Дополнительный материал для обучающихся при изучении темы "Компьютерные вирусы. Разновидности. Особенности"
учебно-методический материал по информатике и икт (7 класс) на тему

ДОПОЛНИТЕЛЬНОЕ ОБРАЗОВАНИЕ ДЕТЕЙ

Теоретическая и практическая части по теме:

«Компьютерные вирусы. Разновидности. Особенности»

Вирус — это программа (как ни абсурдно это звучит, но некоторые до сих пор об этом не знают). И, следовательно, вредить она может лишь программно, но никак не аппаратно — страшные сказки о вирусах, убивающих и сводящих с ума пользователей при помощи вывода на экран смертельной цветовой гаммы, были и остаются всего лишь сказками.

Вирус является программой, способной к размножению. Существуют вирусы, которые не занимаются ничем, кроме самораспространения.

Все вирусы можно объединить в следующие основные группы:

• Загрузочные вирусы (boot – вирусы) — инфицируют загрузочные секторы жестких дисков и дискет, помещая в нем команды запуска на исполнение самого вируса,который находится где-то в другом месте компьютера.
• Файловые вирусы — заражают исполняемые файлы (с расширением  .com, .exe, .sys), путем дописывания своей основной части («тела») в конец заражаемой программы, «головы» - в его начало. Вирус, находящийся в памяти, заражает все любой запущенный после этого исполняемый файл.
• Загрузочно-файловые вирусы способны поражать как код загрузочных секторов, так и код файлов.
• Макро-вирусы. Когда-то считалось, что текстовые файлы не способны служить разносчиками «инфекции». Но с появлением офисных программ для Windows (таких как WinWord, Excel, Access и других) положение резко изменилось. Дело в том, что фирма Microsoft реализовала в них довольно прогрессивную идею программирования макрокоманд, когда допускается возможность присвоить какой-либо клавише не только ту или иную последовательность символов (именно так понимается макрос, например, в текстовом редакторе Лексикон), но и вызов достаточно сложной программы, написанной на встроенном БЕИСИКо-подобном языке программирования. С одной стороны, это существенно увеличило потенциальные возможности программ, позволяя наращивать их практически любыми новыми функциями, а с другой - породило возможность создавать на этом встроенном языке вирусные программы.
• «Черви». В некоторых современных версиях архиваторов предусмотрена возможность создания аналога autoexec: можно добавить в архив текстовый файл, содержащий команды, которые будут выполнены сразу после распаковки данного архива. Таким образом, вполне можно создать вирус, написав некую программку, способную дописывать к имеющимся на диске архивам свои копии в виде com-программы и сопровождать их автоматически срабатывающими при разархивации командами запуска такой corn-программы.

В дополнение к этой классификации отметим еще несколько отличительных особенностей, характеризующих некоторые файлово-загрузочные вирусы.

Полиморфизм. Большинство вирусов, созданных в прежние годы, при саморазмножении никак не изменяются, так что «потомки» являются абсолютно точной копией «прародителя», что и позволяет легко их обнаруживать по характерной для каждого последовательности байтов. Однако в последнее время создатели вирусов реализовали идею шифровки тела вируса (чтобы нельзя было деассемблировать такой вирус - превратить его исполняемые коды обратно в исходный листинг с целью изучения его работы и создания «противоядия»).

«Стелс» - технология. Этот термин появился по аналогии с названием технологии разработки американского бомбардировщика, невидимого на экране радара. Стелс-вирус, находясь в памяти компьютера, перехватывает почти все векторы прерываний (то есть переписывает адреса вызова служебных подпрограмм операционной системы на свои). В результате при попытке контроля длины зараженного файла ДОС выдает старую, «правильную» длину вместо истинной, а при просмотре в деассемблере коды вируса исключаются им из рассмотрения.

«Логические бомбы». Такая программа добавляется к какой-либо полезной программе и «дремлет» в ней до определенного часа. Когда же показания системного счетчика времени данного компьютера станут равными установленному программистом значению часов, минут и секунд (или превысят их), производится какое-либо разрушающее действие, например, форматирование винчестера. Это один из распространенных вариантов мести обиженных программистов своему руководству.

Программы-вандалы. Самый простой способ напакостить всем и вся. Пишется программа-разрушитель (например, все тот же форматировщик винчестера), ей дается название, такое же, как у другой, полезной программы, и она размещается, скажем, на BBS в качестве «обновленной версии». Ничего не подозревающий пользователь обрадовано «скачивает» ее на свой компьютер и запускает, а в результате - лишается всей информации на жестком диске. Подобная история случилась сравнительно недавно, когда форматировщик был «замаскирован» под новую версию популярного архиватора ZIP.

Сетевые вирусы.

 «Логические бомбы» - скрипты и апплеты. Современные версии браузеров (программ для работы с WWW-страницами) поддерживают возможность размещать на Интернет-страницах небольшие программы, переправляемые пользователю в виде текстового листинга и исполняемые уже на пользовательском компьютере. Такие программы называются скриптами и пишутся на специальном языке программирования JavaScript и на основе VisualBASIC. И хотя основные функции доступа к содержимому вашего диска здесь отключены, некоторые мелкие неприятности это может доставить. Кстати, в последнее время создатели некоторых сайтов (как правило, из разряда «только для взрослых») освоили любопытный вариант скриптов (на базе JavaScript), способных при открытии такой Web-страницы не только «прописать» адрес данного сайта в качестве «домашнего» (естественно, не спрашивая у посетителя разрешения), но и внести его непосредственно в системный реестр Windows в качестве «базового»: такие «фокусы» уже можно считать настоящим вирусом и привлекать владельцев таких сайтов к предусмотренной за такие деяния ответственности.

«Троянские кони». Это модули, присоединяемые к каким-либо нормальным программам, распространяемым по сети, или «забрасываемые» в ваш компьютер несанкционированным способом. Цель «троянского коня» - воровать ценную информацию (пароли доступа, номера кредитных карточек и т. п.) и передавать ее тому, кто этого «коня» запустил. Рядовые пользователи Интернет, впрочем, встречаются с данной проблемой довольно редко, - чаще всего это проблема владельцев серверов и провайдеров. Однако же, если кто-то похитит у вашего провайдера ваши login и пароль входа в Интернет, чтобы воспользоваться ими, денежки будут уходить именно с ВАШЕГО счета...

Почтовые вирусы. Сегодня электронная почта приобретает все большую популярность. Но вместе с этим значительно увеличилась и опасность проникновения вирусов через этот удобный канал глобального распространения. (Еще большую опасность, кстати, представляет собой популярный чат-клиент ISQ или, в просторечном наименовании, «аська».) Чаще всего заражение начинается с получения неизвестно от кого письма, содержащего исполняемую программу-«зародыш» (частенько очень хитро «замаскированную»: файл имеет, например, вид <имя>.jpg .exe, где перед завершающим и определяющим тип «исполняемая программа» указанием «.ехе» записано большое число пробелов; Windows отображает для таких длинных имен только начало, пользователь воспринимает присланное как обычный файл с JPEG-картинкой и активизирует его клавишей Enter или двойным щелчком мыши для просмотра, тем самым запуская программу). Когда ничего не подозревающий пользователь запустит такую программу на исполнение, содержащийся в ней вирус «прописывается» в системе и, обращаясь к содержимому адресной книги, начинает тайком от вас рассылать всем абонентам свои копии-зародыши в качестве вложений. Впрочем, сегодня Outlook Express позволяет принимать письма в формате HTML, в том числе содержащие скрипты и обращения к серверным программным компонентам, причем с возможностью автозапуска скрипта в момент просмотра полученного письма, так что налицо еще одна потенциальная «лазейка» для вирусописателей.

Вирусы делятся также на резидентные и нерезидентные — первые при получении управления загружаются в память и могут действовать, в отличие от нерезидентных, не только во время работы зараженного файла.

Всего на сегодняшний день существуют тысячи вирусов, но только в нескольких десятках из них реализованы оригинальные идеи, остальные являются лишь "вариациями на тему". Средства защиты от вирусов подразделяются на такие группы, как детекторы, фаги, ревизоры, сторожа и вакцины. Детекторы (сканеры). Их задачей является постановка диагноза, лечением же будет заниматься другая антивирусная программа или профессиональный программист- «вирусолог».

Фаги (полифаги). Программы, способные обнаружить и уничтожить вирус (фаги) или несколько вирусов (полифаги). Современные версии полифагов, как правило, обладают возможностью проведения эвристического анализа файлов — они исследуют файлы на предмет наличия кода, характерного для вируса (внедрения части этой программы в другую, шифрования кода и т.п.).

Ревизоры. Этот тип антивирусов контролирует все (по крайней мере, все известные на момент выпуска программы) возможные способы заражения компьютера. Таким образом, можно обнаружить вирус, созданный уже после выхода программы-ревизора.

Сторожа. Резидентные программы, постоянно находящиеся в памяти компьютера и контролирующие все операции (не пользуются особой популярностью главным образом из-за большого количества ложных срабатываний, которые в отдельных случаях способны если не парализовать, то уж наверняка серьезно застопорить работу).

Вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами (в последнее время этот метод применяется все реже — вакцинировать можно только от конкретного вируса, причем некоторые антивирусы такую вакцинацию вполне могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле ничтожно мало).

Как известно, ни один из данных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и их желательно использовать в связке с другими пакетами. Вообще, выбор только одного, «лучшего», антивируса крайне ошибочен.

Теперь о некоторых характеристиках антивирусных пакетов. Первое, на что пользователи обращают внимание, это количество распознаваемых сигнатур — последовательностей символов, однозначно определяющих вирус. Следует отметить, что производители применяют разные системы подсчета сигнатур: если у одних различные версии или близкие по характеристикам версии вирусов считаются за одну сигнатуру, то другие подсчитывают все вариации. Лучшие из пакетов определяют более 10 тысяч вирусов, что несколько меньше общего числа существующих сегодня вредоносных программ. Второй параметр — наличие эвристического анализатора неизвестных вирусов; его присутствие очень полезно, но существенно замедляет время работы программы.

Практическая часть

ВИРУСЫ

Создайте структурную схему существующих на сегодняшний день вирусов, используя справочный материал к уроку «Вирусы и средства борьбы с ними»