На сайті 11893 реферати!

Усе доступно безкоштовно, тому ми не платимо винагороди за додавання.
Авторські права на реферати належать їх авторам.

Особливості алгоритмів роботи вірусів

Реферати > Комп'ютерні науки > Особливості алгоритмів роботи вірусів

5. Поширення копій;

У троянів внаслідок відсутності функцій розмноження й поширення, їхній життєвий цикл менше ніж у вірусів - усього три стадії:

1. Проникнення на комп'ютер

2. Активація

3. Виконання закладених функцій

Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може непомітно перебувати в пам'яті комп'ютера тривалий час, ніяк не видаючи своєї присутності, доти, поки не виконає свою шкідливу функцію буде виявлений антивірусними засобами.

Існує твердження - будь-яку шкідливу програму користувач може перемогти самостійно, тобто не прибігаючи до використання антивірусних програм. Це дійсно так, за успішними дії будь-якої антивірусної програми коштує праця вірусних аналітиків, які по суті справи вручну розбираються з алгоритмами роботи нових вірусів, виділяють сигнатури, описують алгоритм роботи вірусу.

Сигнатура вірусу - у широкому змісті, інформація, що дозволяє однозначно визначити наявність даного вірусу у файлі або іншому коді.

Прикладами сигнатур є: унікальна послідовність байт, що є присутнім у даному вірусі й не зустрічається в інших програмах; контрольна сума такої послідовності.

Таким чином, антивірусну програму можна розглядати як засіб автоматизації боротьби з вірусами. Варто помітити, що аналіз вірусів жадає від користувача володіння більшим обсягом специфічних знань в області програмування, роботи операційних систем і т.д. Сучасні шкідливі програми використають складні технології маскування й захисту своїх копій, які спричиняються необхідність застосування спеціальних засобів для їхнього аналізу.

Процес підготовки шкідливою програмою своїх копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднено.

При створенні копій для маскування можуть застосовуватися наступні технології:

  • Шифрування - вірус складається із двох функціональних блоків: властиво вірусу й шифратора. Кожна копія вірусу складається із шифратора, випадкового ключа й вірусного блоку, зашифрованого цим ключем
  • Метаморфізм - створення різних копій вірусу шляхом заміни груп команд на еквівалентні, перестановки місцями блоків коду, вставки між значущими шматками коду "сміттєвих" команд, які практично нічого не роблять

Сполучення цих двох технологій приводить до появи наступних типів вірусів.

  • Шифрований вірус - вірус, що використає просте шифрування з випадковим ключем і незмінний шифратор. Такі віруси легко виявляються по сигнатурі шифратора
  • Метаморфний вірус - вірус, що застосовує метаморфізм до всього свого тіла для створення нових копій
  • Поліморфний вірус - вірус, що використає метаморфний шифратор для шифрування основного тіла вірусу з випадковим ключем. При цьому частина інформації, використовуваного для одержання нових копій шифратора також може бути зашифрована. Наприклад, вірус може реалізовувати кілька алгоритмів шифрування й при створенні нової копії міняти не тільки команди шифратора, але й сам алгоритм.

Розглядаючи сучасні вірусні погрози необхідно відзначити, що більше 90% відсотків вірусних погроз останнім часом пов'язані із черв’яками. Найбільш численну групу в цьому класі шкідливих програм становлять поштові черв’яки. Інтернет- черв’яки також є помітним явищем, але не стільки через кількість, скільки через якість: епідемії, викликані Інтернет-черв'яками найчастіше відрізняються високою швидкістю поширення й більших масштабів. IRC й P2P черв’яки зустрічаються досить рідко, частіше IRC й P2P служать альтернативними каналами поширення для поштових й Інтернет - черв’яків. Поширення через LAN також використається переважно як додатковий спосіб поширення.

Крім того, на етапі активації хробаків можна розділити на дві більші групи що відрізняються як за технологіями активації, так і по строках життя:

  • Для активації необхідно активна участь користувача;

· Для активації участь користувача не потрібно зовсім або досить лише пасивної участі.

Активація мережного черв’яка без участі користувача завжди означає, що черв’як використає проломи в безпеці програмного забезпеченні комп'ютера. Це приводить до дуже швидкого поширення хробака усередині корпоративної мережі з більшим числом станцій, істотно збільшує завантаження каналів зв'язку й може повністю паралізувати мережа. Саме цей метод активації використали черв’яки Lovesan й Sasser. Під пасивною участю користувача розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп'ютер проте виявляється зараженим.

[http://www.intuit.ru/department/security/viruskasper/13/1.html]

Перейти на сторінку номер: 1  2 Версія для друкуВерсія для друку   Завантажити рефератЗавантажити реферат