында DOS-ң зақымдалған файлдарға немесе диск секторларына жүктемелерін ұстап алып, өз орнына ақпараттың зақымдалмаған бөліктерін «апарып қоятын» жетілген бағдарламаларды білдіреді. Сонымен бірге мұндай вирустар файлдарға жүгінгенде резиденттік антивирустік мониторларды алдай алатын жеткілікті өзіндік алгоритмдерді қолданады.   

    «Полиморфик» - вирустар — бұл сигнатурасы жоқ, яғни кодтың бірде-бір тұрақты бөлігінен тұрмайтын өте қиын айқындалатын вирустар. Көп жағдайда бірдей полиморфик-вирустардың екі үлгісі бір-біріне тура келе бермейді. Ол вирустың негізгі денесін шифрлеу мен шифрді шешуші бағдарламалардың көмегімен жетіледі. Кейбір вирустар (мысалы, «Eddie», «Murphy» тұқымының вирустары) нағыз көзге көрінбейтін вирустың функцияларының бір бөлігін қолданады. Бәрінен бұрын олар FindFirst және FindNext деген DOS функцияларын ұстап алады да, зақымдалған файлдардың көлемін «азайтады». Мұндай вирусты файл көлемінің өзгеруі бойынша анықтау мүмкін емес, егер де ол әрине жадыда резидентті орналасса. DOS-ң көрсетілген функцияларын қолданбай (мысалы, Norton Commander), каталогтарды сақтайтын секторлардың ішіндегісін тікелей пайдаланатын бағдарламалар зақымдалған файлдардың дұрыс ұзындығын көрсетеді.  

    Файлдық вирустар орындалатын файлдарға енеді. 

    Бүгінгі күні стандартты DOS-ң орындалатын объектілерінің барлық түрлерін зақымдайтын вирустар белгілі: командалық файлдар (BAT), жүктелінетін драйверлер (SYS, сонымен бірге арнайы файлдар IO.SYS және MSDOS.SYS) және орындалатын екілік файлдар (EXE, COM). Басқа операциялық жүйелердің (Windows95/NT, OS/2, Macintosh, UNIX) орындалатын файлдарын зақымдайтын вирустар да бар.

    Жүктемелі вирустар флоппи-дисктің жүктемелі (boot) секторын және boot-секторын немесе винчестердің Master Boot Record (MBR). 

    Дисктерді зақымдағанда жүктемелі вирустар өздерінің кодын жүйені жүктегенде басқаруға ие болатын қандай да бір бағдарламаның орнына «апарып қояды».

    Арнайы  вирустар БҚ нақты ерекшеліктеріне бағытталған, мысалы, Word редакторының құжаттарын зақымдайтын вирус.

    Жүйелік вирустар компьютерлік желі бойынша таралады.

    Мысалы, файлдарды да, дисктердің жүктемелі  секторларын  да зақымдайтын файлды-жүктемелі  вирустар деген сияқты тіркестер  де болады. Сонымен бірге желі бойынша  вирустардың кез келген түрлері  тарала алады.

    Макро-вирустар

    Макро-вирустар мәліметтерді өңдеудің кейбір жүйелерінде (мәтіндік редактор, электронды кестелер және т.б.) орнатылған тілдердегі бағдарламалар болып табылады. Мұндай вирустар өздерінің көбеюі үшін макро-тілдердің мүмкіндіктерін қолданады және олардың көмегімен өздерін бір зақымдалған файлдан (құжаттар немесе кестелер) басқасына алып өтеді. Microsoft Word, Excel және Microsoft Access үшін макро-вирустар – ең көп тарағандар.  

    Зақымдау  тәсілдері резиденттік және резиденттік емес болып бөлінеді.

    Резиденттік вирус компьютерді инфециялағанда оперативті жадыда  өзінің резиденттік бөлігін қалдырады. Резиденттік вирустар жадыда орналасады және компьютерді сөндіргенге шейін немесе қайта жүктегенге шейін белсенді болып қалады. 

    Резиденттік емес вирустар компьютердің жадысын  зақымдамайды және шектеулі уақыт белсенді болады. Кейбір вирустар оперативті жадыда вирусты таратпайтын кішкентай резиденттік бағдарламаларды қалдырады. Мұндай вирустар резиденттік емес болып саналады.

    Деструктивті  мүмкіндіктері  бойынша вирустарды бөлуге болады:

• қиянатсыз, компьютердің жұмысына ешқалай әсер етпейтін (өзінің таралуы нәтижесінде дисктегі бос жадыны азайтудан басқа);
• қауіпті емес, әсері дисктегі бос жадыны азайту мен графикалық, дыбыстық және т.б. әсерлермен шектелетін;
• қауіпті вирустар, компьютердің жұмысында қиын кедергілерге әкеліп соқтыратын;
• өте қауіпті вирустар, бағдарламалардың жоғалуына, мәліметтердің жойылуына, механизм бөліктерінің (мысалы, винчестердің басшалары) тез тозуына немесе зақымдалуына әкеліп соқтыратын.

    Люк – бұл әдіс жүйеде қорғаныс әдістерін айналып өтуге көмектесетін жасырын бағдарламалық немес аппараттық механизмнің пайдаланылуына негізделген. 

    Трояндық  бағдарламалар (Trojans) – зақымдайтын компьютерлерде пайдаланушыларға рұқсат етілмеген әрекеттерді орындайтын бағдарламалар, яғни қандай да бір шартқа байланысты дисктегі ақпаратты жояды, жүйенің «тұрып қалуына» әкеледі, жасырын ақпараттарды ұрлайды және т.б. Зиянды бағдарламалрдың бұл түрі вирус болып табылмайды (яғни басқа бағдарламаларды немесе мәліметтерді зақымдамайды); трояндық бағдарламалар компьютерге өз бетімен ене алмайды және қаскүнемдермен «пайдалы» бағдарламалық қамтамасыз ету түрінде таралады. Бұл жағдайда олардың келтіретін зияны дәстүрлі вирустық шабуылға қарағанда елеулі болуы мүмкін. 

    Тыңшы-бағдарламалар  (Spyware) – өздерінің рұқсатынсыз жеке алынған пайдаланушы немесе ұйым туралы мағлұматтарды жинайтын бағдарламалық қамтамасыз ету. Өзіңіздің компьютеріңізде тыңшы-бағдарламалардың барын аңғармауыңыз да мүмкін.  

    Алайда  берілген бағдарламалар ақпаратты  жинаумен шектелмейді, олар қауіпсіздіктің шынайы қаупін төндіреді. Gator және eZula деген екі белгілі бағдарламалар қаскүнемдерге тек ақпаратты жинауға ғана емес, сонымен бірге бөтен компьютерді басқаруға мүкіндік береді. 

    Жарнама-бағдарламалар (Adware) – жарнамалық хабарландыруларды көрсету мақсатымен пайдаланушының рұқсатынсыз бағдарламалық қамтамасыз етуге қосылған бағдарламалық код. Ереже бойынша, жарнама-бағдарламалар тегін таралатын бағдарламалық қамтамасыз етуге орнатылады. Жарнама жұмыс интерфейсінде орналасады.

    "Логикалық бомба" деп әдетте анықталған шартты орындағанда кейбір функцияны жүзеге асыратын бағдарламаны немесе бағдарламадағы код бөлігін айтады. Сонымен бірге бәрінен бұрын бомбаның орындалуы жүйеде күннің – «сағаттық» бомбалар деп аталатындардың орнатылуына тәуелді болады.   

   Ұсынылатын  әдебиеттер:

1. Безруков Н.Н. Компьютерная вирусология / Справочное руководство/.- К.: УРЕ, 1991.
2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. и доп. - М.: Радио и связь, 2001. - 376 с.: ил.
3. Защита программного обеспечения: Пер. с англ./Д.Гроувер, Р.Сатер, Дж.Фипс и др./Под редакцией Д.Гроувера.-М.:Мир,1992.-286 с ил.
4. Защита информации в вычислительных системах. /Сборник.- М.: Знание,1982.

 

   СДЖ арналған бақылау тапсырмалары (тақырып 7) [1, 2, 3, 4, 7]

1. Компьютерлік вирус дегеніміз?
2. Компьютерлік вирустардың өмірлік айналымының кезеңдері.
3. Компьютерлік вирустардың өмір сүру ортасы бойынша таптастырылуы.
4. Компьютерлік вирустардың зақымдау тәсілі бойынша таптастырылуы.
5. Компьютерлік вирустардың деструктивті мүмкіндіктері бойынша таптастырылуы.
6. Компьютерлік вирустардың жұмыс алгоритмі бойынша таптастырылуы.
7. Жүктемелі вирустар. Функциялану алгоритмі.
8. Файлдық вирустар. Функциялану алгоритмі.
9. Макро-вирустар. Функциялану алгоритмі.
10. Резиденттік вирустар. Функциялану алгоритмі.

 

   8-тақырып.  Компьютерлік желілердегі ақпараттың қауіпсіздік мәселелері. Компьютерлік желілерде ақпартты қорғаудың ұйымдастырушылық тәсілдері. (2 сағат)

Дәрістің  жоспары:

1. Желілік қауіпсіздік. Шабуылды желілік компоненттер.
2. Серверлер.
3. Жұмыс станциялары.
4. Ақпартты тарату ортасы.
5. Желілердің коммутация түйіндері.

 

    Желілік қауіпсіздік. Шабуылды желілік компоненттер.

    Серверлер 
Серверлер ақпаратты сақтау үшін немесе қызметтердің белгілі бір түрін ұсыну үшін арналған. Осыған байланысты, серверлерге қарсы шабуылдардың негізгі түрлеріне «сервисте қабыл алмау» және құпия ақпаратты ашу әрекеттері жатады. 

    Жұмыс станциялары

Қаскүнемнің жұмыс станцияларына қатысты  негізгі мақсатына олардың қатты  дискілерінде локальді сақталған ақпаратты  алу, немесе пернетақта буферін көшіріп  алу жолымен опертордың көмегімен  енгізілетін парольдерді алу жатады. 

    Ақпартты тарату ортасы

Ақпаратты таратудың әр түрлі орталары (эфирлік, кабельдік) қаскүнемнен оларды естіп  отыру үшін әр түрлі шығындарды талап  етеді.

    Желілердің коммутация түйіндері

Желілердің  коммутация түйіндеріне шабуылдар  әдетте екі мақсатта жүреді: не желінің  тұтастығын бұзу («сервисте қабыл  алмаушылық»), не трафикті қаскүнемге тиімді дұрыс емес жолмен қайта бағыттау. 

    Серверлер

    Кез келген ақпараттық желілердің негізгі  компоненттеріне серверлер және жұмыс станциялары жатады. Серверлер  ақпараттық немесе есептеуіш қорларын ұсынады, жұмыс станцияларында персонал жұмыс істейді. Шындығында желідегі кез келген ЭЕМ бір уақытта сервер де , жұмыс станциясы да бола алады – бұл жағдайда серверлерге де, жұмыс станцияларына да арналған шабуылдар қолданылады.

    Серверлердің  негізгі міндеттеріне ақпартқа рұқсатты ұсыну мен сақтау және сервистердің кейбір түрлері жатады. Сондықтан қаскүнемдердің барлық мүмкін мақсаттарын былайша таптастыруға болады:

• ақпаратқа рұқсатты алу,
• қызметтерге рұқсат етілмеген енуді алу,

• қызметтердің анықталған класын жұмыс тәртібінен шығару әрекеті,
• қандай да бір аса ірі шабуылдың көмекші кезеңі ретінде ақпаратты немесе қызметтерді өзгерту әрекеті.

    Ал  сервистерді істен шығару мәселесі (қалыпты функциялануды бұзу) қазіргі  компьютерлік әлемде аса өзекті. Мұндай шабуылдардың класы «сервисте қабыл  алмаушылық» (ағыл. deny of service – DoS ) шабуылы деген атқа ие болды. «Сервисте қабыл алмаушылық» шабуылы OSI  моделінің деңгейлерінің бүтін диапазонында жүзеге асырылуы мүмкін: физикалық, каналдық, желілік, сеанстық.

    Ақпараттың  немесе қызметтердің аса ірі масштабты  шабуылдың бөлігі ретінде өзгеруі серверлерді қорғауда өте маңызды мәселе болып табылады. Егер серверде пайдаланушылардың парольдері немесе қаскүнемдерге оларды өзгерте отырып жүйеге (мысалы, кілттердің сертификаты) кіруге рұқсат ететін қандай да бір мәліметтер сақталса, онда әрине жүйеге шабуылдың өзі осындай сияқты серверге шабуылдан басталады. Модификацияға аса жиі ұшырайтын қызметтер сервері ретінде DNS-серверін атаған жөн.

    DNS-қызметі  (ағыл. Domain Name System – домендік аттардың  қызметі) Intra- және Inter- Net желілерінде “айтылатын” және жеңіл есте сақталатын домендік аттарды (мысалы, www.intel.com немесе mail.metacom.ru) олардың ІР-адрестеріне салыстыруға жауап береді.

    Жұмыс станциясы

    Жұмыс станциясының шабуылының негізгі мақсаты  болып, әрине, не өзінде локальді сақталатын, не өңделетін мәліметтерді алу болып табылады.  Ал осындай шабуылдардың негізігі тәсіліне қазіргі уақытқа дейін «трояндық» бағдарламалар жатады. Бұл бағдарламалар өз құрылымы бойынша компьютерлік вирустардан ешқандай ерекшелігі жоқ, бірақ ЭЕМ-ға түскенде өздерін көзге түсірмеуге тырысады. Сонымен бірге олар берілген трояндық бағдарламамен жұмыс істеу протоколын білетін кез келген бөтен адамға ЭЕМ-да жоюлы түрде кез келген әрекеттерді орындауға рұқсат етеді. Яғни, берілген бағдарламалардың жұмыстарының негізгі мақсаты болып станцияның желілік қорғанысының жүйесін ішінен бұзу болып табылады.

    Трояндық  бағдарламалармен  күресу үшін әдетегі  антивирустік БҚ сияқты тек соларға  ғана бағытталған бірнеше ерекше әдістер де қолданылады. Бірінші  әдіске қатысты компьютерлік вирустардағыдай антивирустік БҚ  ел бойынша кең таралған және зақымдаудың көптеген жағдайлары болған вирустардың үлкен санын табатынын білу қажет. Вирус немесе трояндық бағдарлама тек Сіздің ЭЕМ-ға немесе корпоративті желіге енуге рұқсатты алу мақсатымен жазылатын жағдайларда ол 90% ықтималдықпен стандартты антивирустік БҚ-мен анықталмайды.