КОМПЮТЪРНИ ВИРУСИ.
1. Определение за компютърен вирус
Информацията, която се обработва от компютърната система трябва да се съхранява и защитава от повреждане. Разрушаването на информацията може да бъде нарочно или случайно. Съвременните операционни системи имат добре организирана защита на информацията, но въпреки всичко е необходимо допълнително да се работи по проблема за целостта на информацията. Това е така, защото има програми, които специално са създадени, за да разрушават информацията. Това са компютърните вируси. Терминът “вирус” идва от латински език и означава “отровен сок” и е зависим от биологията. Там с този термин се обозначават микроорганизми, които се прилепват по носителите на генния материал на живите клетки – стопани и го използват за своето размножаване. След определено време вирусът се активизира и болестта избухва.
Своебразното поведение на биологичните вируси може да бъде открито и при компютърните вируси.
Изучаването на този проблем е от особено голяма важност, за да могат да се подготвят специалисти за защита на информацията срещу нарочни вредители.
Определение за понятието “компютърен вирус” е дадено от Винфрид Глеснер в книгата “Манипулации в компютрите и мрежите” :
“Компютърен вирус е последователност от команди, чието изпълнение предизвиква репродуциране на копие или мутация от своя код, който се намира в определена област от паметта от паметта, и което не съдържа тази последователност. Този процес се нарича “инфекция”. Нещо повече вирусът може да активира и други функции.
Вирусът може да бъде написан на Асемблер или на език от високо ниво. Областта от паметта е разбира се там, където вече е заредена системна или друга програма.
Освен това първооткривателя на компютърните вируси Коуен дава следната дефиниция:
“We define computer virus as a program that can infect other programs by modifying them to include a possibility evolved copy of itself. With the infection property, a virus can spread through out a computer system or network using the authorization of every user using it to infect their programs. Every program that gets infected may also act as a virus and thus the infection grows” (Cohen F., Computer Viruses: Theory and experiments, University of South California, 8/84).
Или в превод на български:
“Ние дефинираме компютърния вирус като програма, която може да зарази други програми чрез вмъкване на копие от себе си. С тази инфекция вирусът може да се разпространява в целия компютър или в мрежата с помощта на оторизирането на всеки потребител и да заразява техните програми. Всяка инфектирана програма може да се държи като вирус, като по този начин инфекцията се разпространява”.
12.2. Принцип на работа на вируса:
– разпознаване на вируса
– копираща част – търсят се незаразени области от паметта и се копират в програмата, подлежаща на заразяване.
– нанасяне на щети
– преход – връщане в началото на програмата домакин, за да може извиканата потребителска програма да започне работа.
Следователно трябва всеки потребител да се грижи за това вирусите да не се активират и информацията им да не се заразява.
Типични симптоми за наличието на действащ вирус са:
Забавена работа на КС
а) Необичаен опит за достъп до дисковите устройства
б) Продължително време за зареждане на програмите
в) Неочакван недостиг на вътрешна памет
г) Увеличаване обема на програмите и намаляване на обема на паметта на твърдия диск
д) Проблеми с резидентни програми
е) Проблеми с работата на програмите
ж) Промяна на съдържанието на файлове с данни
з) Нарастване на броя на дефектните сектори на дисковите носители
и) Получаване на електронни писма от неизвестен адрес и със съмнителен “Subject”.
12.3. Начини за борба с компютърните вируси
– Най-добра защита от вируси е да не се допуска заразяване на системата с вирус. Това се постига като се зареждат резидентно в паметта и активират антивирусни програми. Освен това те трябва непрекъснато да се актуализират с най-последни версии, защото непрекъснато се създават нови вируси и старите варианти на антивирусни програми няма да могат да се справят с антивирусната защита. Това сега става много лесно, защото тези програми са заредени в Интернет и трябва само да се изтеглят през определен период от време.
– Сървърите на локалните компютърни мрежи на фирмите и учебни заведения трябва да имат “защитна стена” от постъпване на вируси по Интернет.
– да се архивират всички данни, за да може да се възстановят в случай на повреждане. Сега това е много лесно, защото могат да се запишат на CD носител.
– да не се използват безконтролно програми. Придобиването на софтуер трябва да става от надежден източник – например от софтуерни къщи с добра репутация.
– трябва да има контрол на достъпа до информацията. Трябва да бъдат зададени права за достъп до информацията.
12.4. Класификация на компютърни вируси
Класификацията може да се направи по различни признаци
а) в зависимост от мястото на разположение на вируса
– резидентни – лошото в случая е, че те остават активни до изключване на компютъра. За вируса вече не е необходимо да се стартира програмата домакин, за да се активира. Използват се предлаганите от операционната система и BIOS функции за прекъсване. Това става като вирусът използва системата за прекъсване, за да спре работата на програмата като пренасочи работата към своя код. Този код може от една страна да служи като заразява и други програми .
– не резидентни
б) в зависимост от обекта на заразяване
– файлови вируси ( заразяващи изпълними програми). Те се нуждаят от програма домакин.
От своя страна те могат да се класифицират като презаписващи се и не презаписващи се.
– системни вируси, заразяващи системни файлове. Те са опасни, защото се настаняват резидентно в паметта още при стартиране на операционната система. Те могат да бъдат или вируси, нападащи командния интерпретатор или boot-sector.
– “троянски коне” и “логически бомби” (често не се причисляват към компютърните вируси, но нанасят щети на информацията).
Троянските коне са програми, които симулират пред потребителя нормалност на работата и привидно правилно изпълняват желаната функция. Но в същото време те умишлено целят страничен поразяващ ефект. Те извършват своята работа паралелно с нормално изпълняващата се програма. Логическите бомби, подобно на троянските коне също не са вируси. Разликата е в начина на проява. Логическите бомби възникват в зависимост от изпълнението на определено условие (например активират се на 13, петък или в деня на Чернобил и т.н.).
Презаписващи се вируси.
Вируса се презаписва в първоначалната програма, като се записват в програмата домакин. Ако това стане в началото на програмата, вирусът се открива веднага при стартиране на програмата, защото тя става неработоспособна. Но ако вирусът се презапише в малко употребявани части на програмата, тя може да носи дълго време вирусът, понеже обема на програмния код като цяло не се променя
Не презаписващи се вируси
В противоположност на презаписващите се вируси, тук вирусът се “прилепя” към края или средата на програмата на програмата. При това се променя обема на програмата. Но при стартирането на програмата, поради това че се запазва оригиналния стартов адрес на програмата няма проблеми за нормалната работа на програмата. Но поради това, че се променя първоначалния обем на файла много е лесно да се открие такъв вирус.
– файлове документи
– файлове, разпространени в Интернет
в) други видове вируси
– CMOS вируси са специална форма на резидентни вируси. Те гнездят в CMOS паметта. Тази поддържана от батерия памет съдържа системната конфигурация (SETUP). В нея са записани типът на монитора, на твърдия диск, обемът на RAM паметта и други важни за системата данни. Тези вируси не представляват сериозна опасност, тъй като могат да изтрият само системната конфигурация, която може лесно да бъде възстановена.
– XP с AI вируси. Тяхното откриване през 1987 година почива на една студия на Шьоненбург за сигурността на експертните системи. XP е английската абревиатура на експертните системи. Така, че HP вирусите се разпространяват чрез базата от знания. Опасността е в това, че те могат да изменят правилата за правене на извод. Ако това е експертна система в областта на здравеопазването, могат да бъдат нанесени непоправими щети. AI е абревиатура на изкуствен интелект. AI вирусите са самомодифициращи се и само репродуциращи се програми. Идеята за тези вируси е взета от идеята за Стелт вирусите (stealth на английски език означава скрит).
– мрежови вируси в LAN (Local Area Network). Всички вируси, които са писани за едно потребителски системи, работят много добре и в локалната мрежа. Тези вируси са особено опасни, защото се мултиплицира заразата на всички работни места в локалната мрежа.
– Бъгове и червеи. Различават се от нормалните вируси.
Под “бъг” се разбира грешка в хардуер или софтуер. Грешката може да бъде умишлена или не. Например фирмата Intel беше спряла за няколко месеца производството на един от микропроцесорите си, тъй като е имало грешна функция на чипа.
Компютърния червей е програма, която се разпространява в глобалните компютърни мрежи. Червеят се състои от много завършени програмни части, означени като червейни сегменти комуникират помежду си вътре в мрежата. Може един червеен сегмент да съдържа вирус или “троянски кон”.
Например най-известния в Германия компютърен червей е разпространен още през 1987 година. Един студент накарал всички компютри в една локална мрежа да нарисуват “Дядо Коледа” Докато изображението стояло на екрана и очаквало потребителя да напише “Коледа”, за да се освободи от картинката, програмата търсела във фонов режим списъка на текущите потребители и се скривала в адресите им. Осъщественото по този начин експлозивно разпространение предизвикало тотално запълване на паметта.
Internet червеят се разпространява само за няколко часа на хиляди компютри. Такива щети могат да възлязат на милиарди долари.
Извод: не бива да се отварят електронни писма, от непознат изпращач и с предмет на писмото от рода на: “Обичам те”, “Липсваш ми” и т.н.
Не бива да се ползват Интернет сайтове с порно съдържание, защото такива http адреси, прихващат електронния адреса от който са отворени и започват да изпращат електронни писма с такова съдържание.