Комп’ютерні віруси як загроза інформаційним системам

Вважають, що перші прототипи «електронних інфекцій» з’явились наприкінці 1960-х — на початку 1970-х років у вигляді програм-«кроликів», які швидко розмножувались і займали системні ресурси, знижуючи таким чином, продуктивність комп’ютерів. «Кролики» не передавались між системами і були результатом пустощів системних програмістів. Термін «комп’ютерний вірус» уперше вжив американський студент Фред Коен у 1984 році. Він поділив віруси на дві великі групи. До першої він відніс ті, які написані для певних наукових досліджень у галузі інформатики, а до другої — «дикі» віруси, вироблені з метою заподіяння шкоди користувачам.

Комп’ютерний вірус — спеціально написана невелика за розмірами програма, яка може створювати свої копії, впроваджуючи їх у файли, оперативну пам’ять, завантажувальні області і т.ін. (заражати їх), та виконувати різноманітні небажані дії. Небезпечність вірусу зростає через наявність у нього латентного періоду, коли він не виявляє себе. Для маскування вірус може використовуватися разом з «логічною» або «часовою бомбою».

Кілька ознак зараження ІС вірусами:

▲ припинення роботи або неправильна робота програм, які раніше функціонували успішно;

▲ неможливість завантаження операційної системи;

▲ зменшення вільного обсягу пам’яті;

▲ уповільнення роботи комп’ютера;

▲ затримки під час виконання програм, збої в роботі комп’ютера;

▲ раптове збільшення кількості файлів на диску;

▲ зникнення файлів і каталогів або перекручування їхнього вмісту;

▲ незрозумілі зміни у файлах;

▲ зміни дати і часу модифікації файлів без очевидних причин;

▲ незрозумілі зміни розмірів файлів;

▲ видача непередбачених звукових сигналів;

▲ виведення на екран непередбачених повідомлень або зображень.

 

Віруси можна класифікувати за різними ознаками.

За середовищем існування розрізняють файлові, завантажувальні, комбіновані (файлово-завантажувальні), пакетні та мережні віруси. Файлові звичайно заражають файли з розширеннями .com та .exe. Однак, деякі їх різновиди можуть інфікувати файли й інших типів (.dll, .sys, .ovl, .prg, .bat, .mnu), при цьому вони, як правило, втрачають здатність до розмноження.У свою чергу, за способом зараження середовища існування файлові віруси поділяють на резидентні та нерезидентні. Останні починають діяти тільки під час запуску зараженого файла на виконання і залишаються активними обмежений час. Резидентні віруси інсталюють свою копію в оперативній пам’яті, перехоплюють звертання операційної системи до різних об’єктів і заражають їх. Деякі віруси здатні перехоплювати досить багато різних функцій переривань, у результаті чого файли можуть заражатись у процесі перейменування, копіювання, знищення, змінювання атрибутів, перегляду каталогів, виконання, відкривання та здійснення інших операцій. Резидентні віруси зберігають активність весь час до вимикання комп’ютера.

Порівняно новою групою можна назвати макровіруси, які використовують можливості макромов, вбудованих у текстові редактори, електронні таблиці і т. ін. Нині поширені макровіруси у Microsoft Word i Excel. Вони перехоплюють деякі файлові функції в разі відкриття чи закриття зараженого документа і згодом інфікують решту файлів, до яких звертається програма. У певному сенсі такі віруси можна назвати резидентними, оскільки вони активні тільки у своєму середовищі — відповідному додатку.

Завантажувальні віруси відрізняються від файлових резидентних вірусів тим, що вони переносяться із системи в систему через завантажувальні сектори. Комп’ютер заражається таким вірусом після спроби завантаження системи з інфікованого диска, а дискета — при читанні її «змісту». Комбіновані віруси можуть поширюватись як через завантажувальні сектори, так і через файли.

Мережні віруси («черв’яки») розмножуються по комп’ютерній мережі, зменшуючи тим самим її пропускну здатність, уповільнюючи роботу серверів і т. ін. Вони посідають перше місце за швидкістю поширення. Найбільш відомим є так званий «черв’як Морріса». Останні моделі «черв’яків» упроваджуються у різні архіви (arj, zip та ін.) і зменшують вільний простір на диску.

 

За ступенем деструктивності віруси можна поділити на такі групи:

· порівняно безпечні, нешкідливі — їх вплив обмежується зменшенням вільної пам’яті і графічними або звуковими ефектами. Варто зазначити, що зменшення пам’яті в деяких випадках може призвести до збою системи, а ефекти — відволікти користувача, у результаті чого він припуститься помилки;

· небезпечні — віруси, які можуть призводити до збійних ситуацій;

· дуже небезпечні — дії вірусів можуть призвести до втрати програм, знищення даних, стирання інформації в системних областях тощо.

 

За особливостями алгоритму віруси важко класифікувати через їх різноманітність. Можна виокремити найпростіші, «вульгарні» віруси, написані єдиним блоком, який можна розпізнати в тексті програми-носія, та віруси «роздроблені» — поділені на частини, що нібито не мають між собою зв’язку, але містять інструкції комп’ютерові, як їх зібрати в єдине ціле і розмножити вірус.

 

З погляду прийомів маскування розрізняють віруси-невидимки (стелс-віруси, stealth) та поліморфні віруси. Перші перехоплюють функції операційної системи, відповідальні за роботу з файлами, і коригують результати звернень. Механізм «невидимості» в кожному з цих вірусів реалізується по-своєму, однак можна виокремити кілька загальних принципів:

· для приховування збільшення довжини заражених файлів вірус передає програмі перегляду каталогів зменшене значення їхньої довжини;

· для того щоб користувач не виявив код вірусу під час перегляду файла, вірус виліковує його в момент відкриття і заново заражає у процесі закриття;

· для того щоб замаскувати свою присутність у пам’яті комп’ютера, вірус стежить за діями резидентних моніторів пам’яті, у разі спроби перегляду коду вірусу система зависає.

Поліморфними називають віруси, які застосовують різноманітні способи шифрування власного тіла. У разі зараження чергового файла алгоритм шифрування змінюється випадковим чином. При цьому дуже важко виділити сигнатуру— характерну послідовність байтів у коді вірусу.