Какво е компютърният вирус
 


Въведение
Компютърните вируси са фрагмент от програма, разработен и написан с цел неблагоприятно въздействие върху Вашият компютър посредством изменение на начина му на работа без Ваше знание или позволение. От тук идва и наименованието на този вид програми, тъй като поведението им е подобно на биологичните вируси. Изразено на технически език, те са сегмент на програмен код, който се имплантира в определени файлове (най-често изпълними) и се разпространява от един файл в друг. Главната цел на вирусите е да повредят Вашите програми и данни или дори да навредят на вас лично.

Компютърните вируси не се образуват от само себе си. Те се пишат от хора и имат определена деструктивна цел. Обикновено вирусите изпълняват следните две функции:

1. Разпространение от един файл в друг без Вашето потвърждаване, тоест саморепликация или размножаване.

2. Внедряване на симптом или нарушение, предварително планирани от автора. Може да става дума за съсипване на харддиска, изменение на поведението на програми, кражба на лични данни, повреда или изтриване на документи или просто за привеждане на компютъра в безпорядък.

Експертите наричат това “полезна работа на вируса”, която може да бъде доброкачествена или злокачествена. Доброкачествените вируси не нанасят на поразените компютри реална вреда. Например те не се проявяват до определена дата, на която показват присъствието си с някакво съобщение.

За разлика от тях злокачествените вируси се мъчат да причинят вреда на компютъра-гостоприемник. Понякога те правят това неволно вследствие на лошо програмиране и груби грешки в кода на самия вирус. Злокачествените вируси са способни да изменят една или повече програми така, че те да престанат да работят по желания начин. Заразената програма може да започне внезапно да блокира или да записва информацията некоректно. Вирусът може също да променя информацията за структурата на файловете и папките в системната област на диска. Това пречи на откриването на дяловете или стартирането на приложения, които не намират необходими за коректното им функциониране файлове. Друга цел на вирусите може да са Вашите данни - снимки, документи, музика, ВАШИТЕ ПАРОЛИ ЗА ДОСТЪП до различни сайтове (поща, социални мрежи, интернет банкиране) и т.н. За съжаление преобладаващата част от вирусите са злокачествени, като най-гадните от тях в определени случаи могат да повредят дори хардуера на компютъра Ви.
 

Реална ли е опасността
Широкото разпространение на вирусите слага началото на нова ера в историята на компютърната сигурност, в която тези, които не се съобразяват с правилата, се подлагат на голям риск. Взимайки под внимание нарастващия брой съобщения за опасност, както и множеството познати случаи на породени от компютърни вируси неприятности, трудно могат да бъдат разбрани представителите на компютърния бранш, които изказват мнение, че опасността от вирусите е преувеличена. По оценки на Националния информационен център за компютърни престъпления в Лос Анжелис американските предприятия губят поради непозволен достъп 550 милиона долара годишно, като в тях не влиза цената на загубеното за възстановяване на щетите време. През последните няколко години много компании започват да въвеждат специални правила за борба с компютърните вируси. В много случаи новите процедури предвиждат тестването на всички приложения, преди те да се инсталират на корпоративната мрежа, и ограничения за стартирането на софтуер (дори и от FTP сървъри), отварянето на определени страници в интернет, използване на програми за мигновени съобщения, използването на външни носители на информация и други. Практически никой, нито дори правителството, банката или полицията не са застраховани срещу вируси.
 

Видове компютърни вируси
Компютърните вируси се разпространяват, прехвърляйки се от програма на програма, към boot секторите на харддиска, използвайки функциите за автоматично стартиране от външни носители на информация и други. При изпълняване на заразен файл или стартиране на компютър с инфектиран boot сектор се изпълнява и самият вирус. Нерядко той се скрива в паметта, очаквайки поредното приложение, което може да порази, или възможност за достъп до следващия диск. Възможен ефект от действието на вирус е показването на необичайни съобщения, изтриване на файлове, пренасочване на отваряни страници в интернет, забавяне работата на компютъра и други.

1. Файлови вируси: те се присъединяват най-често към файлове с разширение *.COM или *.ЕХЕ, въпреки че често могат да заразят и файлове с разширения SYS, DRV, BIN, OVL, OVY и други. Вирусите записват своя код в тялото на изпълнимия файл така, че при стартиране на програмата да поемат управлението. Това е незабележимо за потребителя. След като свърши тъмното си дело, вирусът сканира локалните и мрежовите устройства в търсене на поредна жертва. В някои случаи програмите се заразяват, когато се отварят или се инфектират всички файлове в директорията, устройството или компютъра, от който е стартиран самият вирус (пряка инфекция). Механизмът на разпространение на файловите вируси е много прост. Авторът му заразява някоя програма с него и я публикува на някой BBS, FTP сървър, web сайт, корпоративна или университетска мрежа. Връзката към заразената програма се разпространява, имитирайки атрактивни приложения: нови версии на популярни програми или игри. Често хората си спестяват теста на новото приложение с антивирусният софтуер и вирусите плъзват. Чисто теоретично, защита срещу този подход е след форматиране на диска на ниско ниво да се ползват само лицензирани програми и да се забрави за shareware и freeware, но това би изолирало потребителя от твърде много инструменти, без които не може. А дори да допуснем, че такъв компютър съществува, то той не трябва да се свързва към интернет и локални мрежи и на него би трябвало никога да не се записват файлове, дори обработван на друга машина файл от MS Office, поради опасността от макровируси.

2. Boot вируси: всеки харддиск, без значение дали е системен или не, разполага с така нареченият boot sector (буут сектор). В него се съдържа специфична информация за формата на устройството, записаните на него данни, както и малка програмка, зареждаща системните файлове на DOS, Windows, Linux или друга операционна система, или даваща съобщението за грешка “Non-system Disk or Disk Error”, ако те не са налице. Именно тази програма е цел на boot вирусите. При изпълнението й вирусът попада в паметта и оттам на харддиска. Не забравяйте, че всеки магнитен носител има boot сектор, така че може да се заразите и от диск, съдържащ само данни (често срещан на практика случай).

3. Комбинирани вируси: този тип вируси е съчетание от горните два. Комбинираните вируси са едни от най-съвършените и най-опасните. Те заразяват както файлове, така и master boot record. Преди няколко години комбинираните вируси бяха относително рядко срещани, но днес броят им е доста голям.

4. Полиморфни вируси: в процеса на заразяване вирусът записва във файла или системната област на диска уникална за себе си последователност от символи, наречена сигнатура. Тъй като един от най-често срещаните методи за откриване на вирус е по неговата сигнатура, авторите на вируси са стигнали до идеята да използват специални алгоритми за кодирането й с цел затрудняване на определянето на сигнатурата от страна на антивирусната програма. Когато вирусът поеме управлението, той първо разшифрова собствения си код. Тъй като този тип все пак съдържа константна шифроваща процедура, сигнатурата в крайна сметка може да се получи. По-сложната разновидност са полиморфните вируси, които мутират. При тях процедурата се променя всеки път и за определяне на сигнатурата са необходими съвременни антивирусни продукти, които използват допълнителни модули за защита и анализиране на приложенията.

5. Макровируси: документите на офис пакетите съдържат не само текст и графика, но и макрокоманди, които фактически са програми на език, наподобяващ Basic. Вирусът ги променя или добавя нови. Механизмът на разпространение се основава на факта, че съществуват макрокоманди, изпълняващи се при отваряне на файла за редактиране или други операции. Авторът взима безобиден файл, например readme.doc, и записва в него няколко вирусни макрокоманди. Когато отворите заразен файл, макрокомандите поемат управлението и могат да заразят и други документи.

6. Stealth вируси: по време на тестовете си антивирусните програми четат файловете и системните области на устройствата, използвайки средствата на операционната система и BIOS. Множество вируси след активирането си оставят в оперативната памет специални модули, прихващащи обръщането на програмата към дисковата подсистема. Ако такъв модул забележи, че някое приложение се опитва да прочете заразен файл, той сменя в движение данните за файла така, че все едно файлът е чист. Това става като към приложението се изпрати чисто копие на файла или се изпрати оригиналният му размер (този преди заразяване). Така вирусът остава незабелязан. Все пак начин за борба с този тип зловреден софтуер съществува. Необходимо е компютърът да се рестартира от чисто устройство (буутващ диск или флашка) и веднага да се стартира антивирусната програма. Така се изключва възможността в оперативната памет да попаднат stealth модулите. Има и специални инструменти, създадени да откриват и премахват подобен род вируси, а също и антивирусни програми, откриващи stealth вирусите още при опита им да се маскират, но все пак методът със стартиращо устройство е препоръчителен.

7. Скриптови вируси: интернет страниците, които отваряме всеки ден, съдържат не само обикновен текст и картинки, но и различни скриптове, чрез които се изпълняват определени функции на страницата. Скриптът представлява програмен код, който се изтегля и стартира на клиентския компютър посредством интернет браузъра. Когато се стартира злонамерен скрипт, той се опитва да придобие потребителски права, да изтегли и стартира друга злонамерена програма, да Ви препрати към друга вредоносна страница или да открадне и изпрати Вашите пароли за достъп до различни сайтове, като интернет банкиране, социални мрежи и други.

8. Криптиращи вируси: крипторите са отделно подразделение на зловредния софтуер, но поради функцията, която изпълняват, а именно повреждане файловете на потребителя е добре да ги спомена и в тази статия. Криптиращите вируси (Ransomware - ransom software - софтуер, искащ откуп), както много хора ги наричат, общо взето биват два вида - такива, които заключват екрана на потребителя и такива, които криптират файловете и/или буут сектора на компютърната система. И при двата случая, атакуващият иска да платите откуп, за да си върнете достъпът до устройството или файловете. Повече за криптиращите вируси можете да разберете от специалната статия за тях тук.

Повечето потребители са на мнение, че умеят да се предпазват от вируси. При всяко стартиране на компютъра им резидентно се зарежда някаква антивирусна програма. Те винаги тестват за вируси програмите, с които са се сдобили от познати или свалили от Интернет. И не рядко тези хора, без да имат вина за това, живеят в заблуждение, че машините им са чисти, докато скрилият се вирус не се активира и не съсипе резултатите от тяхната работа. Причините за това са няколко. Обикновено става дума за неправилно подбран или неактуализиран своевременно антивирусен софтуер. Разбира се, възможно е мутирал вирус да заблуди и най-добрата антивирусна програма. Без съмнение основно оръжие в борбата с вирусите са антивирусните програми. Те позволяват откриването и отстраняването им. При наличието на толкова голям брой вируси изборът на оптимално приложение за борба с тях не е лек. Кое е най-доброто? Едва ли някой би се наел да отговори еднозначно на този въпрос. Възможен вариант е да се ползват всички, до които потребителят е успял да се добере, но така твърде много се увеличава времето за проверка. Така че изборът на конкретна програма трябва да бъде направен. За улеснение на избора е добре да сте осведомени за методите за откриване на вируси и друг злонамерен софтуер, използвани от различните програми, като не е задължително антивирусните програми да ползват всички методики. Те биват:

- Анализ по сигнатури: най-разпространеният и основен метод за търсене на вируси. При неговото изпълнение се търсят сигнатури на предварително открити вируси. Недостатък на анализа по сигнатури е невъзможността да се открият stealth вируси. За целта са необходими по-сложни алгоритми, включващи евристичен анализ на проверяваните програми. Освен това при анализа по сигнатури не може да се открие несъдържащ се в списъка вирус. Тъй като нови вируси излизат всеки ден (дори всеки час), съвременните антивирусни програми при сканиране, освен търсенето по сигнатури, използват и други технологии за откриване на вируси.

- Евристичен анализ: той се използва паралелно с анализа по сигнатури за откриване на шифроващи се и полиморфни вируси. Методът се осъществява като се стартира изпълнимия файл във виртуална, изолирана от операционната система среда, и се анализира неговото поведение в системата. По този начин се откриват и неизвестни до сега вируси, за които още няма сигнатури, според вредоносното им действие върху системата.

- Откриване на изменения и опасни действия: заразявайки компютъра, вирусът нанася промени - дописва кода си в заразения файл, изменя системните области на диска и т.н. Алгоритъмът се базира на откриване на такива промени. Антивирусната програма запомня характеристиките на невралгичните области и постоянно следи за промени в тях. При опит за опасно действие на вирус (промяна в системната област, регистри или системен файл) антивирусната програма го открива и преценява дали то трябва да бъде извършено или не. Ако все пак потребителят позволи такова действие, но се окаже, че то е дело на вирус, антивирусната програма има възможността да възстанови данните каквито са били преди извършването на опасното действие. Разбира се, изменението може да се дължи на обновяване на версията на операционната система, обновяване на програма или на факта, че някои програми записват данни в своя изпълним файл.

- Облачни услуги: облачните услуги са ново ниво на защита, добавено към гореизброените методи за откриване на зловреден софтуер, на антивирусните програми. Най-общо казано чрез облачните услуги потребителите получават информация за зловредни обекти (файлове, сайтове и други) много по-бързо, преди да бъдат публикувани сигнатури за тях в обновленията на програмите. Тоест, ако времето от откриването на нов злонамерен обект до публикуването на сигнатура за него е около 4 часа (времето зависи от много и различни фактори и може да е различно при различните програми), то времето от откриването на нова заплаха и публикуване на информация за нея в облачните услуги е около 15 минути (това време също е различно при различните програми). Като се отчете и времето за достигане на обновленията до клиентските компютри (обновяване на сигнатурите на антивирусната програма), то времето за реакция при нова заплаха и откриването й по сигнатури се увеличава още повече, а облачната услуга предоставя почти мигновена информация за нови заплахи. Важно е да се отбележи, че облачните услуги се предоставят през Интернет и за да работят е необходимо клиентският компютър да бъде постоянно свързан с глобалната мрежа.

Днешните антивирусни програми се състоят от няколко компонента, които постоянно обменят информация един с друг и следят за проникването на заплахи в компютъра по някой от възможните начини за това. Тоест една съвременна антивирусна програма трябва да има модули за защита от заплахи за файлове, интернет, електронна поща, програми за мигновени съобщения, сканиращ модул, наблюдение на критичните зони на системата и възможност за възстановяване на щетите, нанесени от вирус или друг злонамерен софтуер. Отделно от това програми за цялостна защита (от типа Интернет Секюрити) съдържат и допълнителни модули за защита, като контрол на програмите, модул за защита от мрежови атаки, защитна стена, родителски контрол, защита на въвежданите имена и пароли за поща, интернет банкиране, социални мрежи и т.н., и някои допълнителни, като блокиране на банери, филтър за спам писма и други. В допълнение на тази защита, някои антивирусни компании разработват допълнителни версии на своите продукти, които съдържат и модули за резервни копия, шифроване на данни, мениджър на пароли, почистване на компютърната система и т.н. Важно е да се отбележи, че 100 процентова защита от вируси и друг злонамерен софтуер НЯМА. От голямо значение е и поведението на потребителя при използването на компютъра. На пазара съществуват много антивирусни програми с различни по вид и функции модули, но никоя от тях не може да Ви гарантира пълна 100 процентова защита. И все пак, трябва да се направи избор на оптимално решение, отговарящо на Вашите специфични нужди от защита.
 

Най-добрата защита е нападението
Колкото по-рано започнете да се подготвяте срещу вирусната атака, толкова по-добре, въпреки че дори напреднали потребители и системни администратори подценяват важността на проблема. Едва когато вирус или друг злонамерен софтуер съсипе порядъчно количество информация, те са готови да дадат всичко, стига той да бъде отстранен, а информацията възстановена. Ще си спестите много нерви и средства, ако вземете навреме нужните предпазни мерки. Освен избора на подходящ за вас антивирусен софтуер трябва да предприемете и някои други действия, които и без друго ще Ви бъдат от полза. Едно от най-важните е често да правите резервни копия на важните за Вас неща. Периодично проверявайте компютъра си за вируси, тоест правете пълно сканиране на компютъра си поне веднъж месечно. Задължително проверявайте всички файлове, които сваляте от Интернет или искате да копирате на компютъра си. Проверявайте за нови версии на антивирусният софтуер и обновявайте често (повече от веднъж на ден) антивирусните му дефиниции. Ако имате съмнения за заразяване на компютъра си, потърсете помощта на специалист лично или чрез някой от форумите в Интернет, специализирани в откриването и отстраняването на вируси и друг вид злонамерен софтуер.
 

У нас
В България единственото научно звено, което е специализирано в областта на компютърната вирусология, компютърната, комуникационната и информационната сигурност, е Националната лаборатория по компютърна вирусология към БАН. В лабораторията се създават компактни програмни реализации за няколко платформи. Те разпознават и отстраняват “in the wild” множеството на вирусните сигнатури. Програмните реализации осигуряват също и ефективна защита от тип “monitor” и от тип “integrity checker” при минимална загуба на ресурси.
 

В заключение
В началото на компютърната вирусология са били създавани само шеговити програми, а в последствие и по-опасни такива. Те са били наречени с понятието "вируси". С напредването на техниката и компютърните системи се развиват и компютърните вируси. Те стават все по-умни и по-трудни за откриване. В последствие се създават и други разновидности на тези програми, създадени с различна цел, влияние и внедряване в компютърната система. Терминът "вирус" претърпя изменение, защото не отговаряше на описанието на новите видове "вируси". Появи се понятието "злонамерен софтуер", което обедини всички нови видове деструктивни програми. Преди време главната цел на вирусите е била претоварване и срив на компютърната система. Днес обаче, злонамереният софтуер се цели главно в имената и паролите за достъп до електронни пощи, социални мрежи, сайтове за интернет банкиране и други. Тоест някога вирусите имаха за цел блокирането на компютъра, а днес целта е кражба на самоличност, финансови облаги по различни начини, използване на ресурсите на компютъра и т.н. С развитието на технологиите и разширяването на интернет настъпи рай за разпространението на злонамерения софтуер. Освен компютърната система, днес към глобалната мрежа може да се включат всички модерни устройства и уреди. А това доведе до следващата цел на хакерите и злонамерения софтуер - смартфоните и таблетите, битовата техника и дори автомобилите.

 

Ако желаете, можете да си изтеглите електронна книга с описание на това какво е компютърният вирус, която съдържа информацията в този документ, като отидете в раздел Изтегляне или натиснете тук.

 

 

 

© 2014 Tigertron™
/Иван Георгиев/

http://tigertron.free.bg/

Copyright (Условия за копиране):

Забранява се копирането и/или използването на статията или на части от нея за каквито и да било цели без знанието и изричното позволение на автора.
С неразрешеното от автора (Иван Георгиев) използване на материали и текстове от сайта се задължаваме към Иван Георгиев с 5000 (пет хиляди) USD/ден.