Программа-детектор обнаруживает вирус когда

Обновлено: 27.03.2024

Вирусы и антивирусные программы развиваются почти параллельно, но вторые вынуждены играть роль догоняющего. Их разработчики должны быстро реагировать на регулярно появляющиеся киберугрозы, создавать технологии поиска ещё неизвестного вредоносного кода. В зависимости от способов борьбы с вирусами и предотвращения их появления на компьютере антивирусы разделяют на несколько категорий, их и рассмотрим.

Типы антивирусных программ

  • Сканеры – ищут известный и неизвестный вредоносный код в файлах, оперативной памяти, на дисках и внешних накопителях.
  • Ревизоры – делают снимки системы – состояние файлов, реестра, каталогов. Затем автоматически или по требованию проводят повторное сканирование, сравнивая запечатлённое состояние с текущим. Учитываются: контрольная сумма, дата создания и модификации, иные показатели.
  • Доктора, фаги, вакцины – сканируют компьютер, при возможности удаляют вредоносный код из тела зараженного файла, возвращая его в первоначальное состояние.
  • Фильтры, сторожа – следят за активностью процессов и служб на ПК, выявляют подозрительную активность, присущую вирусам.
  • Иммунизаторы – применяются при отсутствии названных выше решений: видоизменяют файлы так, что вирусы воспринимают их заражёнными. Почти не используются.
  • Детекторы– занимаются поиском сигнатур, потенциально принадлежащих вредоносным программам.

Последние рассмотрим подробнее.

Антивирусные программы-детекторы: что такое, назначение, типы

Назначение антивирусных программ-детекторов

Программы-детекторы — это приложения, обнаруживающие заражённые объекты путём сравнения известных фрагментов вредоносного кода с кодом сканируемых исполняемых файлов, динамических библиотек.

Для работы требуют наличие баз сигнатур, называемых антивирусными базами. Они нуждаются в регулярном (хотя бы ежедневном) обновлении для эффективной работы – обнаружения свежих киберугроз. К ним относятся все современные антивирусы: продукция лаборатории Касперского, Dr. Web, Nod 32, Avast, Comodo Internet Security.

Пути проникновения компьютерных вирусов

  • Использование ошибок, уязвимостей в коде операционных систем, приложений.
  • Распространение через веб-страницы в виде скрипта, который автоматически загружает и исполняет вредоносный код.
  • Взломанные либо скомпрометированные (копии известных ресурсов со схожим адресом, дизайном).
  • Подмена приложений на сторонних сайтах и файлообменниках на заражённые.
  • Рассылка писем со спамом на почту, в мессенджеры.
  • Перенос вирусов на флешках, которые автоматически запускались при подключении к компьютеру (метод изжил себя).
  • Внедрение в текстовые документы в виде макроса.
  • С установкой бесплатных или взломанных программ, игр.
  • Зная способы проникновения вирусов на ПК, заражение системы легко предотвратить:
  • Регулярно обновляйте ОС и приложения.
  • Не посещайте подозрительные сайты.
  • Загружайте файлы, текстовые документы только из доверенных источников, сканируйте их через облачные сервисы вроде VirusTotal.
  • Загружайте софт только с официальных ресурсов, не пользуйтесь взломанными приложениями.
  • Отключите автозапуск съёмных накопителей.
  • Не переходите по подозрительным ссылкам, особенно полученным по почте, в мессенджере.

Назовите назначение антивирусных программ под названием детекторы, их наименования, способы предотвратить заражение компьютера.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Некоторые программы-детекторы могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.


Dr.Web программа была создана в 1994 г. И. А. Даниловым и относится к классу детекторов-докторов, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние, при размножении, модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса.

В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк".

Aidstest - программа была изобретена ее в 1988 году Д.Н. Лозинским и является детектором-доктором. Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

ADinf (Advanced Diskinfoscope) относится к классу программ-ревизоров. Эта программа была создана Д. Ю. Мостовым в 1991 г.

Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус.

Для лечения заражённых файлов применяется модуль ADinf Cure Module, не входящий в пакет ADinf и поставляющийся отдельно. Принцип работы модуля - сохранение небольшой базы данных, описывающей контролируемые файлы. Работая совместно, эти программы позволяют обнаружить и удалить около 97% файловых вирусов и 100% вирусов в загрузочном секторе. К примеру, нашумевший вирус SatanBug был легко обнаружен, и заражённые им файлы автоматически восстановлены. Причем, даже те пользователи, которые приобрели ADinf и ADinf Cure Module за несколько месяцев до появления этого вируса, смогли без труда от него избавиться.

Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).


ФИЛЬТРЫ или СТОРОЖА или МОНИТОРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны. Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Современные программы обнаружения и защиты от вирусов.

Цель - раскрыть назначение и возможности антивирусных программ, научить технологии их использования.

Различают следующие виды антивирусных программ:

• программы-доктора (или фаги, дезинфекторы);

• программы-фильтры (сторожа, мониторы);

Программы-детекторы рассчитаны на обнаружение конкретных вирусов и основаны на сравнении характерной (специфической) последовательности байтов (сигнатурили масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ. Программы-детекторы нужно регулярно обновлять, так как они быстро устаревают и не могут выявлять новые виды вирусов.

Для устранения этого недостатка программы-детекторы стали снабжаться блоками эвристического анализапрограмм. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям. Наиболее развитые эвристические механизмы позволяют с вероятностью около 80% обнаружить новый вирус.

Программы-доктора не только находят файлы, зараженные вирусами, но и лечат их, удаляя из файла тело программы-вируса. Программы-доктора, которые позволяет лечить большое число вирусов, называются полифагами.

Широкое распространение получили программы-детекторы, одновременно выполняющие и функции программ-докторов. Наиболее известные представители этого класса — AVP (Antiviral Toolkit Pro, автор — Е.Касперский), Aidstest (автор — Д.Лозинский) и Doctor Web (авторы — И.Данилов, ВЛутовинов, Д.Белоусов).

Ревизоры— это программы, которые анализируют текущее состояние файлов и системных областей диска и сравниваютего с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние ВООТ-сектора, FAT-таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы.

Контрольная суммаявляется интегральной оценкой всего файла (его слепком). Получается контрольная сумма путем суммирования по модулю два всех байтов файла. Практически всякое изменение кода программы приводит к изменению контрольной суммы файла.

Ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью ревизора можно в любой момент времени сравнить состояние программ и системных областей дисков с их исходными состояниями. О выявленных несоответствиях ревизор сообщает пользователю. Ревизоры контролируют файловую систему, отслеживая перемещение, переименование, создание и удаление файлов и папок (каталогов).

Доктора-ревизоры не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае обнаружения изменений вернуть их в исходное состояние

Антивирусная программа ADinf (Advanced Diskinfoscope, автор — Мостовой Д.) относится к классу ревизоров. Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус.

Антивирусы-фильтры — это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют следующие операции:




• обновление программных файлов и системной области диска;

• резидентное размещение программ в ОЗУ.

К последней группе относятся наименее эффективные антивирусы — вакцинаторы(иммунизаторы). Они записывают в вакцинируемую программу признаки конкретного вируса так, что. вирус считает ееуже зараженной, и поэтому не производит повторное инфицирование. Нужно отметить, что этот вид антивирусных программ морально устарел.

Среди зарубежных антивирусных программ чаще других упоминаются в печати программы Dr Solomon's Anti-Virus 7.0, McAfee VirusScan 3.0, Norton AntiVirus 4.0.

Вопросы для самоконтроля:

  1. Приведите основные виды антивирусных программ.
  2. Охарактеризуйте действие антивирусных программ.
  3. Приведите современные антивирусные программы.
  4. Опишите работу с антивирусными программами.

Рекомендуемая литература: /3/ стр.450; /11/ стр. 152-160

Основная черта компьютерного вируса - это способность к саморазмножению.

Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.

Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:

- Проникновение на чужой компьютер

- Поиск объектов для заражения

Основные пути проникновения вирусов в компьютер: гибкие дискеты (fdd), CD(DVD)-диски, карты флэш-памяти, а также компьютерные сети.

Классифицировать вирусы можно по следующим признакам:

1. По среде обитания;

2. По способу заражения среды обитания;

3. По степени воздействия;

4. По особенностям алгоритмов.

1) По среде обитания

Файловые вирусы внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL).

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).

Макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Word, Excel).

Сетевые вирусы распространяются по различным компьютерным сетям.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков; сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

2) По способу заражения среды обитания

Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3) По степени воздействия

Неопасные вирусы не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах.

Опасные вирусы могут привести к серьезным сбоям в работе компьютера.

Очень опасные вирусы могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.п. (пример, вирус CIH (Чернобыль), способный уничтожать данные на жестком диске и в BIOS)

4) По особенностям алгоритмов

Паразитические вирусы изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

В зависимости от способа проникновения в систему черви делятся на типы:

- Сетевые черви используют для распространения локальные сети и Интернет;

- Почтовые черви - распространяются с помощью почтовых программ;




- P2P-черви - при помощи пиринговых файлообменных сетей (peer-to-peer - равный с равным - это одноранговые (их иногда называют также пиринговыми) компьютерные сети, то есть такие, где отсутствуют выделенные сервера, а все входящие в нее компьютеры выступают в двух ролях - и клиентом, и сервером. Такие сети в основном используются для организации обмена файлами, обычно музыкой и фильмами).

После проникновения на компьютер, червь должен активироваться (запуститься). По методу активации все черви можно разделить на две группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. В первом случае это черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, во втором случае это черви, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы.

Трояны, в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Жизненный цикл троянов состоит всего из трех стадий:

1. Проникновение в систему

3. Выполнение вредоносных действий

Проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.

После проникновения на компьютер, трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.

Поскольку главная цель написания троянов - это производство несанкционированных действий, они классифицируются по типу вредоносной нагрузки:

Сетево́й протоко́л — набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть устройствами.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые называются антивирусными.

Различают несколько видов антивирусных программ:

1. Программы – детекторы (сканеры).

2. Программы- доктора или фаги.

3. Программы- ревизоры.

4. Программы- фильтры (программы-мониторы).

5. Программы- вакцины или иммунизатора.

Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов. (Norton Antivirus, Doctor Web, Антивирус Касперского (KAV), eset nod32)

Программы-ревизоры – анализируют текущее состояние файлов и системных областей дисков и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние загрузочного сектора, FAT, длину, атрибуты и время создания файлов, контрольные суммы (суммирование по модулю 2 всех байтов файла). Пример такой программы – Adinf.

Программы – фильтры (программы-мониторы) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

· попытки коррекции файлов с расширением com, exe;

· изменение атрибутов файлов;

· запись в загрузочные сектора диска;

· загрузка резидентной программы и т.д.

Резидентная программа – это программа, которая постоянно находится в оперативной памяти.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам (табл. 13.1 ):

· способу заражения среды обитания;

Таблица 13.1. Классификация вирусов

ПРИЗНАКИ
Среда обитания Способ заражения Степень воздействия Особенность алгоритма
ВИДЫ Сетевые Резидентные Неопасные Простейшие
Файловые Нерезидентные Опасные Вирусы-репликаторы
Загрузочные Очень опасные Вирусы-невидимки
Файлово- загрузочные Вирусы-мутанты

В зависимости от среды обитаниявирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

· неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

· опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

· очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ:

· программы-доктора или фаги;

· программы-вакцины или иммунизаторы.




Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

· попытки коррекции файлов с расширениями COM, EXE;

· изменение атрибутов файла;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные сектора диска;

· загрузка резидентной программы.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Читайте также: