Kompiuteriniai virusai Antivirusins programos IT mokytoja Jolita Kuliukien

Kompiuteriniai virusai. Antivirusinės programos. IT mokytoja Jolita Kuliukienė

Virusas Kompiuterinis virusas - tai speciali nedidelės apimties programa, turinti automatinį auginimosi maskavimosi mechanizmą ir galinti kompiuteryje atlikti nepageidaujamus veiksmus.

Programiniu požiūriu virusas – tai kompiuterinis kodas, kuris pažeidžia kurias nors programas. Paprastai kompiuterių virusas tai padaro, įtraukdamas į šias programas savo programos kodą. Virusas dauginasi ir prisijungęs prie kurių nors programų ar bylų – šitaip pasislėpęs keliauja iš vienos vietos į kitą, nuo vieno kompiuterio prie kito. Terminą „kompiuterinis virusas“ pirmą kartą pavartojo amerikiečių mokslininkas Fredas Kojenas (Fred Cohen) 1984 m. vienoje iš tarptautinių konferencijų.

Virusų istorija o o Pirmą kartą (1949 m. ) programos - viruso, t. y. kompiuterinės programos, galinčios pasidauginti, modelį pateikė ir Džonas fon Noimanas (John fon Neumann). Pirma programa, kuri turėjo kompiuterinio viruso bruožų, buvo žaidimas „Darwin“, kurį 6 -ajame dešimtmetyje sukūrė kompanijos Bell Laboratories darbuotojas M. Duglas Makilroi. Yra žinoma, kad pirmosios virusų pobūdžio programos buvo kuriamos (kaip įdomus uždavinys) dar XX a. 7 -ajame dešimtmetyje. Pirmas virusas, plitęs per diskų įkrovos sektorius buvo 8 -ojo dešimtmečio viduryje sukurtas „Hipboot“. Šis virusas plito Data General „Nova“ kompiuteriuose ir buvo skirtas programinės įrangos atnaujinimui. Pirmoji nekontroliuojamai besidauginusi žalinga programa (kirminas) buvo sukurta Xerox Palo Alto laboratorijose 1980 m. Ši programa buvo skirta naudingam kompiuterių panaudojimui prastovų metu, tačiau nebuvo įvertinta galima jos žala. Pirmas žinomas „laukinis“ virusas (plitęs tarp paprastų kompiuterių) buvo 1981 Apple II kompiuterių virusas „Elk cloner“. Jį 1982 m. parašė Rich Skrenta. Šis virusas plito lanksčiais diskeliais. Virusas užkrėsdavo Apple DOS 3. 3 operacinę sistemą ir kiekvieną kartą užkraunant kompiuterį iš diskelio virusas pasileisdavo. Jis netrukdė dirbti su kompiuteriu, tik stebėdavo sistemos darbą su diskais užkrėsdamas kiekvieną, dar neužkrėstą, diskelį. Virusas nepadarydavo didesnės žalos (nors manoma, jog jis galėjo gadinti diskelius, kuriuose būdavo kita operacinė sistema), tik kas penkiasdešimtą sistemos įkrovą pateikdavo poemą. Didelis susidomėjimas virusais (užkrečiančiais kitas programas) kilo, sukūrus virtualių mašinų programavimo žaidimą, 1983 metais išspausdintą Scientific American žurnale. Įvairios šio žaidimo versijos programuotojų tarpe gana populiarios iki šiol. Pirmas įprastus kompiuterius užkrečiantis ir smarkiai paplitęs virusas „Brain“ buvo sukurtas 1986 Pakistane. Šio viruso kūrėjai apkrėstų kompiuterių savininkams siūlė komercines viruso išnaikinimo paslaugas. Vėliau virusus ėmė kurti programuotojai, susidomėję uždavinio sudėtingumu bei netrivialiu programavimu. 1999 metais, Internete pasirodžius Melissa kirminui (dar žinomam, kaip „lamerių virusas“), buvo įsitikinta, kad besidauginančias programas gali rašyti net labai prastos kvalifikacijos programuotojai, virusų kūrimas tapo neprestižiniu uždaviniu. Šiuo metu pilnaverčiai virusai yra gana menkai paplitę, dažniausiai pasitaiko paprastesni kirminai.

Virusų rūšys Specialistai virusus klasifikuoja pagal įvairius požymius: o veikimo būdą, o kenksmingumo lygį, o užkrėtimo pobūdį.

Pagal veikimo būdą bei viruso algoritmo ypatybes kompiuterių virusai skirstomi į: o o o o tikruosius virusus, kirminus, logines bombas, laiko bombas, Trojos arklius, nematomus virusus.

Pagal kenksmingumo lygį kompiuterių virusai skirstomi į: o nepavojingus (kai kompiuterio darbui tiesiogiai nekenkia, tačiau išveda įvairius pranešimus, erzina garsais ir pan. ), o pavojingus (kai iš dalies sutrikdomas kompiuterio darbas); o labai pavojingus (kai sunaikinami kompiuteryje esantys duomenys, programos).

Pagal užkrėtimo pabūdį kompiuterių virusai skirstomi į: o virusai, keliaujantys kartu su bylomis, o netikrieji virusai, o kenkėjiškos Java, Java. Script, Active. X programėlės.

Pirmosios grupės virusai patys plisti negali. Išplatinti tokį virusą gali tik vartotojas, pateikęs užkrėstą bylą. Antrosios grups kompiuteriu virusai idomus tuo, kad dažniausiai jie neegzistuoja ir net negali egzistuoti. Kenkia ne virusai, o pranešimai apie juos. Intensyvjant darbui internete kai kurie draugai nori perspti apie pasirodžiusius naujus virusus ir siuncia ispjamuosius elektroninius laiškus. Kiti sumano papokštauti ir siuncia laiškus be jokio reikalo. Paprastai tokiu laišku pabaigoje buna prašoma persiusti juos kitiems asmenims. Isivaizduokite, kaip butu apkrautas kompiuteriu tinklas, jeigu visi vykdytu šiuos prašymus!

Trumpai apie virusus: Failų užkrato tipo virusas užkrečia vykdomuosius programų failus, prikabindami savo kodą prie failų, turinčių. com arba. exe išplėtimą, kartais užkrečiami ir. sys, . ovl, . prg arba. mnu tipo failai. Todėl kiekvienąkart, startuojant infekuotą programą, startuoja ir virusas, kuris vėliau savo kodą prijungia prie kitų programų. Šie virusai plinta perkeliant infekuotas programas iš vieno kompiuterio į kitą (dažniausiai tai būna kompiuteriniai žaidimai).

Sisteminių sričių užkrato tipo virusai savo kodą talpina sisteminėse disko srityse, dažniausiai įsiskverbdami i DOS vykdomąjį sektorių disketėje arba vykdomojo kieto disko dalyje. Startuojant iš užkrėsto diskelio, užkrovimo metu stratavęs virusas užkrečia kompiuterio kietą diską ir kito kompiuterio užkrovimo metu jau stengiasi užkrėsti visus į kompiuterį įdėtus diskelius. Dabar šie virusai atsinaujino ir užkrečia nešiojamas laikmenas.

Makrokomandiniai virusai - populiariausi šiuo metu virusai. Jie "prisikabina" prie Microsoft Word ar Exel programų šablonų taip, kad visi naujai sukurti dokumentai jau turėtų savyje viruso kodą ir virusas, startavęs kitame kompiuteryje atidarant dokumentą, galėtų atlikti šabloninių failų paiešką ir infekavimą. Komandą, padauginančią virusą, dažniausiai paleidžia makrokomanda, automatiškai startuojanti atidarant ar uždarant failą ar pačią programą. Virusas nukopijuoja savo makrokomandas į kitą failą (dažniausiai "Normal. dot" šabloną), kurį "Word" pakrauna su kiekvienu failu. Dauguma virusų, išsaugotų "Normal. dot" faile, nusikopijuoja į kiekvieną sukuriamą ar atidaromą failą.

Kirminas yra sukurtas pasidauginti iš vieno kompiuterio į kitą ir daro tai automatiškai, užvaldydamas kompiuterio funkcijas, kurios gali perkelti failus ar informaciją. Kai kirminas patenka į sistemą, jis gali keliauti savarankiškai. Didžiausias jų keliamas pavojus yra jų sugebėjimas dauginti dideliais kiekiais. Kirminas gali išsiuntinėti savo kopijas visais jūsų adresų dėžutėje saugomais adresais. Gavėjų kompiuteriai pasielgs analogiškai, apkraudami tinklą ir sulėtindami verslo tinklų ir apskritai interneto veikimą. Kai į internetą paleidžiami nauji kirminai, jie dauginasi labai greitai, užkimšdami tinklus ir vartotojus laukti, kol interneto naršyklė atidarys tinklapį, dvigubai ilgiau.

Trojos arklys - kompiuterinė programa, kuri atrodo naudinga, tačiau iš tiesų kenkia kompiuteriui. Trojos arklys veikia tuo pačiu principu, kaip ir mitologijoje minimas Trojos arklys, kuris atrodė kaip auka dievams, bet iš tikrųjų leido į miestą patekti ir jį užimti graikų kareiviams: tai kompiuterinės programos, kurios atrodo kaip naudingos programos, bet iš tiesų kelia grėsmę jūsų saugumui ir gali padaryti daug žalos jūsų kompiuteriui. Trojos arkliai dauginasi, kai žmonės yra suviliojami atidaryti programą, nes jie tiki, kad ji buvo pateikta iš patikimo šaltinio.

Kompiuterinio viruso CIH pavadinimas yra taivaniečio Chen Ing Hau vardo inicialai. Šis virusas plačiai žinomas ir Černobilio viruso vardu, nes aktyvuojasi kiekvienų metų balandžio 26 dieną, t. y. tuomet, kai įvyko Černobilio tragedija. Kita vertus, vargu ar viruso autorius norėjo susieti virusą su Černobiliu – gali būti, jog jis tiesiog nusprendė taip pažymėti savo gimtadienį, kuris sutampa su Černobilio katastrofos diena. Bet. . . nedaugelis tuo metu turbūt pažinojo Chen Ing Hau. Pirmą kartą virusas buvo aptiktas 1998 m. birželio 2 d. Jis greitai paplito po visą pasaulį. Manoma, jog prie spartaus viruso plitimo prisidėjo programinės įrangos piratai, kurie platino užkrėstas programas. Pvz. sklido gandas, jog platinama laužta (PWAcracked) Windows 98 operacinės sistemos versija taip pat buvo užkrėsta virusu. Nors kai kas tame įžvelgia antipiratinę propogandą, tai visai galimas dalykas, nes virusas buvo platinamas ir kartu su legalia programine įranga. Rugpjūčio mėnesį Origin Systems platino užkrėstą žaidimo Wing commander atnaujinimą. Rugsėjo mėnesį Yamaha teikė užkrėstas tvarkykles savo CD-R 400 įrenginiams. Spalio mėnesį vartotojai dalinosi užkrėsta Activision žaidimo Si. N demonstracine versija. Ir tai tėra žinomesni atvejai. Pirmoji šio viruso ataka užklupo nepasiruošusius žmones 1999 m. balandžio 26 d. Ji atnešė dideles netektis tiek firmoms, tiek žmonėms, nes virusas pasižymėjo didele naikinimąja galia. Kitais metais jis nemažai žalos padarė Azijoje, tačiau likusioje pasaulio dalyje šis virusas jau nebebuvo plačiai paplitęs. Vėliau šis virusas buvo modifikuojamas kitų virusų kūrėjo, bet jo modifikacijos taip pat nebuvo tokios kenksmigos. Kartais kūrėjai savo virusuose tiesiog panaudodavo destruktyvų CIH atakos kodą. Šiuo metu CIH virusas nėra paplitęs, ką iš dalies įtakojo tai, kad jis nepritaikytas šiuo metu paplitusioms Windows. NT, Windows 2000 ir Windows. XP operacinėms sistemoms. Virusas plinta užkrėsdamas PE formato Windows 95, Windows 98 ir Windows. ME operacinių sistemų vykdomuosius failus. PE formato failuose programinis kodas yra suskirstytas į segmentus (atitinkamo dydžio porcijas). Savaime suprantama, ne visi segmentai užpildomi pilnai programinio kodo, tad CIH virusas naudodavosi tuo užpildydamas nišas savuoju kodu (žr. viruso infekcijos schema žemiau). Tuo būdu virusas, kurio bendra apimtis yra apie 1 kilobaitas nepadidindavo failo dydžio. Dėl šios priežasties CIH virusas gavo dar vieną vardą – spacefiller (užpildantis tuščią vietą). Tokia galimybė buvo žinoma ir anksčiau, tačiau virusų gamintojai neskubėjo tuo naudotis, nes nėra labai paprasta programiškai skaidyti kodą į segmentus ir jį surinkinėti aktyvuojantis. Virusas naudodavo tam tikras gudrybes, kad pereiti iš trečio į nulinį apginto režimo ratą, kas leisdavo jam perimti sistemos kontrolę (t. y. perimti sisteminius kreipinius). Ataka yra ypatingai pavojinga, nes ji perrašinėja šiukšlėmis diską pradedant nuliniu (sisteminiu) sektoriumi. Sistema pakibdavo, o diske esantys duomenys būdavo sunaikinami. Siekiant atstatyti ypatingai svarbius duomenis diskai galėjo būti siunčiami gamintojams arba informacijos atstatymu užsiimančioms įmonėms, tuo tarpu daugelis paprastų vartotojų galėjo tenkintis nemokama Steve Gibson programa Fix_CIH, bei keletu kitų (pvz. populiari programa buvo TIRAMISU). Visgi – dažniausiai duomenys jau nebebūdavo pilnai atstatomi. Virusas ypatingas ir tuo, kad jis atakuodavo ne tik diską, bet ir BIOS‘ą pilnai jį perrašydamas. Laimė, tai funcionavo tik kompiuteriuose su INTEL 430 TX mikroschemų rinkiniu (taip vadinamu čipsetu). Pastaruoju atveju kompiuteris neįsijungdavo, o mikroschemą (kurioje saugoma BIOS) tekdavo pakeisti arba perprogramuoti. Virusas, kurio kodą atskleidė ir pats autorius, plačiai išnagrinėtas, o tyrinėtojai žingeidumo tikslais jo kodą rasti internete. Įdomus ir tolesnis autoriaus likimas. Atrodytų, jog žmogus atnešęs sunkiai įsivaizduojamą žalą, turėtų būti griežtai nuteistas, tačiau dėl Taivano teisinės sistemos tik po kurio laiko buvo patrauktas į baudžiamąją atsakomybę. Bylinėjimasis vis dar tęsiasi. Įdomu ir tai, jog po viruso kūrėjo radimo apie 20 kompanijų pasiūlė jam darbą. Varžymasi laimėjo Wahoo International Enterprise, kurioje Chen Ing Hau tapo techninės įrangos testuotoju. Beje, paklaustas dėl ko parašė šį virusą, Chen Ing Hau atsakė, jog tokiu būdu jis protestavo prieš antivirusinę programinę įrangą, dėl kurios neveiksnumo jis pats nukentėjo.

Antivirusinių programų atsiradimas Pagrindinė apsaugos nuo kompiuterių virusų priemonė yra antivirusinės programos. Neužtenka vien tik naikinti jau atsiradusius virusus, tačiau reikia užkirsti virusams kelią prieš jiems patenkant į kompiuterį. Tad kartu su naudojamais apsaugos skydais (firewall) būtina pasitelkti antivirusines programas, kurios filtruoja informaciją, apriboja kitų programų veikimą, nustato programų rėžimus ir t. t. Nors įvairių, daugiausia mėgėjiškų bandymų būta ir anksčiau, 1988 -1989 metais pasirodė pirmosios komercinės antivirusinės programos - „Doctors Solomon's Anti-virus Toolkit“ ir „IBM Antivirus“. 1990 m. pasirodė pirmasis polimorfinis - savo formą keičiantis - virusas „Chameleon“. Tačiau pirmasis populiarus tokio tipo virusas yra „Tequilla“, sukėlęs tikrą sumaištį 1991 aisiais. Per šiuos metus, vartotojų susidūrusių su virusais išaugo nuo 9 iki 63 procentų. Taigi visai nenuostabu, jog antivirusinių programų kūrimo ėmėsi vis daugiau kompanijų - būtent šiais metais pasirodė „Norton Anti. Virus“ ir daugybė kitų antivirusinių programų.

Antivirusinių programų tipai Programos - detektoriai (skeneriai). Jos suteikia galimybę rasti failus, kurie užkrėsti kokiu nors žinomu(ais) virusu(ais). Detektoriai tik aptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagal parašą, t. y. , pagal jam būdingų baitų kombinaciją. Todėl šiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžia aptinkamų virusų rūšis ir jų skaičių. Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turi užkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais, reikia jas reguliariai atnaujinti. Programos - daktarai. Tai antivirusinės programos, ne tik aptinkančios virusus, bet ir išgydančios nuo jų, t. y. atliekančios priešingus veiksmus nei atliko virusas, užkrėsdamas kompiuterį. Jos iš užkrėstos programos ar disko išmeta virusą ir grąžina programą į tą būseną, kuri buvo prieš užsikrečiant. Failai, kurių nepasiseka grąžinti, paprastai daromi neveikliais (nedarbingais) arba išmetami. Programų - daktarų pagrindiniai trūkumai: gydant kai kuriuos virusus, gali būti sugadinta programa ar palikti viruso fragmentai, kai kurie virusai gali būti klaidingai atpažinti ir tada blogai išgydoma. Programos - revizoriai. Jos naudojamos atliekant ankstyvąją viruso diagnostiką, revizoriai atsimena duomenis apie programų ir diskų sisteminių sričių būklę ir po to ją gali lyginti su tam tikru momentu esančia būkle. Jei randamas neatitikimas, apie tai pranešama vartotojui. Tai suteikia galimybę nustatyti užsikrėtimą virusu iki tol, kol jis dar nepadarė didelių nuostolių.

Automatinis virusų aptikimas Visos geros antivirusinės programos turi veikti automatinio virusų aptikimų režimu. Tai reiškia, kad programa veikia visą laiką ir automatiškai nuskanuoja failus, kai juos atsisiunčiate, atidarote, kopijuojate ar vykdote. Šią funkciją galima išjungti, tokiu atveju, kiekvieną kartą atidarant failą, reikia rankiniu būdu patikrinti, ar jame nėra virusų. Šios funkcijos išjungti nerekomenduojama. Kur kas saugiau, kai antivirusinė programa veikia automatinio virusų aptikimo režimu. Taip pat nereiktų pamiršti, kad antivirusinvės programos turi būti nuolat atnaujinamos, kad jų žinomų virusų duomenų bazės atsinaujintų ir jų darbas būtų efektyvesnis.

Populiariausios antivirusinės programos Kaspersky Anti-Virus Norton Anti-Virus Avira Anti. Vir Panda Antivirus Eset Nod 32 AVG

Kompiuterių virusai taikosi į mobiliąsias atmintines Antivirusinės programinės įrangos gamintojo ESET duomenimis, rupjūčio mėnesį pavojingiausi buvo per USB atmintines, atminties korteles ir kitas mobiliąsias duomenų laikmenas plintantys kompiuterių virusai – šiuo būdu plito keturi iš dešimties pavojingiausių kenkėjų. Pavojingiausių virusų dešimtukas sudaromas remiantis unikalios grėsmių stebėjimo sistemos „Threat. Sense. Net“ duomenis. „Mobiliosios informacijos laikmenos sparčiai populiarėja – dažnas turime USB atmintinę, naudojame atminties korteles, skaitmeninius fotoaparatus ir kitą įrangą su vidine atmintimi. Ją jungiame prie savo ir kolegų, bičiulių kompiuterių. Tuo virusų kūrėjai ir naudojasi – prijungus atmintinę aktyvuojamas kenksmingas kodas, tuo tarpu saugotis internetu plintančių grėsmių įpratę kompiuterių naudotojai nesitiki pavojaus“, – teigia ESET Lietuvoje atstovaujančios bendrovės „NOD Baltic“ vadovas Tomas Parnarauskas. Pasak T. Parnarausko, nuo mobiliosiomis atmintinėmis plintančių virusų efektyviai apsaugo pažangius euristinės analizės algoritmus naudojančios antivirusinės programos, be to, svarbu nepamiršti nuolat atnaujinti virusų parašų duomenų bazės. Apsaugoti nuo atmintinėmis plintančių virusų galima ir atjungus funkciją „Autorun“ operacinės sistemos nustatymuose. Pavojingiausias rugpjūčio virusas „INF/Autorun“, aptiktas 7, 76 proc. užkrėstų kompiuterių, plinta naudodamas mobiliąsias duomenų laikmenas. Jose sukuriamas failas „autorun. inf“, kuris „Windows“ šeimos operacinių sistemų aplinkoje automatiškai vykdomas prijungus atmintinę prie kompiuterio, jei kompiuterio naudotojas nuostatose nenurodė to nedaryti. Failą aktyvavus, jis paleidžia viruso programą, o ši užkrečia kompiuterį ir vėliau prie jo jungiamas duomenų laikmenas. Tuo pačiu principu plinta ir penktąją poziciją užimantis virusas „INF/Conficker“ (1, 61 proc. ) bei du dešimtuko naujokai – ketvirtoje vietoje įsitaisęs „Win 32/Tifaut“ (2, 56 proc. ) ir devintoje pozicijoje likęs „Win 32/Auto. Run. IRCBot. CX“ (0, 87 proc. ). Antroje ir trečioje pavojingiausių rugpjūčio kenkėjų sąrašo vietose įsitvirtino dešimtuko senbuviai – 4, 89 proc. užkrėstų kompiuterių rastas „Win 32/Conficker“ ir 3, 82 proc. kompiuterų aptiktas „Win 32/PSW. On. Line. Games“. Pastarasis Trojos arklio tipo virusas taikosi į internetinių žaidimų duomenis. Jis fiksuoja klaviatūros mygtukų paspaudimus ir surinktą informaciją persiunčia savo kūrėjams. Šie joje randa prisijungimo prie žaidimų sistemų duomenis ir pasinaudoję jais perima žaidėjų sąskaitas. Vėliau jos naudojamos savoms reikmėms arba siūlomos tikriesiems savininkams už išpirką. Šeštoje rugpjūčio pavojų dešimtuko pozicijoje – „Win 32/Agent“ (1, 25 proc. ) šeimos kenkėjai, vagiantys asmeninę kompiuterių naudotojų informaciją. Nuo jų nedaug atsiliko kenkėjiškų programų komponentas „JS/Trojan. Clicker. Agent. NAZ“ (1, 2 proc. ). Jis savarankiškai neplinta, dažniausiai yra naudojamas kaip sudėtinė kenkėjiškų programų dalis, generuojanti reklaminių skydelių paspaudimus, nešančius pelną virusų kūrėjams Naršyklę į užkrėstus tinklalapius nukreipiantis kodas „HTML/Scr. Inject. B“ rugpjūtį aptiktas 1, 12 proc. kompiuterių ir iš šeštosios nukrito į aštuntąją grėsmių dešimtuko poziciją. Dešimtoje vietoje liko pavojingiausių kenkėjų sąrašo naujokas „Win 32/Trojan. Downloader. Bredolab“, į kompiuterį atsiunčiantis kenkėjiškas programas (0, 75 proc. ).

Kompiuterių virusai taikosi į mobiliąsias atmintines

Kontroliniai temos klausimai 1. Ką vadiname kompiuterio virusu? 2. Kokius žinote kompiuterinių virusų tipus? 3. Kaip pasireiškia kompiuterinių virusų kenksmingumas? 4. Kaip skirstomi virusai pagal užkrėtimo būdą? 5. Kaip pasireiškia virusai užsikrėtus? 6. Kaip užsikrečiama virusais? 7. Paaiškinkite word viruso sampratą? 8. Ką žinote apie interneto virusus? 9. Kokios yra apsisaugojimo nuo kompiuterinio viruso priemonės? 10. Pakomentuokite bendrąsias informacijos apsaugos priemones? 11. Pakomentuokite specializuotas kovos su virusais priemones? 12. Pakomentuokite profilaktines kovos su virusais priemones? 13. Ką daryti pastebėjus (įtarus) virusą kompiuteryje? 14. Kokią žinote antivirusinę programinę įrangą? 15. Ką reiškia „dezinfekuoti“ bylas (rinkmenas)? 16. Išvardinkite galimas antivirusines atsargumo priemones?