ウイルスにはどのような種類があるのでしょうか? コンピュータウイルスの分類。 コンピュータウイルスに対する防御方法

ウイルスにはどのような種類があるのでしょうか? コンピュータウイルスの分類。 コンピュータウイルスに対する防御方法

ウイルスは、ゲノム (DNA および RNA) を持っていますが、合成装置を備えていない非細胞性の感染因子です。 これらの微生物が繁殖するには、より高度に組織化された生物の細胞が必要です。 細胞内に入ると増殖を開始し、さまざまな病気の発症を引き起こします。 各ウイルスは、その宿主に対して特定の作用メカニズムを持っています。 ウイルスは健康に害を及ぼさないため、人は自分がウイルス保菌者であることさえ疑わないことがあります。この状態は、ヘルペスなどとして知られています。

ウイルス性疾患を予防するには、健康的なライフスタイルを維持し、体の防御を強化することが重要です。

起源と構造

ウイルスの起源についてはいくつかの仮説があります。 科学は、大きな生物から放出されたRNAとDNAの断片からのウイルスの出現に関するバージョンを提供しています。

共進化は、ウイルスが核酸とタンパク質の複雑なセットの構築の結果として生細胞と同時に出現したことを示唆しています。

それがどのように繁殖し、伝染するかについての問題は、微生物学の特別な分野であるウイルス学によって研究されています。

各ウイルス粒子には遺伝情報 (RNA または DNA) と、保護として機能するタンパク質膜 (カプシド) があります。

ウイルスには、単純な螺旋形から正二十面体形まで、さまざまな形があります。 基準値は平均的な細菌の約1/100の大きさです。 しかし、ほとんどのウイルスは非常に小さいため、顕微鏡で検査するのは困難です。

生命体はウイルスですか?

ウイルスの生命体には 2 つの定義があります。 最初のものによれば、細胞外因子は有機分子の集合体です。 2 番目の定義は、ウイルスは特殊な生命形態であると述べています。 生物学では新種が絶え間なく出現することを前提としているため、どのようなウイルスが存在するのかという質問に具体的かつ決定的に答えることは不可能です。 それらは、特別な遺伝子セットを持ち、自然なセットの方法に従って進化するという点で、生きた細胞に似ています。 それらは存在するために宿主細胞を必要とします。 独自の代謝がないため、外部からの助けなしでは繁殖することができません。

現代科学は、特定のバクテリオファージが適応可能な独自の免疫を持っているというバージョンを開発しました。 これはウイルスが生命体である証拠です。

ウイルス性疾患 - それは何ですか?

植物界のウイルス

ウイルスとは何かを自問すると、人体に加えて、植物に感染する特別な種類のウイルスを区別することができます。 それらは植物細胞内でのみ繁殖できるため、人間や動物にとって危険ではありません。

人工ウイルス

人工ウイルスは、感染症に対するワクチンを生産するために作成されます。 医学の兵器庫で人工的に作成されるウイルスのリストは完全にはわかっていません。 しかし、人工ウイルスを作成すると、多くの影響が生じる可能性があると言っても過言ではありません。

このようなウイルスは、新しい型の形成に必要な情報を運ぶ人工遺伝子を細胞に導入することによって得られます。

人体に感染するウイルス

人間にとって危険であり、不可逆的な変化を引き起こす細胞外病原体のリストにはどのようなウイルスがありますか? これは現代科学を学ぶことの側面です。

最も単純なウイルス性疾患は風邪です。 しかし、免疫力の低下を背景に、ウイルスは非常に深刻な病状を引き起こす可能性があります。 それぞれの病原微生物は、その宿主の体に特定の方法で影響を与えます。 一部のウイルスは、害を及ぼすことなく人間の体内で何年も生き続けることができます(潜伏期間)。

特定の潜在種は、その存在によって細菌性病原体に対する免疫反応が生じるため、人間にとってさえ有益です。 一部の感染症は慢性的または生涯にわたるものですが、これは純粋に個人的なものであり、ウイルス保因者の防御能力によって決まります。

ウイルスの蔓延

ヒトにおけるウイルス感染症は、人から人へ、または母親から赤ちゃんへ感染する可能性があります。 感染率や疫学的状況は、その地域の人口密度、気象条件や季節、医療の質によって異なります。 現在ほとんどの患者からどのウイルスが検出されているかをタイムリーに明らかにし、適切な予防措置を実施すれば、ウイルス病状の蔓延を防ぐことが可能です。

種類

ウイルス性疾患は、病気を引き起こした細胞外因子の種類、病気の場所、病状の進行速度に関連して、まったく異なる方法で現れます。 ヒトウイルスは致死性ウイルスと緩徐進行性ウイルスに分類されます。 後者は、症状が発現しないか弱く、問題をすぐに検出できないため危険です。 この間に病原体が増殖し、重篤な合併症を引き起こす可能性があります。

以下はヒトウイルスの主な種類のリストです。 これにより、どのウイルスが存在し、どの病原微生物が健康に危険な病気を引き起こすかを明確にすることができます。

  1. オルソミクソウイルス。 これには、あらゆる種類のインフルエンザウイルスが含まれます。 特別な検査は、どのインフルエンザウイルスが病的状態を引き起こしたかを見つけるのに役立ちます。
  2. アデノウイルスとライノウイルス。 それらは呼吸器系に影響を与え、ARVIを引き起こします。 この病気の症状はインフルエンザに似ており、肺炎や気管支炎などの重篤な合併症を引き起こす可能性があります。
  3. ヘルペスウイルス。 免疫力の低下を背景に活性化されます。
  4. 髄膜炎。 病状は髄膜炎菌によって引き起こされます。 脳の粘膜は影響を受けます。脳脊髄液は病原体にとっての栄養基質です。
  5. 脳炎。 それは脳の内層に悪影響を及ぼし、中枢神経系に不可逆的な変化を引き起こします。
  6. パルボウイルス。 このウイルスによって引き起こされる病気は非常に危険です。 患者はけいれん、脊髄の炎症、麻痺を経験します。
  7. ピコルナウイルス。 肝炎を引き起こす。
  8. オルソミクソウイルス。 おたふく風邪、麻疹、パラインフルエンザを引き起こします。
  9. ロタウイルス。 細胞外因子は腸炎、腸管インフルエンザ、胃腸炎を引き起こします。
  10. ラブドウイルス。 それらは狂犬病の原因物質です。
  11. パポウイルス。 ヒトに乳頭腫症を引き起こします。

レトロウイルス。 それらはHIV、ひいてはエイズの原因物質です。

生命を脅かすウイルス

一部のウイルス性疾患は非常にまれですが、人命に重大な危険をもたらします。

  1. 野兎病。 この病気は感染性桿菌フランシセラトゥラレンシスによって引き起こされます。 病理の臨床像はペストに似ています。 空気中の飛沫や蚊に刺されることによって体内に侵入します。 人から人へ伝染します。
  2. コレラ。 この病気が記録されることは非常にまれです。 コレラ菌ウイルスは、汚れた水や汚染された食べ物を飲むことによって体内に侵入します。
  3. クロイツフェルト・ヤコブ病。 ほとんどの場合、患者は死を経験します。 汚染された動物の肉を介して感染します。 原因物質はプリオン、つまり細胞を破壊する特殊なタンパク質です。 精神障害、重度のイライラ、認知症として現れます。

臨床検査を通じて、どの種類のウイルスが病気を引き起こしたかを判断することが可能です。 重要な議論は、この地域の流行状況だ。 現在どのような種類のウイルスが流行しているかを調べることも非常に重要です。

ウイルス感染の兆候と合併症の可能性

ウイルスの大部分は急性呼吸器疾患の発生を引き起こします。 ARVI の次の症状が区別されます。

  • 鼻炎の発症、透明な粘液を伴う咳。
  • 体温が37.5度まで上昇するか発熱。
  • 脱力感、頭痛、食欲不振、筋肉痛。

治療が遅れると重篤な合併症を引き起こす可能性があります。

  • アデノウイルスは膵臓の炎症を引き起こし、糖尿病の発症につながる可能性があります。
  • β溶血性連鎖球菌は喉の痛みやその他の炎症性疾患の原因物質であり、免疫力が低下すると心臓、関節、表皮の疾患を引き起こす可能性があります。
  • インフルエンザと ARVI は、小児、高齢者、妊婦では肺炎を合併することがよくあります。

ウイルスの病状は、副鼻腔炎、関節損傷、心臓の病状、慢性疲労症候群など、他の重篤な合併症を引き起こす可能性があります。

診断

専門家は、現在どのようなウイルスが流行しているかに基づいて、一般的な症状によってウイルス感染を判断します。 ウイルス学的研究はウイルスの種類を決定するために使用されます。 現代医学では、免疫指標や血清診断などの免疫診断方法が広く使用されています。 専門医は、視覚検査と収集した病歴に基づいて、どれを服用するかを決定します。

所定:

  • 酵素免疫測定法。
  • 放射性同位元素免疫測定法。
  • 赤血球凝集阻害応答研究;
  • 免疫蛍光反応。

ウイルス性疾患の治療

治療方針は、病状を引き起こしたウイルスの種類を特定し、病原体に応じて選択されます。

ウイルス性疾患の治療には次のものが使用されます。

  1. 免疫システムを刺激する薬。
  2. 特定の種類のウイルスを破壊する薬。 ウイルス感染症の診断は、選択した薬剤に対してどのウイルスがよりよく反応するかを明らかにすることが重要であるため、より標的を絞った治療を可能にするために必要です。
  3. インターフェロンに対する細胞の感受性を高める薬。

一般的なウイルス性疾患の治療には、以下のものが使用されます。

  1. 「アシクロビル」。 ヘルペスに処方され、病状を完全に排除します。
  2. 「リレザン」「インガビリン」「タミフル」。 さまざまな種類のインフルエンザに処方されます。
  3. インターフェロンとリバビリンは、B 型肝炎の治療に使用されます。新世代薬であるシメプレビルは、C 型肝炎の治療に使用されます。

防止

ウイルスの種類に応じて予防策が選択されます。

予防策は主に 2 つの領域に分かれています。

  1. 特定の。 これらは、ワクチン接種を通じて人に特異的な免疫を発達させることを目的として行われます。
  2. 非特定。 行動は、軽い身体活動、適切に配合された食事を提供し、個人の衛生基準を維持することによって体の防御システムを強化することを目的としている必要があります。

ウイルスは生き物であり、避けることはほぼ不可能です。 重篤なウイルス性病状を防ぐためには、スケジュールに従ってワクチン接種をし、健康的なライフスタイルを送り、バランスの取れた食事を組織する必要があります。

コンピュータウイルス– 何らかの利益を得るために攻撃者によって作成された特別なプログラム。 それらの動作原理は異なる場合があります。情報を盗むか、攻撃者の利益のためにユーザーにアカウントへのチャージや送金などの何らかのアクションの実行を奨励します。
現在、さまざまなウイルスが存在します。 この記事では主なものについて説明します。


ワーム– コンピュータをあらゆる種類のゴミで埋め尽くし、動作が遅くなり動作が遅くなるようにすることを目的とする悪意のあるプログラム。 ワームは自己複製できますが、プログラムの一部となることはできません。 ほとんどの場合、このウイルスは電子メールを通じて感染します。


トロイの木馬プログラム (トロイの木馬、トロイの木馬)– このプログラムはその名に恥じないものです。 他のプログラムに侵入し、ホスト プログラムが起動されるまでそこに隠れます。 ホスト プログラムが起動されるまで、ウイルスは害を及ぼすことはできません。 ほとんどの場合、トロイの木馬はデータの削除、変更、盗用に使用されます。 トロイの木馬はそれ自体で増殖することができません。


スパイプログラム– これらの Stirlitz は、ユーザーとその行動に関する情報の収集に従事しています。 ほとんどの場合、パスワード、住所、カード/アカウント番号などの機密情報が盗まれます。
ゾンビ - マルウェアは、実際にコンピュータを攻撃者の言いなりになる「意志の弱い」マシンに変えるため、この名前が付けられました。 簡単に言えば、悪意のある人々がこれらのマルウェアを通じて誰かのコンピュータを制御することができます。 ほとんどの場合、ユーザーは、自分のコンピュータが自分だけのものではなくなったことさえ知りません。


ブロッカー プログラム (バナー)– これらのプログラムはオペレーティング システムへのアクセスをブロックします。 コンピュータの電源を入れると、ユーザーにポップアップ ウィンドウが表示され、通常は、著作権の侵害や海賊版ソフトウェアのダウンロードなどを非難します。 次に、コンピュータからすべての情報を完全に削除するという脅威が起こります。 これを回避するには、ユーザーは特定の電話アカウントにチャージするか、SMS を送信する必要があります。 今だけ、ユーザーがこれらすべての操作を実行しても、脅威バナーは消えません。


ブートウイルス– ハード ドライブ (ハード ドライブ) のブート セクターに影響します。 彼らの目標は、オペレーティング システムの起動プロセスを大幅に遅くすることです。 コンピュータがこれらのウイルスに長時間さらされると、オペレーティング システムがまったく読み込まれなくなる可能性が高くなります。


悪用する- これらは、攻撃者がオペレーティング システムの脆弱で保護されていない領域に侵入するために使用する特別なプログラムです。 これらは、コンピュータへのアクセス権を取得するために必要な情報を盗むプログラムに侵入するために使用されます。


フィッシング– これは、攻撃者が被害者に電子メールを送信するときのアクションの名前です。 通常、手紙にはフルネーム、パスワード、PIN コードなどの個人データの確認要求が含まれています。したがって、ハッカーは他人になりすまして、たとえば口座から全額を引き出すことができます。


スパイウェア– ユーザーの知らないうちにユーザーデータを第三者に送信するプログラム。 スパイはユーザーの行動やインターネット上のお気に入りの場所を調査し、間違いなくユーザーの興味を引くであろう広告を表示します。


ルートキット– 攻撃者が被害者のソフトウェアに簡単に侵入し、その存在の痕跡をすべて完全に隠すことを可能にするソフトウェア ツール。
多型ウイルスとは、自分自身を偽装して変形するウイルスです。 作業中に自分のコードを変更できます。 したがって、それらを検出することは非常に困難です。


ソフトウェアウイルス– 他のプログラムに付着し、その動作を妨害するプログラム。 トロイの木馬とは異なり、コンピュータ ウイルスは増殖することができ、ワームとは異なり、正常に動作するには、「付着」できるプログラムが必要です。
したがって、悪意のあるプログラム (マルウェア) とは、コンピューターの所有者の許可なしに、コンピューターおよびそこに保存されている情報にアクセスできるようにするために作成されたプログラムであると言えます。 このような行為の目的は、損害を与えたり、情報を盗んだりすることです。 「マルウェア」という用語は、既存のすべてのウイルスの総称です。 ウイルスに感染したプログラムは正しく動作しなくなることを覚えておいてください。 したがって、削除してから再度インストールする必要があります。

ほとんどすべてのコンピュータ所有者は、たとえまだウイルスに詳しくなくても、ウイルスに関するさまざまな話や話を聞いたことがあるはずです。 もちろん、そのほとんどは他の初心者ユーザーによって誇張されています。

では、ウイルスとは何でしょうか?

ウイルス自己複製プログラムです。 多くのウイルスは、PC にまったく害を及ぼすことはありません。たとえば、画面に画像を表示したり、不要なサービスを起動したり、成人向けのインターネット ページを開いたりするなど、ちょっとしたいたずらをするウイルスもあります。ディスクのフォーマット、またはマザーボードの BIOS の破損によってコンピュータが損傷した場合。

まず最初に、インターネット上に漂うウイルスに関する最も一般的な通説を理解することが重要でしょう。

1. ウイルス対策 - あらゆるウイルスに対する保護

残念ながらそうではありません。 最新のデータベースを備えた高度なウイルス対策ソフトウェアを使用している場合でも、ウイルス攻撃を免れることはできません。 ただし、既知のウイルスからは多かれ少なかれ保護されます。脅威となるのは、ウイルス対策データベースに知られていない新しいウイルスだけです。

2. ウイルスはあらゆるファイルで拡散します

これは間違っています。 たとえば、音楽、ビデオ、写真の場合、ウイルスは蔓延しません。 しかし、ウイルスがこれらのファイルを偽装し、経験の浅いユーザーが間違いを犯して悪意のあるプログラムを起動させてしまうことがよくあります。

3. ウイルスに感染すると、PC は深刻な脅威にさらされます

これも真実ではありません。 ほとんどのウイルスは何もしません。 彼らにとっては、単にプログラムに感染するだけで十分です。 ただし、いずれの場合でも、これには注意する価値があります。少なくとも、最新のデータベースを備えたウイルス対策ソフトウェアを使用してコンピュータ全体をチェックしてください。 1 回感染したのなら、なぜ 2 回目に感染しないのでしょうか?!

4. メールは使用しないでください - 安全性の保証

残念ながら役に立ちません。 見覚えのないアドレスから手紙が届くことがあります。 単に開かずに、すぐに削除してゴミ箱を空にすることが最善です。 通常、ウイルスは添付ファイルとして手紙で届き、それを起動すると PC が感染します。 自分を守るのはとても簡単です。見知らぬ人からの手紙を開かないでください。スパム対策フィルターを設定することもお勧めします。

5. 感染したファイルをコピーした場合は感染します

一般に、実行可能ファイルを実行するまでは、ウイルスは通常のファイルと同様にディスク上に存在するだけで、ユーザーに悪影響を与えることはありません。

コンピュータウイルスの種類

まさに最初のウイルス (歴史)

この話は、およそ 60 ~ 70 年代に米国のいくつかの研究所で始まりました。 コンピュータ上には、通常のプログラムに加えて、誰にも制御されずに単独で動作するプログラムもありました。 コンピューターに大きな負荷をかけてリソースを浪費しなければ、すべてがうまくいきます。

それから約 10 年後の 80 年代には、そのようなプログラムがすでに数百本存在していました。 「コンピュータウイルス」という用語自体が登場したのは 1984 年です。

このようなウイルスは通常、いかなる方法でもユーザーに対してその存在を隠しません。 ほとんどの場合、彼らは彼にメッセージを見せて彼の仕事を妨害しました。

1985 年に、最初の危険な (そして最も重要なことに急速に拡散する) コンピューター ウイルス、Brain が出現しました。 ただし、プログラムを違法にコピーする海賊版を罰するという善意で書かれたものではあります。 このウイルスは、ソフトウェアの違法コピーに対してのみ機能します。

ブレインウイルスの後継者はさらに約10年間存在したが、その後その数は急激に減少し始めた。 彼らは賢明な行動をとったのではなく、単に自分たちの体をプログラム ファイルに記録し、それによってサイズを増大させただけでした。 ウイルス対策ソフトは、サイズを判断して感染ファイルを検出する方法をすぐに学習しました。

ソフトウェアウイルス

プログラム本体に付着したウイルスに続いて、別のプログラムの形で新しいタイプが出現し始めました。 しかし、主な問題は、そのような悪意のあるプログラムをユーザーに強制的に実行させる方法です。 それは非常に簡単であることがわかりました。 それをプログラムの一種のブレーカーと呼んでネットワーク上に置くだけで十分です。 多くの人は単純にダウンロードし、ウイルス対策の警告 (存在する場合) にもかかわらず、それを起動してしまいます。

1998 年から 1999 年にかけて、世界は最も危険なウイルス Win95.CIH によって震撼しました。 マザーボードの BIOS が無効になりました。 世界中の何千ものコンピューターが無効になりました。

ウイルスは電子メールの添付ファイルを通じて拡散しました。

2003 年には、SoBig ウイルス自体がユーザーから送信された手紙に添付されていたため、数十万台のコンピュータに感染することができました。

このようなウイルスに対する主な戦いは、定期的に Windows OS を更新し、ウイルス対策ソフトウェアをインストールすることです。 また、疑わしいソースから入手したプログラムの実行も拒否してください。

マクロウイルス

おそらく多くのユーザーは、exe ファイルや com ファイルに加えて、Microsoft Word や Excel の通常のファイルが非常に現実的な脅威となる可能性があるとは考えていません。 これはどのようにして可能でしょうか? 単に VBA プログラミング言語がこれらのエディターに組み込まれていたため、マクロをドキュメントに追加できるようになっていました。 したがって、これらを独自のマクロに置き換えると、ウイルスに感染する可能性があります...

現在、Office プログラムのほぼすべてのバージョンでは、見慣れないソースからドキュメントを起動する前に、このドキュメントからマクロを本当に実行するかどうかを必ず再度尋ねられます。「いいえ」ボタンをクリックしても、何も起こりません。文書にウイルスが含まれていた場合。 矛盾しているのは、ほとんどのユーザー自身が「はい」ボタンをクリックしてしまうということです...

最も有名なマクロウイルスの 1 つは、1999 年にピークに達した Mellis’y と考えられます。 このウイルスは文書を感染させ、感染した手紙を Outlook 経由で友人に送信しました。 そのため、短期間のうちに世界中の何万台ものコンピュータが感染しました。

スクリプトウイルス

マクロウイルスは、特殊な種類としてスクリプト ウイルスのグループに含まれます。 ここで重要なのは、Microsoft Office の製品でスクリプトが使用されているだけでなく、他のソフトウェア パッケージにもスクリプトが含まれているということです。 たとえば、メディア プレーヤー、Internet Explorer などです。

これらのウイルスのほとんどは、手紙や電子メールの添付ファイルを通じて拡散します。 投資は、新しい絵や音楽作品に見せかけられることがよくあります。 いずれにしても、見覚えのないアドレスからの添付ファイルは起動しないでください。さらに良いのは、添付ファイルを開かないことです。

ユーザーは、ファイル拡張子によって誤解されることがよくあります...結局のところ、写真が安全であることは長い間知られてきました。それなら、なぜメールで送信された写真を開けないのでしょうか...デフォルトでは、エクスプローラーはファイル拡張子を表示しません。 また、「interesnoe.jpg」のような画像名が表示されていても、ファイルの拡張子がそのとおりであるとは限りません。

拡張子を表示するには、次のオプションを有効にします。

Windows 7 を例として説明します。任意のフォルダに移動し、「整理/フォルダと検索オプション」をクリックすると、「表示」メニューが表示されます。 私たちの大切なチェックマークがあります。

「登録されたファイルタイプの拡張子を非表示にする」オプションのチェックを外し、「隠しファイルとフォルダーを表示する」機能も有効にします。

さて、送られてきた写真を見てみると、「interesnoe.jpg」が突然「interesnoe.jpg.vbs」になっていることがわかるかもしれません。 それがすべてのトリックです。 多くの初心者ユーザーはこの罠に何度も陥っており、今後も罠にはまり続けるでしょう...

スクリプト ウイルスに対する主な防御策は、OS とウイルス対策を適時に更新することです。 また、不審なメール、特に理解できないファイルが含まれているメールは閲覧しないようにしてください。ちなみに、重要なデータは定期的にバックアップしておいても問題ありません。 そうすれば、あらゆる脅威から 99.99% 保護されます。

トロイの木馬

この種はウイルスとして分類されていますが、直接的にはウイルスではありません。 PC への侵入は多くの点でウイルスと似ていますが、タスクが異なるだけです。 ウイルスの目的ができるだけ多くのコンピュータに感染し、ウィンドウを開くなどの削除操作を実行することである場合、トロイの木馬プログラムの目的は通常 1 つあり、それはさまざまなサービスからパスワードをコピーし、情報を見つけることです。 トロイの木馬プログラムがネットワーク経由で制御され、所有者の命令によって即座に PC を再起動したり、さらに悪いことに一部のファイルを削除したりする可能性があることがよくあります。

もう 1 つの機能にも注目してください。 ウイルスは他の実行可能ファイルに感染することがよくありますが、トロイの木馬はそれを行わず、単独で動作する独立した独立したプログラムです。 多くの場合、これはある種のシステム プロセスとして偽装されているため、初心者ユーザーがそれを見つけるのは困難です。

トロイの木馬の被害者にならないようにするには、まず、インターネットのハッキングや一部のプログラムのハッキングなど、ファイルをダウンロードしないでください。 第 2 に、ウイルス対策に加えて、The Cleaner、Trojan Remover、AntiViral Toolkit Pro などの特別なプログラムも必要です。第 3 に、ファイアウォール (インターネット アクセスを制御するプログラム) をインストールすることは不必要ではありません。他のアプリケーション)、手動構成では、すべての不審なプロセスや不明なプロセスがブロックされます。 トロイの木馬プログラムがネットワークにアクセスできなければ、作業の半分はすでに完了しており、少なくともパスワードはどこにも流出しません...

要約すると、ユーザー自身が好奇心からファイルを起動したり、ウイルス対策プログラムを無効にしたりした場合、講じられたすべての対策や推奨事項は役に立たないと言いたいのです。逆説は、90% のケースでウイルス感染が発生するということです。 PC の所有者自身の過失によるものです。 まあ、その10%の被害者にならないためには、時々生産するだけで十分です。 そうすれば、ほぼ 100% 確実にすべてがうまくいくでしょう。

オルジョニキゼ県教育局


コンピュータウイルス

コンピューターサイエンスに関する要約


執行者:

ノビコフ・アレクサンダー

9「B」クラス

監督者:

ナジモワ・エレナ・アナトリエフナ

IT教師


エカテリンブルク 1999


コンピュータウイルスとは何ですか?


コンピュータ ウイルスは、他のプログラムに「帰属」し、コンピュータ上でさまざまな望ましくない動作を実行する、特別に作成された小さなプログラムです。 ウイルスを含むプログラムを「感染した」といいます。 このようなプログラムが動作を開始すると、まずウイルスが制御を奪います。 このウイルスは他のプログラムを見つけて「感染」し、さらにいくつかの有害な動作も実行します (たとえば、ディスク上のファイルやファイル アロケーション テーブルを破損したり、RAM を「詰まらせたり」します)。 ウイルスは、自己複製能力を持つプログラムです。 この能力は、あらゆる種類のウイルスに固有の唯一の特性です。 ウイルスは「完全に孤立」して存在することはできません。 これは、今日では、他のプログラムのコード、ファイル構造に関する情報、さらには他のプログラムの名前だけを何らかの形で使用しないウイルスを想像することは不可能であることを意味します。 この理由は非常に明らかです。ウイルスは何らかの方法で提供する必要があります。

自分自身にコントロールを移すこと。


コンピュータウイルスの主な種類


異なるウイルス対策ソフトウェア開発者の分類において、同じウイルスが認識できないほど異なる名前を持つ状況を避けるために、コンピューター ウイルスを分類し、それらに名前を付けるための完全に正式なシステムがあります。 とはいえ、ウイルスの名前や特徴はまだ完全に統一されているとは言えません。 これは主に、いくつかの「ゲームのルール」が策定されるまでに、独自の表記システムで動作するウイルス対策ツールがすでに存在していたという事実によって決定されます。 一般的な統合には多大な労力と、プログラムやドキュメントの変更が必要になります。 多くの場合、これが行われました。 平均的なユーザーは、攻撃対象、感染方法、発現の特徴など、ウイルスの機能のすべての複雑さを掘り下げる必要はないという事実から話を進めます。ただし、ウイルスの種類を知っておくことをお勧めします。彼らの仕事の全体的なスキームを理解することです。

さまざまなウイルスの中で、次の主要なグループを区別できます。

ブートウイルス; これは、フロッピー ディスクやハード ドライブのブート セクタに感染するウイルスに付けられた名前です。

ファイルウイルス。最も単純なケースでは、このようなウイルスは実行可能ファイルに感染します。 ブート ウイルスに関してすべてが多かれ少なかれ明らかであるとすれば、ファイル ウイルスはそれほど明確ではない概念です。 たとえば、ファイル ウイルス (サテライト ウイルスや Dir-II ファミリのウイルス) はファイルをまったく変更しない可能性があると言うだけで十分です。

ブートファイルウイルス。このようなウイルスは、ブート セクター コードとファイル コードの両方に感染する能力を持っています。 このようなウイルスはそれほど多くはありませんが、その中には非常に邪悪な例があります (たとえば、有名な OneHalf ウイルス)。

いわゆるウイルス マクロ言語、形式的にはファイルベースですが、実行可能ファイルには感染しません。 データファイルただし、感染できるように設計されています。これはすでにソフトウェア発行者の良心に従っています。


破損したファイルや感染したファイル


コンピュータウイルスは腐敗する可能性があります。 コンピュータ上で使用可能なディスク上のファイルを適切に変更します。 ただし、ファイルの種類によってはウイルスに感染する可能性があります。 これは、ウイルスがこれらのファイルに自分自身を「挿入」できることを意味します。 特定の状況下で機能し始めるウイルスを組み込むように変更します。

プログラムやドキュメントのテキスト、データベース情報ファイル、テーブル プロセッサ テーブル、およびその他の同様のファイルはウイルスに感染することはなく、破壊されるだけであることに注意してください。

次の種類のファイルはウイルスに感染する可能性があります。

1. 実行可能ファイル、それらの。 名前拡張子が .COM および .EXE のファイル、および他のプログラムの実行時にロードされるオーバーレイ ファイル。 感染した実行可能ファイル内のウイルスは、そのウイルスが存在するプログラムが起動されると活動を開始します。 最も危険なのは、起動後にメモリ内に常駐するファイル ウイルスです。ファイルに感染し、コンピュータが次回再起動されるまで害を及ぼす可能性があります。 また、AUTOEXEC.BAT または CONFIG.SYS ファイルから起動されるプログラムに感染すると、ハード ドライブから再起動するとウイルスが再び動作し始めます。

2. オペレーティング システム ローダーとマスター ブート

ハードディスク録画。これらの領域はブート ウイルスの影響を受けます。

このようなウイルスは、コンピュータが起動して常駐するときに活動を開始します。 コンピュータのメモリに永久に保存されます。 配布メカニズムは、コンピュータに挿入されたフロッピー ディスクのブート レコードの感染です。 多くの場合、このようなウイルスは 2 つの部分で構成されます。これは、ブート レコードとマスター ブート レコードのサイズが小さく、ウイルス プログラム全体を収容することが難しいためです。 これらに収まらないウイルスの部分は、ディスクの別の部分、たとえば、ディスクのルート ディレクトリの末尾、またはディスクのデータ領域のクラスター (通常はそのような場所) にあります。クラスターは欠陥があると宣言され、データがディスクに書き込まれるときにウイルス プログラムが上書きされません。

3. デバイスドライバー、それらの。 CONFIG.SYS ファイルのデバイス アプリケーションで指定されたファイル。 これらに含まれるウイルスは、対応するデバイスがアクセスされるたびに活動を開始します。 ドライバーがあるコンピューターから別のコンピューターに書き換えられることはほとんどないため、デバイス ドライバーに感染するウイルスは非常にまれです。 同じことが DOS システム ファイルにも当てはまります。理論的には感染も可能ですが、配布には効果がありません。

一般に、特定の種類のウイルスはそれぞれ 1 種類または 2 種類のファイルにのみ感染します。 最も一般的なウイルスは、実行可能ファイルに感染するウイルスです。 一部のウイルスは .COM ファイルにのみ感染し、一部のウイルスは .EXE ファイルにのみ感染し、ほとんどは両方に感染します。 2 番目に一般的なウイルスはブート ウイルスです。 一部のウイルスは、ファイルとディスクのブート領域の両方に感染します。 デバイス ドライバーに感染するウイルスは非常にまれですが、通常、このようなウイルスは実行可能ファイルに感染する可能性があります。


ファイルシステムを変更するウイルス


最近、ディスク上のファイル システムを変更する新しいタイプのウイルスが蔓延しています。 これらのウイルスは通常、Dir と呼ばれます。 このようなウイルスは、その本体をディスクの一部 (通常はディスクの最後のクラスター) に隠し、ファイル アロケーション テーブル (FAT) 内でファイルの終わりとしてマークします。 すべての .COM および .EXE ファイルでは、対応するディレクトリ要素に含まれるファイルの最初のセクションへのポインタが、ウイルスが含まれるディスクのセクションへのリンクに置き換えられ、エンコードされた正しいポインタがファイル内に隠されます。ディレクトリ要素の未使用部分。 したがって、プログラムが起動されると、ウイルスがメモリにロードされ、その後メモリ内に常駐し、DOS プログラムに接続してディスク上のファイルを処理し、

ディレクトリ要素へのすべての呼び出しに正しいリンクを提供します。

したがって、ウイルスが実行されているとき、ディスク上のファイル システムは完全に正常に見えます。 「クリーンな」コンピュータ上で感染したディスクを表面的に観察しただけでは、何もおかしな点は見つかりません。 ただし、感染したフロッピー ディスクからプログラム ファイルを読み取ったりコピーしたりする場合は、ファイルがはるかに長い場合でも、読み取られるかコピーされるのは 512 バイトまたは 1024 バイトだけです。 そして、そのようなウイルスに感染したディスクから実行可能プログラムを実行すると、そのディスクはまるで魔法のように動作しているように見え始めます (コンピュータが感染するので当然のことですが)。

ChkDsk または NDD プログラムを使用して「クリーンな」コンピュータで分析すると、Dir ウイルスに感染したディスクのファイル システムは完全に破損しているように見えます。 したがって、ChkDsk プログラムは、ファイルの交差 (「... クラスター上で相互リンクされている...」) および失われたクラスターのチェーン (「... 失われたクラスターが ... チェーンで見つかりました」) に関する大量のメッセージを生成します。 これらのエラーを ChkDsk または NDD プログラムで修正しないでください。修正すると、ディスクが絶望的に​​損傷することになります。 これらのウイルスに感染したディスクを修復するには、特別なウイルス対策プログラム (Aidstest の最新バージョンなど) のみを使用する必要があります。


「目に見えないもの」と

自己改変ウイルス


検出を防ぐために、一部のウイルスは非常に狡猾なカモフラージュ技術を使用します。 そのうちの 2 つ、「目に見えない」ウイルスと自己改変ウイルスについて説明します。

「目に見えない」ウイルス。多くの常駐ウイルス (ファイル ウイルスとブート ウイルスの両方) は、感染したファイルやディスク領域への DOS (およびアプリケーション プログラム) の呼び出しを傍受し、それらを元の (感染していない) 形式で表示することで検出を防ぎます。 もちろん、この影響は感染したコンピュータでのみ観察されます。「クリーンな」コンピュータでは、ファイルおよびディスクのブート領域の変更は簡単に検出できます。

一部のウイルス対策プログラムは、感染したコンピュータ上でも「目に見えない」ウイルスを検出できる場合があることに注意してください。 したがって、Dialog-Nauka 社の ADinf プログラムは、DOS サービスを使用せずにこの目的でディスクを読み取り、Dialog-MGU 社の AVSP プログラムは、それをしばらく「無効」にします。

ウイルスチェック (最後の方法は常に機能するとは限りません)。

一部のウイルス対策プログラムは、ウイルスと戦うために、「目に見えない」ファイル ウイルスの機能を使用して、感染したファイルを「修復」します。 感染したファイルから (ウイルスの実行中に) 情報を読み取り、ファイルとしてディスクに書き込みます。この情報は歪みのない形式で保存されます。 次に、「クリーンな」フロッピー ディスクから起動した後、実行可能ファイルは元の形式に復元されます。

自己改変ウイルス。ウイルスが検出を回避するために使用するもう 1 つの方法は、ウイルスの本体を改変することです。 多くのウイルスは本体の大部分をエンコードされた形式で保存するため、逆アセンブラを使用してウイルスの動作メカニズムを理解することはできません。 自己改変ウイルスはこの技術を使用し、多くの場合、このエンコードのパラメータを変更します。さらに、ウイルスの残りのコマンドをデコードするために使用される開始部分も変更します。 したがって、このようなウイルスの体内には、ウイルスを識別できる単一の定常的なバイト連鎖が存在しません。 これにより、当然のことながら、検出プログラムがそのようなウイルスを検出することが困難になります。

ただし、検出プログラムは依然として「単純な」自己書き換えウイルスを検出する方法を学習しています。 これらのウイルスでは、ウイルスのエンコードされた部分を復号化するメカニズムのバリエーションは、特定のコンピューター レジスタ、暗号化定数、「重要ではない」コマンドの追加などの使用にのみ関係します。 また、検出プログラムは、マスクの変更にもかかわらず、ウイルスの開始部分のコマンドを検出するように適応しています。 しかし最近では、非常に複雑な自己改変機構を持ったウイルスが出現しています。 このウイルスでは、ウイルスの開始部分が非常に複雑なアルゴリズムを使用して自動的に生成されます。復号化プログラムの各重要な命令は、数十万の可能なオプションの 1 つによって送信され、すべての Intel-8088 コマンドの半分以上が使用されます。 このようなウイルスを認識する問題は非常に複雑であり、完全に信頼できる解決策はまだ得られていません。 ただし、一部のウイルス対策プログラムには、そのようなウイルスを検出するツールがあり、Dr. Web - 自己書き換えウイルスに典型的な、プログラム コードの「不審な」セクションを検出するためのヒューリスティックな方法でもあります。


コンピュータウイルスに対する基本的な防御方法


ウイルスから保護するには、以下を使用できます。

– 一般的な情報保護ツール。ディスクへの物理的な損傷、プログラムの誤動作、またはユーザーの誤った操作に対する保険としても役立ちます。

– ウイルスに感染する可能性を減らすための予防措置。

    ウイルス対策に特化したプログラム。

一般的な情報セキュリティ ツールは、ウイルス対策以外にも役立ちます。 これらのファンドには主に 2 つのタイプがあります。

情報をコピーする – ファイルとシステムディスク領域のコピーを作成します。

アクセス制御 情報の不正使用を防止し、特にウイルスによるプログラムやデータの変更、プログラムの誤動作、ユーザーの誤った操作から保護します。

一般的な情報セキュリティ対策はウイルスから守るために非常に重要ですが、それだけではまだ十分ではありません。 ウイルスから保護するために特別なプログラムを使用することも必要です。 これらのプログラムは、ディテクター、ドクター (ファージ)、オーディター (ファイルおよびディスクのシステム領域の変更を監視するプログラム)、ドクターオーディター、フィルター (ウイルスから保護するための常駐プログラム)、およびワクチン (イムナイザー) のいくつかのタイプに分類できます。 これらの概念を簡単に定義してから、詳細に検討してみましょう。

検出器プログラム いくつかの既知のウイルスのいずれかに感染したファイルを検出できます。

医師プログラム 、 または ファージ 、感染したプログラムまたはディスクからウイルスの本体を「噛み出す」ことによって、感染したプログラムまたはディスクを「処理」します。 プログラムをウイルス感染前の状態に復元します。

監査員プログラム まず、プログラムの状態とディスクのシステム領域に関する情報を記憶し、その状態を元の状態と比較します。 不一致が検出された場合は、ユーザーに通知されます。

医師・検査官 – これらは監査人と医師のハイブリッドです。つまり、 ファイルやディスクのシステム領域の変更を検出するだけでなく、変更があった場合には自動的に元の状態に戻すプログラム。

フィルタープログラム これらはコンピュータの RAM に常駐し、ウイルスが複製して害を及ぼすために使用するオペレーティング システムへの呼び出しを傍受し、ユーザーに報告します。

ワクチンプログラム または 予防接種者 、プログラムの動作に影響を与えないようにプログラムやディスクを変更しますが、ワクチン接種の対象となるウイルスは、これらのプログラムやディスクがすでに感染しているものとみなします。 これらのプログラムは非常に非効果的であるため、これ以上検討されません。


探知プログラムと医師

ほとんどの場合、コンピュータに感染したウイルスを検出するために、すでに開発された検出プログラムを見つけることができます。 これらのプログラムは、ユーザーが指定したドライブ上のファイルに、特定のウイルスに固有のバイトの組み合わせが含まれているかどうかをチェックします。 いずれかのファイルで検出された場合、対応するメッセージが画面に表示されます。 多くの検出器には、感染したファイルを修復または破壊するためのモードがあります。

検出プログラムは「既知の」ウイルスのみを検出できることを強調しておく必要があります。 McAfee Associates の Scan プログラムと D.N. Lozinsky の Aidstest を使用すると、約 1000 種類のウイルスを検出できますが、合計すると 5000 種類以上のウイルスが存在します。 Norton AntiVirus や Dialog-MGU の AVSP などの一部の検出プログラムは、新しいタイプのウイルス用に構成できます。これらのウイルスに固有のバイトの組み合わせを指定するだけで済みます。 しかし、これまで未知のウイルスを検出できるプログラムを開発することは不可能です。

したがって、プログラムが検出器によって感染していると認識されないという事実は、そのプログラムが正常であることを意味するわけではありません。プログラムには、検出器プログラムには知られていない、新しいウイルスまたは古いウイルスのわずかに変更されたバージョンが含まれている可能性があります。


監査員プログラム


監査プログラムには 2 つの作業段階があります。 まず、プログラムの状態とディスクのシステム領域 (ブート セクターとハードディスク パーティション テーブルのあるセクター) に関する情報を記憶します。 現時点ではプログラムやシステムディスク領域は感染していないと想定されます。 その後、監査プログラムを使用すると、いつでもプログラムやシステムディスク領域の状態を元の状態と比較できます。 特定されたものについて

不一致はユーザーに報告されます。

多くのユーザーは、監査プログラムを実行するコマンドを AUTOEXEC.BAT バッチ ファイルに含めて、オペレーティング システムが起動するたびにプログラムとディスクのステータスがチェックされるようにしています。 これにより、まだ大きな被害を引き起こしていないコンピュータ ウイルス感染を検出できます。 さらに、同じ監査プログラムはウイルスによって損傷したファイルを見つけることができます。


フィルタープログラム


コンピュータ ウイルスのような現象が発生する可能性がある理由の 1 つは、MS DOS オペレーティング システムに不正アクセスから情報を保護する効果的な手段がなかったことです。 保護手段がないため、コンピュータ ウイルスは、気付かれずにプログラムを変更したり、ファイル アロケーション テーブルを破損したりする可能性があります。

この点に関して、さまざまな企業やプログラマーが、ウイルスから保護するためのフィルター プログラム、つまり常駐プログラムを開発してきました。これにより、DOS のこの欠点がある程度補われます。 これらのプログラムはコンピュータの RAM に常駐し、ウイルスが複製して害を及ぼすために使用するオペレーティング システムへの呼び出しを「傍受」します。 このような「疑わしい」アクションには、特に、.COM および .EXE ファイルの変更、ファイルからの「読み取り専用」属性の削除、ディスクへの直接書き込み (絶対アドレスへの書き込み)、ディスクのフォーマット、「常駐」のインストールなどがあります。 (RAM に永続的に配置される) プログラム。

不審ではないアクションが要求されるたびに、どのようなアクションが要求され、どのプログラムがそれを実行しようとしているのかを示すメッセージがコンピュータ画面に表示されます。 このアクションは許可することも拒否することもできます (図 1)。

一部のフィルタ プログラムは、不審なアクションを「捕捉」しませんが、実行のために呼び出されるプログラムにウイルスがないかチェックします。 これにより、当然のことながら、コンピュータの速度が低下します。

フィルタ プログラムによって提供される保護の程度は過大評価すべきではありません。多くのウイルスは、割り込みを通じてこれらのプログラムを呼び出す標準的な方法を使用せずに、オペレーティング システム プログラムに直接アクセスして複製して害を及ぼし、常駐プログラムはこれらの割り込みのみを傍受して保護するためです。ウイルスに対して。 さらに、フィルタ プログラムは、ブート セクタを介して広がるウイルスによるハード ドライブの感染に対しては役に立ちません。そのような感染は DOS のロード時に発生するためです。 プログラムを実行したりドライバーをインストールしたりする前に。

ただし、フィルター プログラムを使用する利点は非常に重要です。フィルター プログラムを使用すると、ウイルスがまだ増殖して害を及ぼす時間がない非常に早い段階で多くのウイルスを検出できます。 こうすることで、ウイルスによる損失を最小限に抑えることができます。


できることとできないこと

コンピュータウイルス


コンピュータウイルスの動作メカニズムについての無知のために、またさまざまな噂や報道機関の無能な出版物の影響下で、いわゆるウイルスに対する独特の恐怖複合体が作られることがよくあります。 「ウイルス恐怖症」。 この複合体には 2 つの症状があります。

1. コンピュータ上のあらゆるデータ破損や異常な現象がウイルスのせいであると考える傾向。 たとえば、フロッピー ディスクをフォーマットできません。「ウイルス恐怖症」の場合、これはフロッピー ディスクまたはドライブの欠陥の可能性ではなく、ウイルスの影響です。 ハードドライブに不良ブロックが現れた場合、もちろんこれもウイルスのせいです。 実際、コンピュータ上の異常な現象は、ユーザー エラー、プログラム エラー、またはハードウェアの欠陥によって引き起こされることがほとんどです。

2. ウイルスの能力に関する誇張された考え。 たとえば、コンピュータがウイルスに感染するには、感染したフロッピー ディスクをドライブに挿入するだけで十分だと考える人もいます。 また、接続されたコンピュータについては、

ネットワークに接続したり、同じ部屋にいるだけで、1 台のコンピュータに感染すると、すぐに残りのコンピュータにも感染することになります。

ウイルス恐怖症の最善の治療法は、ウイルスがどのように機能するか、何ができて何ができないかを知ることです。 ウイルスは通常のプログラムであり、超自然的な動作を実行することはできません。

コンピュータがウイルスに感染するには、ウイルスを含むプログラムがそのコンピュータ上で少なくとも 1 回実行される必要があります。 したがって、コンピュータの最初のウイルス感染は、次のいずれかの場合に発生する可能性があります。

– .COM または .EXE タイプの感染したプログラム、または感染したオーバーレイ プログラム モジュールがコンピュータ上で実行された。

– コンピュータは、感染したブート セクタを含むフロッピー ディスクから起動されました。

    感染したオペレーティング システムまたは感染したデバイス ドライバーがコンピューターにインストールされた。

したがって、次の場合にはコンピュータがウイルスに感染することを心配する必要はありません。

    プログラムのテキスト、文書、データベースやテーブルプロセッサの情報ファイルなどをコンピュータ上にコピーします。 これらのファイルはプログラムではないため、ウイルスに感染することはありません。

    感染していないコンピュータでは、ファイルはフロッピー ディスクから別のフロッピー ディスクにコピーされます。 コンピュータが「正常」であれば、コンピュータ自体も、コピーされるフロッピー ディスクもウイルスに感染することはありません。 この状況でウイルスを感染させる唯一の選択肢は、感染したファイルをコピーすることです。この場合、もちろんそのコピーも「感染」しますが、コンピュータも他のファイルも感染しません。

    ワード プロセッサ、スプレッドシート プロセッサ、データベース管理システム、および感染していないコンピュータのハード ドライブ上で利用可能なその他のプログラムを使用して、フロッピー ディスクに含まれる情報ファイルが処理されます。

ウイルスに感染した場合の対処方法


コンピュータがウイルスに感染している場合 (またはウイルスの疑いがある場合)、4 つのルールに従うことが重要です。

    まず第一に、急いで性急な決定を下す必要はありません。軽率な行動は、復元可能な一部のファイルを失うだけでなく、コンピュータの再感染につながる可能性があります。

2. すぐに実行する必要があるアクションが 1 つあります。ウイルスが破壊的な動作を継続しないように、コンピュータの電源を切る必要があります。

3. 感染の種類を検出してコンピュータを治療するすべてのアクションは、オペレーティング システムがインストールされた書き込み保護された「参照」フロッピー ディスクからコンピュータを起動する場合にのみ実行する必要があります。 この場合、書き込み保護されたフロッピー ディスクに保存されているプログラム (実行可能ファイル) のみを使用してください。 この規則に従わないと、非常に深刻な結果につながる可能性があります。DOS をロードしたり、感染したディスクからプログラムを実行したりするときに、コンピュータ内でウイルスが活性化する可能性があり、ウイルスが実行されている場合、コンピュータを治療しても意味がありません。 ディスクやプログラムのさらなる感染が伴います。

4. ウイルスから保護するために常駐フィルタ プログラムを使用すると、ウイルスが他のプログラムに感染してファイルを破損する前の非常に早い段階で、プログラム内のウイルスの存在を検出できます。 この場合、フロッピー ディスクから DOS を再起動し、感染したプログラムを削除してから、このプログラムを参照フロッピー ディスクから書き直すか、アーカイブから復元する必要があります。 ウイルスが他のファイルを破損していないかどうかを確認するには、できればスキャン対象のファイルの幅広いリストを使用して、監査プログラムを実行してファイルの変更をチェックする必要があります。 スキャン プロセス中にコンピュータが感染し続けるのを避けるには、フロッピー ディスクにある監査プログラムの実行可能ファイルを実行する必要があります。


コンピューター治療。すでにウイルスがコンピュータのディスク上の一部のファイルに感染または破損している場合は、次の手順を実行する必要があります。

    事前に準備した参照フロッピー ディスクを使用して DOS オペレーティング システムを再起動します。 このフロッピー ディスクには、コンピュータ ウイルスの回復に使用される他のフロッピー ディスクと同様、ウイルスがフロッピー ディスク上のファイルに感染したり破損したりするのを防ぐために、書き込み禁止ラベルが貼られている必要があります。 再起動はキーボード ショートカットを使用して実行しないでください。 Ctrl+Alt+Del、 なぜなら 一部のウイルスは、このような再起動でもなんとか「生き残る」ことができます。

    コンピュータに構成プログラム (コンピュータの起動時に特定のキーの組み合わせを押すと呼び出されます) がある場合は、このプログラムを実行して、コンピュータの構成設定が正しく設定されているかどうかを確認する必要があります。 ウイルスによって破損している可能性があります。 正しくインストールされていない場合は、再インストールする必要があります。

    コンピュータに感染するウイルスを検出する検出プログラムがある場合は、これらのプログラムを実行してコンピュータのディスクをスキャンする必要があります。 必要なプログラムを見つけるには、既存の検出プログラムを 1 つずつ実行して感染ディスクをスキャンします (確認なしに感染ファイルを駆除または削除する検出プログラムのモードは使用しないことをお勧めします)。 まず、Scan や Aidstest など、複数のウイルスを同時に検出するプログラムを実行するのが合理的です。 いずれかの検出プログラムがウイルスを発見したと報告した場合は、以下で説明するように、コンピューターのウイルス感染による影響を排除するプロセスでそのプログラムを使用する必要があります。 ただし、コンピュータは一度に複数のウイルスに感染することが非常に多いため、1 つのウイルスを発見したとしても、コンピュータ内に 2 つ目、3 つ目のウイルスが存在する可能性があることに注意してください。

    次に、以下で説明するように、ウイルスに感染している可能性のあるすべてのディスクを順番に無効化する必要があります。 コンピュータのハード ドライブが複数の論理ドライブに分割されている場合、フロッピー ディスクから起動するときにアクセスできるのは 1 つの論理ドライブ (DOS オペレーティング システムがロードされている論理ドライブ) のみであることに注意してください。 この場合、まず DOS が起動する論理ドライブを中立化し、次にハード ドライブから起動して他の論理ドライブを中立化する必要があります。

ディスク治療。必要なすべてのファイルのアーカイブされたコピーがディスクにある場合、最も簡単な方法は、ディスクを再フォーマットし、アーカイブされたコピーを使用してそのディスク上のすべてのファイルを復元することです。 ここで、ディスクに必要なファイルが含まれており、そのコピーがアーカイブに存在しないと仮定します。 明確にするために、このディスクはドライブ (B:) 上にあると仮定します。 次のことを行う必要があります。

    コンピュータが感染しているウイルスを検出するディスクの検出プログラムを実行します (どの検出プログラムがウイルスを検出するかが不明な場合は、いずれかの検出プログラムがウイルスを検出するまで検出プログラムを 1 つずつ実行する必要があります)。 この場合、治療計画を立てない方が良いでしょう。

検出プログラムがブート ウイルスを検出した場合は、その治療モードを安全に使用してウイルスを除去できます。 Dir のようなウイルスが検出された場合は、何らかのウイルス対策プログラムを使用して削除する必要がありますが、NDD や ChkDsk などのプログラムを使用してはいけません。

    ディスク上に Dir タイプのウイルスがないことがわかったので、ファイル システムと表面の整合性をチェックできます。

NDD プログラムを使用してディスクを作成します: NDD B: C。 ファイル システムへの損傷が重大な場合は、必要なすべてのファイルをディスクからフロッピー ディスクにコピーし、そのコピーがアーカイブに存在しないことをお勧めします。ディスク。 ディスクのファイル構造が複雑な場合は、Norton Utilites の DiskEdit プログラムを使用して修正を試みることができます。

    監査プログラム用にディスク上のファイルに関する情報が保存されている場合は、監査プログラムを実行してファイルの変更を診断すると便利です。 これにより、どのファイルがウイルスに感染しているか破損しているかを判断できます。 監査プログラムが医師の機能も実行する場合は、破損したファイルを復元することを信頼できます。

    ディスクから不要なファイルをすべて削除し、コピーがアーカイブ内にあるファイルも削除します。 ウイルスによって変更されていないファイル (これは監査プログラムを使用してインストールできます) は削除する必要はありません。

いかなる状況でも、監査プログラムによって変更されたことが報告される .COM および .EXE ファイルをディスク上に残さないでください。 ウイルスによって変更されたかどうか不明な .COM および .EXE ファイルは、どうしても必要な場合にのみディスク上に残しておく必要があります。

    処理しているディスクがシステム ディスクである場合 (つまり、そこから DOS オペレーティング システムをブートできる場合)、ブート セクタとオペレーティング システム ファイルをそのディスクに再書き込みする必要があります。 これは SYS コマンドを使用して実行できます。

    コンピュータがファイル ウイルスに感染し、医師検査官の助けを借りて治療を行っていない場合は、医師プログラムを実行してこのディスクを駆除する必要があります。 ドクター プログラムが復元できなかった感染ファイルは破棄する必要があります。 もちろん、もし

関連する抄録。

コンピュータウイルス特別に書かれた小さなサイズのプログラム (つまり、特定の実行可能コードのセット) であり、自分自身を他のプログラムに「帰属」させ (「感染」)、自分自身のコピーを作成し、ファイルやコンピュータのシステム領域に挿入することができます。など .d. また、コンピュータ上でさまざまな望ましくないアクションも実行されます。

ネットワーク ウイルス、つまりネットワーク上で独自に複製および拡散する悪意のあるソフトウェア製品があります。 これらは、ネットワーク情報、システム情報、およびユーザー情報の両方に影響を与える可能性があります。

コンピューター ウイルスは、次の点で「生物学的」ウイルスとの類似点にその名前が付けられています。

自己複製能力。

伝播速度が速い。

影響を受けるシステムの選択性 (各ウイルスは特定のシステムまたは同種のシステム グループにのみ影響を及ぼします)。

感染していないシステムに「感染」する能力。

ウイルスなどと戦うのが難しい。

重大な結果をもたらしたインターネット コンピュータの大量感染の最も有名な事例は、1988 年 11 月 2 日の緊急事態です。この事件では、モリス ウイルス (WORM) の蔓延の結果、数千台のコンピュータが事実上使用不能になりました。 C言語で書かれた60キロバイトの複雑なプログラム。 このプログラムは、BSD-Unix、VAX、SunOS など、類似しているもののいくつかの異なるオペレーティング システムで動作しました。 1 台のコンピュータに「定着」したウイルスは、このコンピュータに接続されている他のすべてのコンピュータに感染しようとしました。 まず、Telnet、SMTP、または Rexec サービスを使用して接続を確立しようとすることで、次の被害者を発見しようとしました。 接続の相手側でコンピュータが検出された場合、ウイルスは 3 つの方法のいずれかで感染を試みます。 すでに感染しているコンピュータと新たな被害者との間に信頼関係がある場合、Bourne rch コマンド プロセッサの標準コマンドを使用して感染が発生します。 このような関係がない場合、fingerd または sendmail ユーティリティを使用して感染が発生しました。 Fingerd ユーティリティを使用した感染の場合、536 バイトのデータがこのユーティリティの入力バッファに書き込まれました。 バッファオーバーフローが発生した場合、ユーティリティからのリターンコードはウイルスコードの実行命令と同じであることが判明しました。 sendmail コマンドを使用して感染するには、デバッグを目的としたこのコマンドの debug オプションが使用されました。 その助けを借りて、被害者のコンピュータにコマンドが入力され、PC へのウイルスのコピーにつながりました。 被害者のコンピュータに侵入した後、ウイルスは Unix パスワード ファイルを発見し、コンピュータの特権ユーザーのパスワードを推測しようとしました。 このウイルスには、いくつかのパスワード分割アルゴリズムが含まれていました。 そのうちの 1 つはユーザー名のさまざまな派生語を使用してパスワードを推測しようとし、もう 1 つは最も一般的なパスワード 432 個の組み込みテーブルを使用し、3 つ目はブルート フォース手法を使用してパスワードを推測しようとしました。 パスワード分割プロセスを高速化するために、ウイルスは複数の並列プロセスを起動しました。 すべてのユーザーのパスワードを受信したウイルスは、それを使用して次のコンピュータをキャプチャしようとしました。 存在してからわずか 1 日以内に、このウイルスは無制限に増殖し、インターネットに接続されている米国内のほとんどの大型コンピュータ システムをその動作により麻痺させました。

1999 年 10 月 16 日、W.COM ネットワーク ワームによる VAX/VMS システムの SPAN ネットワークへの攻撃に関するメッセージがインターネット上に表示されました。 このウイルスは DEC VMS オペレーティング システムにのみ影響し、DECnet ファミリ プロトコルを使用してネットワーク上に拡散しました。 TCP/IP ネットワークには感染の危険はありませんでしたが、カプセル化された DECnet パケットが TCP/IP ネットワーク上で送信された場合、ウイルスが拡散する転送媒体として機能する可能性があります。

W.COM ワームは、実行可能ファイルに独自のコードを追加して変更し、その結果、核兵器開発者に対する脅威が画面に表示されます。 ワームは再現するために、パスワードを持たないユーザー、またはユーザー名と一致するパスワードを持つユーザーをネットワークで検索しました。 そのようなユーザーが見つかると、ワームがそのユーザーに代わって起動され、新しいファイルが変更されました。 最悪の結果は、ワームが特権ユーザーとして実行されたときに発生しました。 この場合、彼は新しいユーザーを作成し、既存のユーザーのパスワードを変更しました。つまり、将来の初期化のための条件を作成しました。 他のシステムへの侵入は、ネットワーク アドレスをランダムに検索し、アクティブなユーザーに代わってリモート システムにアクセスすることによって実行されました。

インターネット上のウイルスは、zip などの圧縮ファイルに偽装されることがよくあります。 1995 年に、pkz300B.exe または pkz300B.zip ファイルを消去することが可能だったという兆候が見られました。 起動または解凍すると、自己拡張型アーカイブがアクティブ化され、ハード ドライブが再フォーマットされます。

1999 年に、PGP 暗号化システムのキーを盗むマクロ ウイルスが出現しました。 これは一部の専門家がスパイウェア ウイルスと呼ぶクラスに属します。 これらのウイルスは、他人のコンピュータに保存されている情報を盗む目的で作成されます。 Caligula は、Microsoft Word 形式の感染ドキュメントとともに PC に届きます。 新しい PC にインストールされると、このマクロ ウイルスは PGP ソフトウェアのコピーがインストールされているかどうかを確認します。 このようなシステムが検出されると、そこで使用されている暗号の秘密鍵 (PGP アルゴリズムを使用して暗号化されたデータのセキュリティの観点から最も重要なコンポーネント) がインターネット上の FTP サーバーの 1 つにコピーされます。 。

スービッグ ウイルスは英語で「とても大きい」と訳され、2003 年 8 月 18 日に初めて発表されました。スービッグは新世代のスーパー ウイルスであり、驚異的な拡散力と自己複製能力を備えているため危険です。 彼のバージョンのスービッグは特に危険です - Eph. このウイルスの目的は、電子メールに感染することです。 その特徴は、電子メッセージのテキストの内容を変更し、数百もの異なるメッセージを電子メール経由で個々のコンピュータに攻撃できることです。

2005 年に活動していたウイルスの 1 つは W32.Codbot.AL ワームでした。 このウイルスは、SQL Server LSASS および RPC-DCOM プロセスの既知の脆弱性を悪用して拡散します。 自分自身をコンピュータにインストールするには、システムが起動するたびに実行されるシステム プロセスとして自分自身を登録します。 実行中、さまざまな IRC サーバーに接続し、コマンドを待機します。 このウイルスは、コンピュータ情報の収集、キーストロークの記録、FTP サービスのアクティブ化、さらには他の悪意のあるプログラムのダウンロードと実行など、あらゆる種類のコマンドを受信する可能性があります。

2 番目のワームである W32.Semapi.A は、さまざまなヘッダー、送信者、その他のプロパティを持つメッセージに、さまざまな名前と拡張子の添付ファイルとして電子メール経由で配布されます。 ワームがコンピュータにインストールされると、いくつかのファイルがハード ドライブにコピーされ、コンピュータの電源がオンになるたびにワームが実行されるように一連のレジストリ エントリが作成されます。 次に、影響を受けるコンピュータ上の特定の拡張子を持つすべてのファイルで電子メール アドレスを検索し、自分自身のコピーをそれらのファイルに送信します。

Banker.XP トロイの木馬は、感染したコンピュータ上のさまざまなサービスにアクセスするためのパスワードなどの機密データを取得しようとします。 受信すると、彼はそれらをコンパイルしてハッカーに送信します。

2005 年 6 月、Kaspersky Lab は、有名な自動化システム 1C: Enterprise に影響を与える最初の悪意のあるプログラムの登録を発表しました。 このウイルスはタンガと呼ばれます。

Tanga は、外部レポートを担当し、「ERT」拡張子を持つユーザー ファイルに感染することによって、1C: Enterprise 7.7 システムで拡散します。 Tanga を感染ファイルに配置する方法は、Microsoft Office ソフトウェア パッケージ内のドキュメントやテーブルに感染するマクロ ウイルスと多くの点で似ています。 悪意のあるモジュールは特別なデータ ブロックに配置されており、レポート ファイルが開かれるとアクティブになります。 このウイルスは動作するために特別なライブラリ「Compound.dll」を使用します。 このファイルがシステムに存在しない場合、ウイルスは実行されません。

Tanga のこのバージョンの作成者は、ウイルス対策専門家の仕事の複雑さを理解しており、コード分析の時間と配布による被害を最小限に抑えるためにあらゆる努力を払ったことに注意してください。 これを行うために、ウイルスの作成者はウイルスからあらゆる破壊的な機能を奪い、感染した場合でもプログラムを安全にしました。

コンピュータ ウイルスは次の基準に従って分類できます。

− ウイルスの生息地に応じて:

・ 通信網;

・ ファイル;

· ブーツ。

− 感染方法別:

・ 居住者;

・ 非居住者;

− 破壊能力に応じて:

· 無害。

・無害。

・ 危険な;

・ すごく危ない;

− ウイルスアルゴリズムの特徴による。

全文検索:

ホーム > テスト > 情報学

ロシア連邦教育科学省

ロシア貿易経済大学

カザン研究所(支部)

数学および高等数学学科

テストNo.1

学問分野:「情報学」

コンピュータウイルス

実行:

通信制1年生

特別な部門 学部

「金融と信用」グループ

チェック済み:

カザン、2007

プラン

導入

    コンピュータウイルスの本質と発現

    コンピュータウイルスの主な種類と種類

    ウイルスはどのように広がるのでしょうか?

    コンピュータウイルスの検出

5. ウイルス対策について

結論

参考文献

導入

コンピュータウイルス– コンピュータでの作業を妨げる特定のアクションを実行するように設計された特別に作成されたプログラム。 多くのウイルス プログラムは無害ですが、残念ながらすべてが完全に無害というわけではありません。 まず、RAM とディスクのスペースを占有します。 次に、エラーが含まれている可能性があり、システムのクラッシュや再起動につながる可能性があります。 したがって、ウイルスがまったく無害である場合でも、駆除する必要があります。

現在、ウイルスにはいくつかの種類と種類があります。 コンピュータ ウイルスの主な種類は、ソフトウェア ウイルス、ブート ウイルス、マクロ ウイルスです。 現在、5,000 種類を超えるソフトウェア ウイルスが知られており、次の基準に従って分類できます。 生息地の感染方法、アルゴリズムの特徴。

ウイルスがコンピュータに侵入する主な経路は、リムーバブル ディスク (フロッピーやレーザー)、およびコンピュータ ネットワークです。 ウイルスが含まれたフロッピー ディスクからコンピュータを起動すると、ハード ドライブがウイルスに感染する可能性があります。 このような感染は、フロッピー ディスクがシステムのフロッピー ディスクではない場合に、ドライブ A: からフロッピー ディスクが取り外されずにコンピュータが再起動された場合など、偶発的な感染である可能性もあります。 フロッピー ディスクは感染するのがはるかに簡単です。 フロッピー ディスクが感染したコンピュータのディスク ドライブに挿入され、たとえば目次が読み取られただけでも、ウイルスが侵入する可能性があります。 しかし、ウイルスを拡散させる最も一般的な方法は、コンピュータのネットワーク、特にインターネットを介して、ゲームなどの他のプログラムが書き換えられて起動されることです。 かなりまれですが、感染したコンピュータに別のハード ドライブが挿入される場合もあります。 これを回避するには、システムのフロッピー ディスクから起動し、特別なウイルス対策プログラムでハード ドライブをスキャンするか、さらに良い方法として、Fdisk および Format プログラムを使用してディスクのパーティションを作成し、フォーマットします。

ウイルスを識別するために、ウイルスを検出して破壊できる特別なウイルス対策プログラムがあります。 ウイルス対策プログラムにはかなり幅広い選択肢があります。 これらは、Aidstest (Lozinsky)、Dr Web、Norton antivirus for Windows、DSAV kit などです。

    コンピュータウイルスの本質と発現

残念なことに、パーソナル コンピュータの普及は、コンピュータの通常の動作を妨害し、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルス プログラムの出現と関連していることが判明しました。 コンピュータ ウイルスが 1 台のコンピュータに侵入すると、他のコンピュータにも広がる可能性があります。

コンピュータウイルスの出現と蔓延の理由は、一方では人間の性格の心理とその影の側面(妬み、復讐、認識されていない作成者の虚栄心)に隠されていますが、他方では、ハードウェアの保護とパーソナル コンピュータのオペレーティング システムからの対抗策。

コンピュータ犯罪と戦うために多くの国で法律が制定され、特殊なウイルス対策ソフトウェアが開発されているにもかかわらず、新しいソフトウェア ウイルスの数は増え続けています。 このため、パーソナル コンピュータのユーザーは、ウイルスの性質、ウイルスによる感染方法、およびウイルスからの保護についての知識を持っている必要があります。

ウイルスがコンピュータに侵入する主な経路は、リムーバブル ディスク (フロッピーやレーザー)、およびコンピュータ ネットワークです。 ウイルスが含まれたフロッピー ディスクからコンピュータを起動すると、ハード ドライブがウイルスに感染する可能性があります。 このような感染は、フロッピー ディスクがシステムのフロッピー ディスクではない場合に、ドライブ A: からフロッピー ディスクが取り外されずにコンピュータが再起動された場合など、偶発的な感染である可能性もあります。 フロッピー ディスクは感染するのがはるかに簡単です。 フロッピー ディスクが感染したコンピュータのディスク ドライブに挿入され、たとえば目次が読み取られただけでも、ウイルスが侵入する可能性があります。

コンピュータがウイルスに感染した場合、迅速に検出することが非常に重要です。 そのためには、ウイルスの主な兆候について知っておく必要があります。 これらには次のものが含まれます。

    操作の終了、または以前は正常に機能していたプログラムの誤った操作。

    コンピューターのパフォーマンスが遅い。

    オペレーティング システムをロードできない。

    ファイルやディレクトリの消失、またはその内容の破損。

    ファイル変更の日時を変更する。

    ファイルのサイズ変更;

    ディスク上のファイル数が予期せず大幅に増加。

    空き RAM のサイズが大幅に減少します。

    予期しないメッセージや画像の表示4

    予期せぬ音声信号を発する。

    コンピューターが頻繁にフリーズしたりクラッシュしたりする。

ただし、これらすべての兆候に基づいて、ウイルスがコンピュータに侵入したと確信を持って言うことは不可能です。 システムの誤動作やデバッグ不足が原因で、他にも誤動作がある可能性があります。 たとえば、購入したコンピュータでは、起動すると、ロシア語の記号の代わりに、初めて見る理解できない記号が表示されます。 この原因は、ディスプレイのキリル文字ドライバーがインストールされていない可能性があります。 プリンターの奇妙な動作も、同じ理由 (プリンターのドライバーがないこと) で説明される可能性があります。 システム障害は、システムユニット内部またはコード接続の不良マイクロ回路によって引き起こされる可能性があります。

    コンピュータウイルスの主な種類と種類

コンピュータ ウイルスの主な種類は次のとおりです。

    ソフトウェアウイルス。

    ブートウイルス。

    マクロウイルス。

コンピュータ ウイルスには、いわゆる トロイの木馬

馬 (トロイの木馬プログラム、トロイの木馬)。

ソフトウェア ウイルス。

ソフトウェア ウイルスは、他のアプリケーション プログラム内に意図的に埋め込まれたプログラム コードのブロックです。 ウイルスを運ぶプログラムを実行すると、プログラムに埋め込まれたウイルス コードが起動されます。

このコードを操作すると、ハード ドライブのファイル システムや他のプログラムの内容に、ユーザーから隠された変更が生じます。 たとえば、ウイルス コードは他のプログラムの本体内で自身を複製することができます。このプロセスはと呼ばれます。 再生。一定時間が経過すると、ソフトウェア ウイルスは十分な数のコピーを作成すると、プログラムやオペレーティング システムの動作を妨害したり、ハード ドライブに保存されている情報を削除したりするなど、破壊的な動作を開始する可能性があります。 このプロセスはと呼ばれます ウイルス攻撃。

最も破壊的なウイルスは、ハードドライブのフォーマットを開始する可能性があります。 ディスクのフォーマットはかなり時間がかかるプロセスであり、ユーザーが気付かないはずがないため、多くの場合、ソフトウェア ウイルスはハードディスクのシステム セクタ内でのみデータを増殖することに限定されており、これはファイル システム テーブルの損失に相当します。 この場合、ハードドライブ上のデータはそのまま残りますが、ディスクのどのセクタがどのファイルに属しているかが不明なため、特別なツールを使用しないと使用できません。 この場合、理論的にはデータを復元することは可能ですが、この作業には非常に多くの労働力がかかる可能性があります。

コンピューターのハードウェアに損害を与えるウイルスは存在しないと考えられています。 ただし、ハードウェアとソフトウェアが相互接続されているため、ハードウェアを交換することでソフトウェアの破損を解決しなければならない場合があります。 たとえば、最新のマザーボードのほとんどでは、基本入出力システム (BIOS) が書き換え可能な読み取り専用メモリ デバイス (いわゆる フラッシュメモリー).

フラッシュ メモリ チップ内の情報を上書きする機能は、一部のソフトウェア ウイルスによって BIOS データを破壊するために使用されます。

この場合、コンピュータの機能を復元するには、BIOS を保存しているチップを交換するか、特別なソフトウェアを使用して再プログラムする必要があります。

ソフトウェア ウイルスは、外部メディア (フロッピー ディスク、CD など) またはインターネットから受け取った未検証のプログラムを実行すると、コンピュータに侵入します。 言葉には特に注意を払う必要があります 起動時。感染ファイルをコピーするだけでは、コンピュータが感染することはありません。 この点に関して、インターネットから受信したすべてのデータは必須の検証を受ける必要があります

セキュリティのため、未知のソースから一方的なデータを受信した場合は、検査せずに破棄する必要があります。 トロイの木馬プログラムを配布する一般的な方法は、有用と思われるプログラムを抽出して実行するための「推奨事項」を電子メールに添付することです。

ウイルスを起動します。

ブート ウイルスは、感染の広がり方がソフトウェア ウイルスとは異なります。 これらはプログラム ファイルを攻撃しませんが、磁気メディア (フロッピーやハード ドライブ) の特定のシステム領域を攻撃します。 さらに、コンピュータの電源が入っているときに、それらを一時的に RAM に配置することができます。

通常、感染は、システム領域にブート ウイルスが含まれている磁気媒体からコンピュータを起動するときに発生します。 たとえば、フロッピー ディスクからコンピュータを起動しようとすると、ウイルスはまず RAM に侵入し、次にハード ドライブのブート セクタに侵入します。 そうなると、このコンピュータ自体がブート ウイルスの配布元になります。

マクロウイルス。

この特殊なタイプのウイルスは、特定のアプリケーション プログラムで実行されるドキュメントに感染します。 いわゆるを実行する手段を持っている マクロコマンド特に、このような文書には Microsoft Word ワードプロセッサ文書が含まれます (拡張子は

博士)。 プログラムでマクロ コマンドを実行する機能が無効になっていない限り、ドキュメント ファイルをプログラム ウィンドウで開くと感染が発生します。

他の種類のウイルスと同様、攻撃の結果は、比較的無害なものから破壊的なものまで多岐にわたります。

コンピュータウイルスの主な種類。

現在、5,000 を超えるソフトウェア ウイルスが知られており、次の基準に従って分類できます (図 1)。

    生息地。

    生息地の汚染方法。

    影響;

    アルゴリズムの特徴。

図1コンピュータウイルスの分類:

a – 生息地による。 b – 感染方法による。

c – 影響の程度に応じて。 d – アルゴリズムの機能による。

状況に応じて、 生息地ウイルスは、ネットワーク ウイルス、ファイル ウイルス、ブート ウイルス、およびファイル ブート ウイルスに分類できます。

ネットワークウイルスさまざまなコンピュータネットワーク上に分散されます。

ファイルウイルス主に実行可能モジュールに埋め込まれます。 拡張子が COM および EXE のファイルに。 ファイル ウイルスは他の種類のファイルに埋め込まれる可能性がありますが、原則として、一度そのようなファイルに書き込まれると制御を取得できなくなり、したがって複製する能力を失います。

ブートウイルスディスクのブート セクタ (ブート)、またはシステム ディスク ブート プログラムを含むセクタ (マスター ブート レコード) に埋め込まれています。

ファイルブートウイルスファイルとディスクのブート セクタの両方に感染します。

感染方法別ウイルスは常駐型と非常駐型に分けられます。

常在ウイルスコンピュータに感染すると、その常駐部分が RAM に残り、オペレーティング システムによる感染オブジェクト (ファイル、ブート セクタなど) へのアクセスを傍受し、感染オブジェクトに自身を注入します。 常駐ウイルスはメモリ内に常駐し、コンピュータの電源を切るか再起動するまで活動します。

非常在ウイルスコンピュータのメモリには感染せず、有効期間は限られています。

影響度別ウイルスは次の種類に分類できます。

    無害な、コンピュータの動作には干渉しませんが、空き RAM とディスク メモリの量が減少するため、このようなウイルスの動作はグラフィックやサウンド効果として現れます。

    危険なコンピュータにさまざまな問題を引き起こす可能性のあるウイルス。

    すごく危ないその影響により、プログラムの損失、データの破壊、ディスクのシステム領域の情報の消去が発生する可能性があります。

    ウイルスはどのように広がるのでしょうか?

いくつかの方法がありますが、主にフロッピー ディスクを使用します。 コンピュータにウイルスが感染している友人からフロッピー ディスクを受け取った場合、そのフロッピー ディスクも感染している可能性が高くなります。 ここで考えられるオプションは 2 つあります。 1 つ目は、ウイルスがディスクのシステム領域に存在すること、2 つ目は、感染したファイルが 1 つ以上存在することです。 すでに述べたように、ウイルスは制御を取得する必要があるため、システム フロッピー ディスクの場合は、そこから起動するときにコンピュータに感染する可能性があります。 これがシステム フロッピー ディスクであり、そこからコンピュータを起動しようとして次のメッセージが画面に表示された場合、この場合、どのディスケットにもフロッピー ディスクが含まれているため、コンピュータが感染する可能性があります。オペレーティング システム ローダーをオンにすると、制御が得られます。

2 番目のオプションは感染ファイルです。 すべてのファイルが感染するわけではありません。 したがって、たとえば、ノートン コマンダー エディタを使用して入力された手紙やその他の文書のテキストが存在する場合、そこにはウイルスは存在しません。 たとえそれが偶然そこにあったとしても、同じエディタまたは同様のエディタを使用してファイルを表示すると、そのようなファイルの最初または最後に理解できない文字が表示されることがあります。これらは破棄した方がよいでしょう。 他のエディタは、フォントのサイズや種類、インデント、さまざまな変換テーブルなどの制御情報を含むファイルを作成します。通常、そのようなファイルを通じて感染することはほぼ不可能です。 ただし、Word エディタのバージョン 6.0 および 7.0 には、制御が移される文書の先頭にマクロ コマンドを含める機能があるため、ウイルスが文書を通じて拡散する可能性があります。

ウイルスを拡散する他の方法としては、CD-ROM ドライブなどの他の記憶媒体に転送することもありますが、これは非常にまれです。 ライセンスソフトウェアを購入した際にウイルスに感染していたことが判明することがありますが、そのようなケースは非常にまれです。

CD-ROM ディスクの特徴は、情報が書き込まれないことです。 ウイルスに感染していない CD-ROM ディスクが感染したコンピュータにある場合、感染することはありません。 ただし、ウイルスに感染した情報が含まれている場合、ウイルス対策プログラムはディスクからウイルスを駆除できません。

ウイルスを拡散する最も一般的な方法は、コンピュータのネットワーク、特にインターネットを介して、ゲームなどの他のプログラムが書き換えられて起動されることです。 かなりまれですが、感染したコンピュータに別のハード ドライブが挿入される場合もあります。 これを回避するには、システムのフロッピー ディスクから起動し、特別なウイルス対策プログラムでハード ドライブをスキャンするか、さらに良い方法として、Fdisk および Format プログラムを使用してディスクのパーティションを作成し、フォーマットします。

    コンピュータウイルスの検出

ウイルスを識別するために、ウイルスを検出して破壊できる特別なウイルス対策プログラムがあります。 ただし、新しい形態がどんどん出現しているため、すべてのウイルスを検出できるわけではありません。

ウイルス対策プログラムは薬と似ており、一部のウイルスに選択的に作用し、他のウイルスには作用しません。 したがって、コンピュータ上でウイルス対策プログラムを毎日 (週、月) 起動したとしても、ウイルスを検出する絶対的な確実性はまだありません。

ウイルス対策プログラムにはかなり幅広い選択肢があります。 これらは、Aidstest (Lozinsky)、Dr Web、Norton antivirus for Windows、DSAV kit などです。 動作方法に応じて、次の 3 つのタイプに分類できます。

1) 検出器、生産 走査。 これは最も単純で一般的な形式で、ファイルとブート レコードを表示して内容を確認し、シグネチャ (シグネチャはウイルス プログラムのコードです) を検出します。 シグネチャのスキャンに加えて、ヒューリスティック分析手法を使用することもできます。つまり、コードをチェックしてウイルスに特徴的なコードを特定することにより、検出器はポリファージと呼ばれる検出されたウイルスを除去します。 このようなプログラムはヒューリスティック分析を実行し、新しいウイルスを検出できます。

2) 監査役– 多くの場合、チェックサムやファイル サイズを計算することによって、ファイルとシステム領域の状態を記憶するプログラム。

3) プログラム - フィルター、または 常駐の監視員、コンピュータの RAM に永続的に配置され、起動されたファイルと挿入されたフロッピー ディスクを分析します。 これらは、ブート セクターの変更の試み、常駐プログラムの出現、ディスクへの書き込み機能などについてユーザーに通知します。

4) ハードウェア保護は、拡張コネクタに挿入され、フロッピー ドライブやハード ドライブへのアクセスを監視するコントローラです。 ブート レコード、実行可能ファイル、構成ファイルなどの特定の部分を保護できます。これまでの方法とは異なり、コンピューターが感染している場合にも機能します。

5) にインストールされているプログラムもあります。 BIOS コンピュータのブート セクタに書き込もうとすると、これに関するメッセージが画面に表示されます。

    ウイルスの予防対策

予防するには次のものが必要です。

1. アーカイブデータ。 アーカイブとは、リムーバブル メディアにファイルを記録することです。 ほとんどの場合、この役割は、特殊なデバイス (ストリーマ) で使用されるフロッピー ディスクまたは磁気テープによって行われます。 たとえば、システムを再起動してファイルを復元できるインストール ディスケットがある場合、Windows ファイルを覚えておく必要はありません。 したがって、コンピュータにリムーバブル デバイスがフロッピー ディスクしかない場合は、回復が困難な情報を覚えておく必要があります。

アーカイブ。 原則として、情報は複数のディスクに記録されます。 情報が 1 枚のフロッピー ディスクに置かれ、コピーが週に 1 回行われるとします。 まず、8 月 4 日に情報が記録され、次回は 8 月 11 日に同じディレクトリから別のフロッピー ディスクに記録されます。 8 月 18 日に最初のフロッピー ディスクに再び記録が行われ、8 月 25 日に 2 番目のフロッピー ディスクに記録され、その後再び 1 番目のフロッピー ディスクに記録されます。このためには、少なくとも 2 枚のフロッピー ディスクが必要です。 実際、フロッピー ディスクに書き込むときに障害が発生し、ほとんどの情報が失われる可能性があります。 自宅のコンピュータでは、時々コピーを作成する必要がありますが、その頻度はユーザーが決定します。

2. すべてがそうなるように 情報、他のコンピュータから受信した、 チェック済みウイルス対策プログラム。 たとえばグラフィック情報を含む一部のファイルは、ウイルス感染の観点からは非常に安全であることは、すでに述べました。 したがって、フロッピーディスクにこのような情報だけがあれば、その情報は危険ではありません。 ウイルスが検出された場合は、感染したコンピュータにフロッピー ディスクまたはネットワーク経由で接続されているすべてのコンピュータをチェックする必要があります。 ハードディスクだけでなく、フロッピー ディスクやアーカイブ ファイルからもウイルスを削除する必要があります。 コンピュータにウイルスが存在する疑いがある場合、またはフロッピー ディスクやインターネットを使用して情報がコンピュータに転送されている場合は、次のことを行うことができます。 ウイルス対策プログラムをインストールする自動実行。 で、コンピュータの電源を入れると動作を開始します。

3. 不明なフロッピー ディスクから起動しないでください。 ハード ドライブから起動する場合、特に他のマシンからのフロッピー ディスクがドライブ A: または B: にないことを確認してください。

結論

残念なことに、パーソナル コンピュータの普及は、コンピュータの通常の動作を妨害し、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルス プログラムの出現と関連していることが判明しました。

コンピュータウイルス– コンピュータでの作業を妨げる特定のアクションを実行するように設計された特別に作成されたプログラム。

コンピュータ ウイルスが 1 台のコンピュータに侵入すると、他のコンピュータにも広がる可能性があります。

ウイルスプログラムは、C言語やPascalなどの言語で書かれたプログラムもありますが、サイズの小型化と高速実行を目的としてアセンブリ言語で書かれています。 多くの常駐ウイルス プログラムは、ドライバーで開発された原則を使用します。つまり、ウイルス プログラムのアドレスを割り込みテーブルに設定し、ウイルスの動作が終了した後、アドレスが以前に設定されていた通常のプログラムに制御を移します。割り込みテーブル。 これを制御の傍受といいます。

新しいウイルスを作成するための自動プログラムがあり、ウイルスのソース テキストをアセンブリ言語で対話的に作成できます。 パッケージに入るときに、ウイルスが実行する破壊的なアクション、マシンコードテキストを暗号化するかどうか、ディスク上のファイルに感染する速度などを指定できるオプションを設定できます。

ウイルスが最も必要とするのは、活動を開始するために制御を獲得することです。 ウイルスがウイルスに固有のアクションをすぐに実行し始めた場合、ウイルスを特定してコンピューターからウイルスを駆除するのが簡単になります。 難しいのは、ウイルスがコンピュータに出現するとすぐに出現するのではなく、特定の日など、一定時間後に出現する可能性があることです。

現代世界では、ウイルスを検出して破壊できるウイルス対策プログラムが数多くあります。 ただし、新しい形態がどんどん出現しているため、すべてのウイルスを検出できるわけではありません。

ウイルス プログラムがウイルス対策プログラムを台無しにするのを防ぐには、システムのフロッピー ディスクからウイルス プログラムをロードし、システム ディスクからコンピュータを起動してウイルス対策プログラムを起動する必要があります。

新しいバージョンではより多くの種類のウイルスが検出される可能性があるため、ウイルス対策ソフトウェアを常に最新の状態に保ってください。 最新バージョンのウイルス対策プログラムを更新するには、モデム経由でプログラムを受け取るか、ウイルス対策会社の専門家に電話してください。

参考文献

    A.コストツォフ、V.コストツォフ。 素晴らしい百科事典。 パーソナルコンピュータに関するすべて。 – M.: 「マーティン」、2003年 – 720 p.

    コンピューターサイエンス: 教科書。 – 3 回目の改訂 編 /編 N.V.マカロワ。 – M.: Finance and Statistics、2005. – 768 p.: 病気。

    弁護士と経済学者のためのコンピューター サイエンス。 / S. V. Simovich およびその他による編集 - サンクトペテルブルク: サンクトペテルブルク、2001。 - 688 ページ 6 病気。

ウイルス- バラエティ コンピュータープログラムの特徴は... コンピュータ内の情報を保護し、 コンピューター ウイルス、児童ポルノサイトと情報セキュリティ...

はじめに………………………….…………………………………………………………3

1. コンピュータウイルス。 分類…………………………………….4

2. マルウェアの作成者……………………………………………………5

3. マルウェアの説明…………………………………………………………6

3.1. 多型ウイルス………………………………………………………………7

3.2. ステルスウイルス…………………………………………………………………………7

3.3 トロイの木馬ウイルス…………………………………………………….7

3.4 ワーム…………………………………………………………………………..8

4. ウイルスの兆候……………………………………………………8

5. ウイルス対策との戦い……………………………………………………..9

結論…………………………………………………………………………………………10

参考文献リスト…………………………………………………………..11

導入

コンピュータは真の人間のアシスタントとなり、営利企業も政府機関もコンピュータなしでは成り立ちません。 しかし、この点において、情報セキュリティの問題は特に深刻になっています。

コンピューター技術の中で蔓延したウイルスは全世界を興奮させています。 多くのコンピュータ ユーザーは、サイバー犯罪者がコンピュータ ウイルスを使用してネットワークへのハッキング、銀行強盗、知的財産の窃盗を行っているという噂を懸念しています。

今日、残念なことに、パーソナル コンピュータの普及は、コンピュータの通常の動作を妨げ、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルス プログラムの出現と関連していることが判明しました。 。

メディアでは、コンピュータフーリガンによるさまざまな種類の海賊行為や、ますます高度な自己複製プログラムの出現に関する報道が増えています。 最近では、テキスト ファイルをウイルスに感染させることはばかげていると考えられていましたが、今では誰も驚かないでしょう。 コンピュータ犯罪と戦うために多くの国で法律が制定され、特殊なウイルス対策ソフトウェアが開発されているにもかかわらず、新しいソフトウェア ウイルスの数は増え続けています。 このため、パーソナル コンピュータのユーザーは、ウイルスの性質、ウイルスによる感染方法、およびウイルスからの保護についての知識を持っている必要があります。

1. コンピュータウイルス

コンピュータウイルスそれ自体のコピー (必ずしもオリジナルと完全に同一である必要はない) を作成し、それらをコンピューター システム、ネットワークなどのさまざまなオブジェクト/リソースに実装できるプログラム (実行可能なコード/命令の特定のセット) です。 ユーザーの知らないうちに。 同時に、コピーはさらに配布される可能性を保持します。

ウイルスの分類:

1) ウイルスの生息地に応じて

ファイルウイルスほとんどの場合、拡張子が .exe および .com の実行可能ファイル (最も一般的なウイルス) に埋め込まれますが、オペレーティング システム コンポーネント、外部デバイス ドライバー、オブジェクト ファイルとライブラリ、コマンド バッチ ファイル、プログラムを含むファイルに埋め込まれることもあります。手続き型言語プログラミングのファイル (翻訳中に実行可能ファイルに感染します)。

ブートウイルスフロッピー ディスクのブート セクタ (ブート セクタ)、またはシステム ディスク ブート プログラムを含むセクタ (マスター ブート レコード) に埋め込まれています。 このようなウイルスは、感染したディスクから DOS をロードするときに、ブート プログラムを変更したり、ディスク上のファイル アロケーション テーブルを変更したりして、コンピュータの動作に問題を引き起こしたり、オペレーティング システムを起動できなくなったりすることがあります。

ファイルブートウイルスは、前の 2 つのグループの機能を統合し、感染の「効率」が最も優れています。

ネットワークウイルス配布には通信システム (電子メール、コンピュータ ネットワーク) のコマンドとプロトコルが使用されます。

ドキュメントウイルス(マクロ ウイルスと呼ばれることが多い) は、一部の一般的なエディタのテキスト ファイル (.doc) やスプレッドシート ファイルに感染し、破損します。

複合ネットワークマクロウイルス作成したドキュメントに感染するだけでなく、これらのドキュメントのコピーを電子メールで送信します。

2) 生息地の汚染方法による。

居住者 ウイルスコンピュータが感染すると、その常駐部分が RAM に残り、オペレーティング システムによる感染オブジェクトへのアクセスを傍受し、感染オブジェクトに自身を注入します。 非常在ウイルスコンピュータのメモリには感染せず、有効期間は限られています。

3) 破壊能力に応じて

無害、それらの。 コンピュータの動作にいかなる影響も与えないもの (配布の結果としてディスク上の空きメモリが減少する場合を除く)。

無害 , その影響は、空きディスク メモリとグラフィック、サウンドなどの効果の減少によって制限されます。

4) ウイルスアルゴリズムの特徴による .

コンパニオンウイルス- ファイルを変更しないウイルスです。

ウイルス - 「ワーム」 (ワーム)- コンピュータ ネットワーク上で拡散し、コンパニオン ウイルスと同様に、ディスク上のファイルやセクタを変更しないウイルス。 彼らはコンピュータ ネットワークからコンピュータのメモリに侵入し、他のコンピュータのネットワーク アドレスを計算し、それらのアドレスに自分自身のコピーを送信します。 このようなウイルスは、システム ディスク上に作業ファイルを作成することがありますが、コンピュータ リソース (RAM を除く) にはまったくアクセスしない場合があります。

2. マルウェア作成者

これまでのウイルスやトロイの木馬プログラムの大部分は、プログラミング言語を学んだばかりで、実際に使ってみたかったものの、これ以上価値のある用途が見つからなかった学生や学童によって作成されました。 このようなウイルスは、作成者の自己肯定のためだけに作成され、今日に至るまで作成され続けています。

ウイルス作成者の 2 番目のグループも、プログラミング技術をまだ完全に習得していない若者 (通常は学生) で構成されています。 このような「職人」のペンからは、非常に原始的で多数のエラーを含むウイルス (「学生」ウイルス) が出現することがよくあります。 インターネットの発展と、コンピュータ ウイルスの作成方法を教えることを目的とした多数の Web サイトの出現により、このようなウイルス作成者の生活は著しく容易になりました。 多くの場合、ここには既製のソース テキストがあり、「作成者」による最小限の変更を加えて、推奨される方法でコンパイルするだけで済みます。

3 番目の最も危険なグループは、「プロの」ウイルスを作成して世界に放出します。 これらの注意深く考え抜かれ、デバッグされたプログラムは、プロの、多くの場合非常に才能のあるプログラマーによって作成されます。 このようなウイルスは、システム データ領域への侵入、オペレーティング環境のセキュリティ システムのエラー、ソーシャル エンジニアリング、その他のトリックのために、非常に独自のアルゴリズムを使用することがよくあります。

ウイルス作成者には別の 4 番目のグループがあり、根本的に新しい感染方法、ウイルスの隠蔽、ウイルス対策などの発明に従事する「研究者」です。多くの場合、このようなウイルスの作成者は自分の作成物を配布せず、自分のアイデアを積極的に宣伝します。ウイルス作成専用の多数のインターネット リソースを通じて。 同時に、そのような「研究」ウイルスによってもたらされる危険も非常に大きく、前のグループの「専門家」の手に渡ったため、これらのアイデアはすぐに新しいウイルスに現れます。

3. マルウェアの説明

悪意のあるソフトウェアには、ネットワーク ワーム、従来のファイル ウイルス、トロイの木馬、ハッカー ユーティリティ、および実行されるコンピュータやネットワーク上の他のコンピュータに意図的に害を及ぼすその他のプログラムが含まれます。

3.1 多型ウイルス

多型ウイルス- 同じウイルスの 2 つのコピーが 1 ビットも一致しないように、感染したプログラムのコードを変更するウイルス。 このタイプのコンピュータ ウイルスは現在最も危険であると思われます。 このようなウイルスは、異なる暗号化パスを使用してコードを暗号化するだけでなく、暗号化コードと復号化コードの生成コードも含まれているため、通常の暗号化ウイルスとは区別されます。通常の暗号化ウイルスは、コードの一部を暗号化することもできますが、同時に一定の暗号化コードと復号化コードを持ちます。 。

3.2 ステルスウイルス

ステルスウイルスウイルス対策プログラムを欺き、その結果、検出されないままになります。 ただし、ステルス ウイルスのカモフラージュ メカニズムを無効にする簡単な方法があります。 感染していないシステム フロッピー ディスクからコンピュータを起動し、コンピュータ ディスク (感染している可能性もあります) から他のプログラムを起動せずに、すぐにウイルス対策プログラムでコンピュータをスキャンするだけで十分です。 システムのフロッピー ディスクからロードされると、ウイルスは制御を獲得できず、ステルス メカニズムを実装する常駐モジュールを RAM にインストールできません。 ウイルス対策プログラムは、ディスクに実際に書き込まれた情報を読み取ることができ、ウイルスを簡単に検出できます。

3.3 トロイの木馬ウイルス

トロイの木馬- これは、特定のトリガー条件が発生したときにアクティブ化される、何らかの破壊的な機能を含むプログラムです。 通常、このようなプログラムは便利なユーティリティとして偽装されています。 「トロイの木馬」は、ドキュメントで説明されている機能に加えて、セキュリティ違反や破壊的なアクションに関連する他の機能も実装するプログラムです。 ウイルスの拡散を促進するためにそのようなプログラムが作成されたケースもあります。 そのようなプログラムのリストは外国の報道機関に広く掲載されています。 これらは通常、ゲームやエンターテイメント プログラムを装っており、美しい画像や音楽とともに害を及ぼします。

ソフトウェアのブックマークには、航空機に有害な機能も含まれていますが、この機能は逆に、できるだけ目立たないように努めています。 プログラムが疑惑を引き起こさない期間が長ければ長いほど、ブックマークはより長く機能することができます。

3.4ワーム

ワームグローバル ネットワーク全体に広がり、個々のプログラムではなくシステム全体に感染するウイルスと呼ばれます。 この場合、国家規模の情報システムが攻撃対象となるため、最も危険なタイプのウイルスです。 グローバル インターネットの出現により、このネットワークに接続されている 4,000 万台のコンピュータがいつでもインターネットにさらされる可能性があるため、この種のセキュリティ侵害は最大の脅威となっています。

4. ウイルスの兆候

コンピュータがウイルスに感染した場合、それを検出することが重要です。 そのためには、ウイルスの主な兆候について知っておく必要があります。 これらには次のものが含まれます。

1. 動作の停止、または以前は正常に機能していたプログラムの誤動作

2.コンピュータが遅い

3. オペレーティング システムをロードできない

4. ファイルやディレクトリの消失、またはその内容の破損

5. ファイル変更日時の変更

6. ファイルのサイズ変更

7. ディスク上のファイル数が予期せず大幅に増加

8. 空きRAMサイズの大幅な削減

9. 予期しないメッセージや画像が表示される

10. 予期せぬ音声信号を発する

11. 頻繁なフリーズとコンピューターのクラッシュ

上記の現象は、必ずしもウイルスの存在によって引き起こされるわけではなく、他の理由の結果である可能性があることに注意してください。 したがって、コンピュータの状態を正確に診断することは常に困難です。

5. ウイルス対策との戦い

常に、自分自身を積極的に保護する悪意のあるプログラムが存在します。 このような保護には次のものが含まれる場合があります。

意図的にシステム内でウイルス対策、ファイアウォール、またはその他のセキュリティ ユーティリティを検索し、その動作を中断する。 例としては、プロセスのリストで特定のウイルス対策の名前を検索し、そのウイルス対策のアンロードを試みるマルウェアが挙げられます。

ファイルのウイルス対策対策としてファイルをブロックし、排他的アクセスで開く。

ウイルス対策更新サイトへのアクセスをブロックするためのホスト ファイルの変更。

セキュリティ プロンプト ウィンドウを検出し、[許可] ボタンのクリックをシミュレートします。

実際、防御施設に対する標的型攻撃は、積極的な攻撃というよりも、壁に押し込まれた人を守る「強制措置」に近いものです。 現代の状況では、ウイルス対策が悪意のあるプログラムのコードだけでなくその動作も分析すると、後者は多かれ少なかれ無防備であることがわかります。ポリモーフィズムもパッケージングも、システム内の隠蔽テクノロジーさえも完全な保護を提供しません。 したがって、マルウェアは「敵」の個々の症状や機能のみを標的にすることができます。 やむを得ない場合を除いて、この護身方法はあまり普及しないでしょう。なぜなら、可能な限り広範囲の保護という観点からはあまりにも不利だからです。

結論

上記のすべてから、コンピュータ ウイルスは、他のプログラムに「帰属」し、コンピュータ上でさまざまな望ましくない動作を実行できる、特別に作成された小さなプログラムであると結論付けることができます。 ウイルスを含むプログラムを「感染した」といいます。 このようなプログラムが動作を開始すると、まずウイルスが制御を奪います。 このウイルスは他のプログラムを見つけて「感染」し、さらにいくつかの有害な動作も実行します (たとえば、ディスク上のファイルやファイル アロケーション テーブルを破損したり、RAM を「詰まらせたり」します)。 ウイルスは、自己複製能力を持つプログラムです。 この能力は、あらゆる種類のウイルスに固有の唯一の特性です。 ウイルスは「完全に孤立」して存在することはできません。 これは、今日では、他のプログラムのコード、ファイル構造に関する情報、さらには他のプログラムの名前だけを何らかの形で使用しないウイルスを想像することは不可能であることを意味します。 この理由は非常に明白です。ウイルスは何らかの方法で確実に制御を自分自身に移さなければなりません。

コンピュータウイルスを防ぐ最も効果的な方法は、外部からコンピュータに情報を入力しないことです。 しかし、残念ながら、ウイルスから 100% 身を守ることはほぼ不可能です (これは、ユーザーが友人とフロッピー ディスクを交換したり、ゲームをしたり、他の人から情報を受け取ったりすることを意味します)。

参考文献

1. レオンチェフ副大統領 最新パソコン百科事典 2003年版 - 第5版、改訂。 そして追加の - M.: OLMA-PRESS、2003

2. レビン A.Sh. コンピューターで作業するための自己取扱説明書 - 第 9 版、サンクトペテルブルク: Peter、2006 年。

3.www.yandex。 る

4. www.google. る

4. CD-ROM。 最高の中の最高: エッセイ、コースワーク、卒業証書、2007

第14講 コンピュータウイルス

コンピューター犯罪の分類。

コンピュータウイルス、その性質と分類

コンピュータウイルスの性質

まず、ウイルスはプログラムです。 このような単純な発言自体が、コンピュータ ウイルスの並外れた能力に関する多くの伝説を払拭することができます。 ウイルスはモニター上の画像を反転させることはできますが、モニター自体を反転させることはできません。 「25 番目のフレームで画面に致命的な配色を表示してオペレーターを破壊する」というキラー ウイルスに関する伝説も、真剣に受け止めるべきではありません。

ウイルスは、自己複製能力を持つプログラムです。 この能力は、あらゆる種類のウイルスに固有の唯一の手段です。 しかし、自己複製できるのはウイルスだけではありません。 どのオペレーティング システムや他の多くのプログラムでも、独自のコピーを作成できます。 ウイルスのコピーはオリジナルと完全に一致する必要がないだけでなく、まったく一致しない可能性もあります。

ウイルスは「完全に分離」して存在することはできません。今日では、他のプログラムのコード、ファイル構造に関する情報、さらには他のプログラムの名前だけを使用しないウイルスを想像することは不可能です。 理由は明らかです。ウイルスは何らかの方法で確実に制御を自分自身に移さなければなりません。

ウイルスの分類

    生息地

    環境に感染する方法

    影響

    アルゴリズムの特徴

ウイルスは、その生息地に応じて、ネットワーク ウイルス、ファイル ウイルス、ブート ウイルス、およびファイル ブート ウイルスに分類できます。

ネットワークウイルスさまざまなコンピュータネットワーク上に分散されます。

ファイルウイルス主に実行可能モジュール、つまり COM および EXE 拡張子を持つファイルに埋め込まれます。 ファイル ウイルスは他の種類のファイルに埋め込まれる可能性がありますが、通常、そのようなファイルに書き込まれると制御が得られず、したがって複製能力を失います。

ブートウイルスディスクのブート セクタ (ブート セクタ) またはシステム ディスク ブート プログラムを含むセクタ (MasterBootRecord) に埋め込まれています。

ファイルブートウイルスはファイルとディスクのブート セクターの両方に感染します。

ウイルスは感染方法に基づいて常駐型と非常駐型に分けられます。

常在ウイルスコンピュータが感染すると、その常駐部分が RAM に残り、感染オブジェクト (ファイル、ディスク ブート セクタなど) へのオペレーティング システムのアクセスが傍受され、感染オブジェクトに自身が挿入されます。 常駐ウイルスはメモリ内に常駐し、コンピュータの電源を切るか再起動するまで活動します。

非常在ウイルスコンピュータのメモリには感染せず、有効期間は限られています。

影響の程度に基づいて、ウイルスは次の種類に分類できます。

    無害な、コンピュータの動作には干渉しませんが、空き RAM とディスク メモリの量が減少します。このようなウイルスの動作は、グラフィックやサウンド効果として現れます。

    危険なコンピュータにさまざまな問題を引き起こす可能性のあるウイルス

    すごく危ないその影響により、プログラムの損失、データの破壊、ディスクのシステム領域の情報の消去が発生する可能性があります。

ウイルスは多種多様であるため、アルゴリズムの特徴に基づいて分類することは困難です。

レプリケーターウイルス、と呼ばれる は、コンピュータ ネットワーク上に分散されており、ネットワーク コンピュータのアドレスを計算し、そのコピーをこれらのアドレスに書き込みます。

既知の 目に見えないウイルス、と呼ばれる ステルスウイルスこれらは、オペレーティング システムから感染したファイルやディスク セクターへの呼び出しを傍受し、ディスクの感染していない領域を本体の代わりに置き換えるため、検出して無力化するのが非常に困難です。

検出が最も困難 変異ウイルス、暗号化/復号化アルゴリズムが含まれており、そのおかげで、同じウイルスのコピーには単一の繰り返しバイト文字列が存在しません。 いわゆるものもあります 準ウイルス性または 「トロイの木馬」このプログラムは、自己増殖はできませんが、有用なプログラムを装い、ブート セクターとディスク ファイル システムを破壊するため、非常に危険です。

ブートウイルス

フロッピー ディスクに感染する非常に単純なブート ウイルスの機能を見てみましょう。 (ブートセクター)。

きれいなフロッピー ディスクと感染したコンピュータ (アクティブな常駐ウイルスが存在するコンピュータ) があるとします。 このウイルスは、適切な被害者がドライブ (今回の場合は書き込み保護されておらずまだ感染していないフロッピー ディスク) に出現したことを検出するとすぐに、感染を開始します。 フロッピー ディスクに感染すると、ウイルスは次のアクションを実行します。

    ディスクの特定の領域を割り当て、オペレーティング システムにアクセス不可能としてマークします。これはさまざまな方法で行うことができます。最も単純で従来のケースでは、ウイルスによって占有されているセクターが不良 (不良) としてマークされます。

    その末尾と元の (正常な) ブート セクターをディスクの選択された領域にコピーします

    ブート セクター (実際のプログラム) のブート プログラムをその先頭に置き換えます。

    スキームに従って制御転送のチェーンを組織します。

したがって、ウイルスの先頭が最初に制御を受け取り、ウイルスはメモリにインストールされ、元のブート セクタに制御を移します。

ファイルウイルス

ここで、単純なファイル ウイルスがどのように機能するかを考えてみましょう。

ほとんどの場合常駐するブート ウイルスとは異なり、ファイル ウイルスは必ずしも常駐するわけではありません。 非常駐ファイルウイルスの機能スキームを考えてみましょう。 感染した実行可能ファイルがあるとします。 このようなファイルが起動されると、ウイルスが制御を獲得し、いくつかのアクションを実行し、制御を「ホスト」に移します。

ウイルスはどのようなアクションを実行しますか? 感染する新しいオブジェクト、つまりまだ感染していない適切なタイプのファイルを探します。 ファイルに感染すると、ウイルスはファイルの実行時に制御を得るために自分自身をコードに挿入します。 ウイルスは、その主な機能である繁殖に加えて、何か複雑なこと (たとえば、尋ねたり、遊んだり) を実行する可能性があります。これはすでにウイルス作成者の想像力に依存しています。 ファイル ウイルスが常駐している場合、ウイルスは自身をメモリにインストールし、感染したファイルの実行中だけでなく、ファイルに感染したり、他の能力を発揮したりすることができます。 実行可能ファイルに感染すると、ウイルスは常にコードを変更するため、実行可能ファイルの感染は常に検出できます。

ただし、ファイル コードを変更しても、ウイルスが他の変更を行うとは限りません。

    ファイルの長さを変更する義務はありません

    未使用のコードセクション

    ファイルの先頭を変更する必要はありません

したがって、ファイルが起動されると、ウイルスは制御を獲得し (オペレーティング システムがウイルス自体を起動し)、自身をメモリに常駐させ、呼び出されたファイルに制御を移します。

ブートファイルウイルス

主な破壊的な影響は、ハード ドライブ セクターの暗号化です。 ウイルスは起動されるたびにセクタの別の部分を暗号化し、ハードドライブの半分を暗号化すると喜んでこれを報告します。 このウイルスを扱う際の主な問題は、ファイルからウイルスを除去するだけでは十分ではなく、ウイルスによって暗号化された情報を復号化する必要があることです。

多型ウイルス

このタイプのコンピュータ ウイルスは現在最も危険であると思われます。 それが何なのか説明しましょう。

ポリモーフィック ウイルスは、同じウイルスの 2 つのコピーが 1 ビットも一致しないように、感染したプログラムのコードを変更するウイルスです。

このようなウイルスは、異なる暗号化パスを使用してコードを暗号化するだけでなく、暗号化コードと復号化コードの生成コードも含まれているため、通常の暗号化ウイルスとは区別されます。通常の暗号化ウイルスは、コードの一部を暗号化することもできますが、同時に一定の暗号化コードと復号化コードを持ちます。 。

ポリモーフィック ウイルスは、自己書き換え型の復号化機能を備えたウイルスです。 このような暗号化の目的: 感染した元のファイルがあるため、通常の逆アセンブリを使用してそのコードを分析することはできません。 このコードは暗号化されており、無意味なコマンドのセットです。 復号化は、実行中にウイルス自体によって実行されます。 この場合、オプションが可能です。自分自身を一度に復号化することも、「その場で」そのような復号化を実行することもでき、すでに使用されたセクションを再暗号化することもできます。 これはすべて、ウイルス コードの分析を困難にするために行われます。

ステルスウイルス

ステルス ウイルスはウイルス対策プログラムを騙し、その結果、検出されないままになります。 ただし、ステルス ウイルスのカモフラージュ メカニズムを無効にする簡単な方法があります。 感染していないシステム フロッピー ディスクからコンピュータを起動し、コンピュータ ディスク (感染している可能性もあります) から他のプログラムを起動せずに、すぐにウイルス対策プログラムでコンピュータをスキャンするだけで十分です。



カテゴリ内で人気のあるもの:
Photoshop でレイヤーを 1 つに結合するか、グループに結合する方法 Photoshop で複数のレイヤーを結合する方法
Photoshop でレイヤーを 1 つに結合したり、グループに結合したりする方法...
読む
新しい Android スマートフォンに連絡先を転送する
新しい Android スマートフォンに連絡先を転送する
読む
Samsung Galaxy が勝手に再起動する - 解決策 Galaxy note 4 が勝手に再起動する
Samsung Galaxy が自動的に再起動する - Galaxy note ソリューション...
読む
Kaspersky Rescue Disk の主な機能
Kaspersky Rescue Disk の主な機能
読む

最新記事
MacBook が Wi-Fi に接続しない MacBook が表示されない...
読む
WebMoneyでお金を稼ぐ方法
読む
「スープラ」タブレット:カスタマーレビュー
読む
リアルタイムの船の位置
読む
Android に最適なプログラム...からの通話を録音します。
読む
Twitter でフォロワー以外を削除する
読む
ラップトップでのインターネット接続: すべての可能性...
読む
Samsung Galaxy S IV は新しいフラッグシップです...
読む