Компьютерлік вирус

Әбіш Кекілбаев

ЖОСПАРЫ:

Кіріспе

Негізгі бөлім

  1. Вирустар ж\е олардың әр түрлілігі.
  2. Бүлінген ж\е вирус жұққан файлдар.
  3. Компьютерлік вирустардың қысқаша жіктелуі.
  4. Компьютерлік вирустардан сақтанудың негізгі тәсілдері.

Қорытынды

Пайдаланылған әдебиет

Вирустар ж\е олардың әр түрлілігі

Компьютерлік вирус – арнайы жазылған шағын көлемді программа. Ол өздігінен басқа программалар соңына н\е алдына қосымша жазылады да, оларды «бүлдіруге» кіріседі, сондай-ақ компьютерде тағы басқа келеңсіз әрекеттерді істеуі мүмкін. Ішінен осындай вирус табылған программа «ауру жұққан» н\е «бүлінген» деп аталады. Мұндай программаны іске қосқанда алдымен вирус жұмысқа кірісіп, оның негізгі функциясы орындалмайды н\е қате орындалады. Вирус іске қосылған программаларға да кері әсер етіп, оларға да «жұғады» ж\е басқа да зиянды іс-әрекеттер жасай бастайды (мысалы, файлдарды н\е дискідегі файлдардың орналасу кестесін бүлдіреді, жедел жадтағы бос орынды жайлап алады ж\е т.с.с.).

Өзінің жабысқанын жасыру мақсатында вирустың басқа программалардыбүлдіруі ж\е оларға зиян ету әрекеттері көбінесе сырт көзге біліне бермейді. Оның кері әсері белгілі бір шарттарды орындағанда ғана іске асады. Вирус өзіне қажетті бүлдіру әрекеттерін орындаған соң, жұмысты басқаруды негізгі программаға береді, ал ол программа алғашында әдеттегідей жұмыс істей береді. Сөйтіп ол программа бұрынғы қалпынша жұмысын жалғастырып, сырт көзге «вирус жұққандығы» бастапқы кезде байқалмай қалады.

Вирустың көптеген түрлері ЭЕМ жадына DOS-ты қайта жүктегенше тұрақты сақталып, оқтын-оқтын өзінің зиянды әсерін тигізіп отырады.

Вирустың зиянды іс-әректтері алғашқы кезде жұмыс істеп отырған адамға байқалмайды, өйткені ол өте тез орындалып әсері онша білінбеуі мүмкін, сондықтан көбінесе адамдардың компьютерде әдеттегіден өзгеше жағдайлардың болып жатқанын сезуі өте қиынға соғады.

Компьютерде «вирус жұққан» программалар саны көбеймей тұрғанда, онда вирустың бар екені сырт көзге ешбір байқалмайды. Бірақ біраз уақыт өткен соң, компьютерде әдеттегіден тыс, келеңсіз құбылыстар басталғаны білінеді, олар, мысалы, мынадай іс-әрекеттер істеуі мүмкін:

  • кейбір программалар жұмыс істемей қалады н\е дұрыс жұмыс істемейді;
  • экранға әдеттегідентыс бөтен мәліметтер, символдар, т.б. шығады;
  • компьютердің жұмыс істеу жылдамдығы баяулайды;
  • көптеген файлдардың бүлінгені байқалады ж\е т.с.с.

Компьютерге вирус жұққанын байқаған кезде кейбір файлдар мен каталогтар, дискідегі мәліметтер бұзылып үлгереді, оның үстіне пайдаланылған дискеттер арқылы н\е жергілікті байланыс желілері бойымен компьютердегі вирус басқа компьютерлерге таралып кеткені байқалмай да қалады.

Вирустардың кейбір түрлерінің кері әсері тіпті одан да терең болады. Олар бастапқы кезде өзінің жұққанын ешбір әсерімен білдіртпей, көптеген программалар мен дискілерге үндемей таралып кетеді де, сонан соң бірден бел шешіп зиянкестік жасауға кіріседі, мысалға, компьютердегі қатты дискіні өздігінен қайта форматтап шығады.

Осының бәрі вирустан дер кезінде қорғанбасақ, оның келешектегі әсері керекті мәліметтерді жоғалтуға душар ететіні талас тудырмаса керек.

Вирус программасының байқалмау себебі олардың көлемі кішігірім ғана болады да, өздері ассемблер тілінде жазылады. Кез келген жағдайда вирус программасы қай компьютерге арналып жазылса да, ол мәлімет алмасып жұмыс істейтін басқа компьютерлерге де тез тарап кетеді ж\е өте көп зиянкестік әрекеттер жасауы мүмкін.

Қазіргі кездегі вирустар негізгі екі топқа бөлінеді:

  • резиденттік (компьютер жадында тұрақты сақталатын) вирустар;
  • резиднттік емес вирустар.

Вирус жұққан прграмма іске қосылғанда резиденттік вирустар әсерлене әрекет етеді, олар жедел жадқа көшіріліп жазылып, алғашқы бірсыпыра уақытта әсері сезілмегенмен, соңынан бірден іске қатты кіріседі. Бұл вирустарды тез анықтау ісін қиындытады.

Дискілерге мәлімет жазу кезінде вирус өзінің жабысуына қолайлы сәт іздеп негізгі операциялар орындалып жатқанда солармен қосылып дискіге жазылып алады да, оның қалай «жұққанын» адамдар білмей де қалады. Ал, резиденттік емес вирус жедел жадқа тұрақты күйде жазылмайды, бірақ вирустң әсері тиген программа іске қосылғанда ол екпіндене түседі де, өзі жұмыс істеп тұрған каталогтан н\е РАТН командасында көрсетілген каталогтардан өзі ішіне байқаусыз еніп кететін файл іздейді. Ондай файлды тауып, оның ішіне кіріп алып, ол кейін жұмыс істейтін кезде соған зиянды әрекетін тигізеді.

Бүлінген ж\е вирус жұққан файлдар

Вирус дискідегі кез келген файлды бүлдіре алады, бірақ кейбір файлдарға ол бірден жабысады, яғни ол файлдың ішкі көлемінен орын алып, оның қызметін түрлендіріп, қолайлы жағдай туғанда, зиянды әрекетін бастап кетеді. Дегенмен, көптеген программалар мәтіні мен құжаттарға, мәліметтер базасының информациялық файлдарына, электрондық кестелердегі мәліметтерге вирустар онша әсерін тигізе алмайды, тек оларды аздап қана зақымдауы мүмкін. Вирустардың мынадай файлдарға жұғуы мүмкін:

1. Бірден орындалатын файлдар, белгілі бір іс-әрекет істейтін кеңейтулері (заты) .Com ж\е .exe болып келген файлдар, сондай-ақ басқа программаларға қажет кезінде қосылатын оверлейлік файлдар. Файлдарды зақымдайтын мұндай вирустарды файлдық деп атайды. Вирус жұққан файлдар өздерінің кері әсерін жұмыс істейтін, іске қосылған сәттерде жасайды. Ең қауіпті вирустарға резиденттік түрде жедел жадта сақталып, орындалатын әрбір программаны зақымдап отыратындары жатады. Ал егерде олар AUTOEXE.BAT ж\е CONFIG.SYS арқылы іске қосылатын программаларға жұқса, онда компьютер өшіріліп қайта іске қосылған сайын вирустар өз әсерлерін тұрақты қайталап жүргізіп отырады.

2. Операциялық жүйенің жүктеуші мен қатты дискінің ең басты мәліметжүктеу жазбасы. Бұл аумақтарды зақымдайтын вирустар «жүктегіш» (загрузочная) н\е Boot – вирустар деп аталады.

Мұндай вирустар өз қызметін компьтерді іске қосқанда, яғни операциялық жүйені жүктегенде бірден бастайды ж\е әрдайым компьютердің жедел жадында тұрақты сақталады. Бұлардың таралу тәсілі – компьютерге салынған дискеттердің алғашқы жолдарына жазылған жүктегіш мәліметіне зақым келтіру болып табылады. Әдетте мұндай вирустар екі бөліктен тұрады, өйткені дискеттің жүктеуіш жазбасы өте шағын көлемнен тұрады, сондықтан вирус бірден түгелдей олардың ішіне орналаса алмайды. Вирустың екінші бөлігі дискінің түпкі каталогының соңына н\е мәліметтер кластерлеріне жазылып қалады.

3. Құрылғылар драйверлері, яғни CONFIG.SYS файлының шеткері құрылғылар көрсетілетін Devise деген сөз тұрған жолында жазылған файлдар. Ондай файлдағы вирус сол құрылғыны іске қосқан сайын қызметке кіріседі. Бірақ драйверді бір компьютерден екінші компьютерге көшіру өте сирек болатындықтан, мұндай вирустар көп тарала қоймаған. DOS жүйелік файлдарына (MS DOS.SYS ж\е IO.SYS) да вирус жұқтырылуы теория жүзінде мүмкін болғанымен, олардың таралуы іс жүзінде өте сирек кездеседі.

4. Файлдық жүйені өзгертетін вирустар. Соңғы кезде вирустың жаңа түрлері – дискідегі файлдық жүйені өзгертетін вирустар көбейіп таралуда, оларды қысқаша DIR-вирустар деп атайды. Мұндай вирустарөз мәтінін дискінің белгілі бір бөлігіне жасырын жазып қояды да, оны дискінің файлды орналастыру кестесіне (FAT) файлдың сөңы ретінде белгілейді.

Барлық .COM ж\е .EXE типті файлдар үшін – каталогтағы файлдың алғашқы мәліметі көрсетілген орынға вирус жазылған қате орын көрсетіліп, ал дұрыс көрсеткіш – таңбаланған (кодталған) түрде каталогтың пайдаланылмайтын бөлігіне жасырылады. Сол себепті кез келген программаны іске қосқанда дискіден бірінші вирус оқылады да, ол тұрақты компьютер жедел жадында сақталып файлдарды өңдейтін DOS программаларына жабысады. Бірақ жалпы көрініс каталог дұрыс жұмыс атқарған сияқты болып сырт көзге мұның әсері білінбей тұрады.

Тек вирусы бар дискеттерден программалық файл оқитын сәттерде ьоның нақты көлемі қысқарып небәрі 512 не 1024 байт қана болып қалады. Бірақ атқарылуға тиіс вирусы бар әрбір программа іске қосылғанда оның дұрыс емес екендігі байқалмайды.

5. «Көрінбейтін» ж\е өздігінен өрбитін вирустар. Өзін жай сездірмес үшін кейбір вирустар жасырынудың қилы-қилы тәсілдерін пайдаланып жүр. Осындайлардың екі түрін – «көрінбейтін» ж\е «өздігінен өрбитін» вирустарды қарастырамыз.

Көрінбейтін вирустар. Көптеген резиденттік вирустар былай жасырынуды әдетке айналдырған, олар DOS жүйесінің вирус жұққан файлдарды шақыруын өзгертпей дұрыс күйінде қалдырады. Бірақ бұл эффект тек вирус жұққан компьютерлерде файлдар мен дискілерді жүктеуіш аймақтарының өзгеруін байқау қиын емес.

Өздігінен өрбитін вирустар. Вирустардың жасырыну жолының екінші тәсілі — өзін-өзі аздап өзгертіп, өрбіп толықтырылып отыруы. Көптеген вирустар жасайтын кері әсерін байқатпас үшін өз көлемінің бірсыпырасын шарттаңбаланған жасырын күйде сақтайды. Бірте-бірте өрби отырып, олар таңбалану тәсілін де аздап өзгертіп отырады. Осының арқасында вирусты іздеп табатын тұрақты байттар тізбегі болмай, оларды ұстайтын детектор-программалар жұмысы қиындайды.

КОМПЬЮТЕРЛІК ВИРУСТАРДЫҢ ҚЫСҚАША

ЖІКТЕЛУІ

Қазіргі кезде 10 000 шамасында компьютерлік вирустар белгілі. Оларды әдетте мақсатына, жұмыс істеу аумағына қарай топтарға жіктейді.

Жұмыс логикасына ж\е мақсатына қарай оларды шартты түрде төмендегідей жіктеуге болады:

1. «Ұстауыш-вирустар» — программалық құралдар кешеніндегі қателіктер мен дәлсіздіктерді пайдаланады. Көлемді программаларды түзету кезінде белсенділік көрсетіп программаға жабысады. Әртүрлі зияндық әрекеттері бар вирус.

2. «Құрттар» — жүйелік программалаушылардың информациялық-есептеу желілерінің бос тұрған ресурстарын анықтау программаларына кіріп алып, сол бос құрылғыларды тектен тек жұмыс істеуге мәжбүр етеді.

3. «Троян аттары» — қарапайым қолданбалы программаларға еніп алып, соларға рұқсат етілмеген әрекеттерді орындатады. Жасалу құрылымы мен көбею жолы оңай болғандықтан, көбінесе компьютер желілерін жайлап алады.

Мақсаттарына қарай вирустар мынадай 4 бөлікке бөлінеді:

  1. «Бейсауат» (гуманды) – онша қатты зиянын тигізбейтін вирустар.
  2. «Шаннтажжасаушы» — мысалы, белгілі төлемақы берсе, вирус әсері жоғалатынын анонимді түрде хабарлайтын баяу әсер ететін бомбалар.
  3. «Насихатшы» — «өзін көрсету» мақсатында жасалған.
  4. «Мағынасыз» — атынан-ақ әсері түсінікті.

Бізде кең тараған Aids антивирустық программаларының авторыД.Лозинскийдің ұсынысы бойынша вирустарды көлеміне қарай жеті топқа жіктеуге болатыны белгілі.

Компьютерлік вирустардан сақтанудың негізгі тәсілдері

Компьютерлік вирустар «таза» компьютерге вирус жұққан иілгіш дискеттер арқылы таратылады. Егер компьютер жергілікті желіге қосылған болса, онда вирустың таралуына бұрынғыдан да кең жол ашылады.

Вирустардан сақтану үшін мынадай шаралар қолдануға болады:

  • информацияны қорғаудың жалпы шаралары – дискіні физикалық зақымданудан сақтау, дұрыс жұмыс істемейтін программаларды қолданбауға ж\е жұмыс істеп отырған адам қателіктер жібермеуге тырысуы;
  • профилактикалық шараларды пайдалану, яғни вирусты жұқтыру мүмкіндігін азайту тәсілдерін қарастыру;
  • вирустан сақтайтын арнайы программаларды пайдалану. Жалпы информация қорғау тәсілдері тек вирустан сақтануда ғана емес, басқа жағдай да пайдалы болатынын есте сақтаған жөн. Ондай тәсілдің негізгі екі түрі белгілі:
1. Информацияның көшірмесін алып отыру – файлдарды ж\е дискінің жүйелік мәліметтерін көшіріп сақтау.

2. Жалпы информацияны сақтаудың ортақ тәсілдерінің қажеттілігіне қарамастан, қазіргі кезде тіптен олардың өзі жеткіліксіз болып отыр. Вирустан сақтану үшін арнайы программалар қажет ж\е оларды тұрақты түрде қолдана бастау керек. Мұндай программаларды бірнеше түрлерге бөлуге болады: детекторлар, докторлар (фагпрограммалар), ревизорлар, доктор-ревизорлар, сүзгі-программалар ж\е вакциналар (иммунизаторлар).

Вирустардың әсерін жоятын антивирустық программаларды үш негізгі топқа бөлуге болады:

— файл мәліметтерін бақылауға арналған, олардың қосындыларын есте сақтауға негізделген программалар;

— программаға н\е операциялық жүйеге вирус жұққан сәтте оларды анықтайтын резиденттік программалар;

— вирустар жұқтырылғаннан кейін олардың бар екенін анықтайтын программалар.

Детектор-программалар тек бұрыннан белгілі вирус түрлерінен ғана қорғай алады, жаңа вирусқа олар дәрменсіз боп келеді.

Доктор-программалар н\е «фагтар» вирус жұққан программалар мен дискілерді «вирус» әсерін алып тастау, яғни «жұлып алу» арқылы емдеп – оларды бастапқы қалпына келтіреді.

Ревизор-программалар да алдывмен программалар мен ревизорлар арасынан шыққан гибрид. Бұлар тек файлдағы өзгерістерді, анықтап қанақоймай, оарды автоматты түрде «емдеп» бастапқы қалыпты жағдайға түзеп келтіреді.

Сүзгі программалар – компьютердің операвтик (жедел) жадында тұрақты орналасады да, вирустардың зиянды әрекетіне әкелетін операцияны ұстапалып, бұл туралы жұмыс істеп отырған адамға дер кезінде хабарлап отырады.

Вакцина-прграммалар компьютердегі программалар жұмысына әсер етпей, оларды вирус «жұққан» сияқты етіп модификациялайды да, вирус әсерінен сақтайды, бірақ бұл программаларды пайдалану онша тиімді емес.

Ең көп тараған антивирус – Д.Лозинский Aidstest программасы. Ол әрбір жаңадан шыққан вирустан хабардар болып, соларға қарсы шара қолдану жолдарын анықтап, үнемі өзгертіліп отырады.

Aidstest және Dr.Web детектор-программалары.

Антивирустық детектор-программа Aidstest-ты Д. Н. Лозинский 1988 жылы дүниеге әкелді. Сол уақыттан бері ол толығып отырды және 1996 жылғы жағдайында 1500-ге жуық вирусты тауып, емдеуге қабілетті. Программа негізінен вирустарды кодтарымен табады, сондықтан ол жаңадан шыққан вирустарға дәрменсіз болуы мүмкін. Бірақ есесіне файлдарды тексергенде өте үлкен жылдамдықпен жұмыс істейді.

Шектеулілігі:

  • Полиморфтық (күрделі) вирустарды таба алмайды.
  • Архивтегі файлдарды тексере және емдей алмайды.
  • EXEPACK, DIET, PKLITE түрінде қапталған файлдардағы вирустардың бар-жоғын анықтай алмайды.

Артықшылығы:

  • Пайдалануға ыңғайлы.
  • Өте тез жұмыс істейді.
  • Ресейде шыққан вирустардың көптеген бөлігін емдеуге қабілетті.
  • A Dinf ревизор-программасымен жақсы байланыста.
  • Компьютердің барлық түрінде жұмыс істейді.
Бұл программаның негізгі кемшілігі – архивтік файлдармен жұмыс істей алмауы. Сондықтан архивтік файлдармен жұмыс істеу үшін және полиморфтық вирустармен күресу үшін ’’Диалог-Наука’’ фирмасы өзінің ’’Dr.Web’’ ұсынады.

Dr. Web детектор-программасы 1994 жылы И. А. Даниловтың ұсынуымен дүниеге келген. Dr.Web программасы Aidstest программасынан гөрі өте күрделі жазылған, бірақ екеуінің атқаратын қызметтері бір, яғни вирус жұққан файлдарды табу және емдеу.

Dr.Web программасының Aidstest программасынан негізгі айырмашылығы:

  • Полиморфтық (күрделі) вирустармен жұмыс істей алады.
  • Aidstest программасы таба алмайтын көптеген вирустарға қарсы тұрады.
  • Архивтегі файлдарды тексере және емдей алады.
  • EXEPACK, DIET, PKLITE түрінде қапталған файлдардағы вирустардың бар-жоғын анықтауға қабілетті.
Бірақ бұл Dr.Web Aidstest программасын алмастыра алады деп түсіну өте қате пікір. Себебі Dr.Web программасы Aidstest программасынан кемшілігі де баршылық. Мысалы:
  • Aidstest программасынан гөрі әлдеқайда төмен жылдамдықта істейді.
  • Aidstest программасы таба алатын көптеген вирустарға қарсы тұра алмайды.

Сондықтан ’’Диалог-Наука’’ фирмасы өзінің қос программасын бірге пайдалануды ұсынады.

Программаларды орнату (установка программ) әдістері:

Көшіріліп алынған Dr.Web.ехе және Aidstest.ехе файлын керек каталогқа қою.

Программаның жіберілуі (запуск программ):

Dr.Web программасы Aidstest программасы тек пакеттік режимде, яғни командалық қатармен жұмыс істейді. Бұл программа іске қосылғанда жадта резиденттік программа болмауға тиіс, себебі антивирустық резиденттік-программалар Aidstest программасымен параметрлері сәйкес келмейді. Ал Dr.Web программасы пакеттік ражимде де, диалогтық режимде де жұмыс істеуге қабілетті. Ал екі программаны бірге пайдаланғанда Dr.Web программасын пакеттік режимде басқарған ыңғайлырақ.

Шақыру форматы (формат вызова):

AIDSTEST <тексеру обьектісі>…<режимі>…

DRWEB <тексеру обьектісі>…/CL/RV/HI/AR/HA1<режимі>…

Ескерту:

1. Dr.Web-ке келтірілген параметрлер мағынасы:

/CL – пакеттік режимде жұмыс істеу.

/RV – резиденттік вирустарды тексеру.

/HI – оперативті жадты тексеру.

/AR – архивтерді тексеру.

/HA1 – белгісіз вирустарға қарсы эвристикалық анализ жүргізу.

2. Жоғарыдағы параметрлерді қайталай бермес үшін /SV параметрін пайдалану керек. Мұндай жағдайда соңғы берілген параметрді өзінің INI файлына сақтайды және параметрлер үнсіз орындалады.

3. Тексеру обьектісінің берілу түрі:

* — ’’қатты дискте’’ орналасқан логикалық дисктерді тексеру.

** — барлық дисктерді тексеру.

Диск әрпі (А, C, D, E) – көрсетілген дискті тексеру.

Каталог әрпі – көрсетілген каталогты тексеру.

Файл аты – аталған файлды тексеру.

Режимдерді жазумен қатар қатарлық әріптермен де көрсетуге болады.

Қорытынды

Қорыта айтқанда іші пысқан программистердің ермегіне айналған вирус бүгінде компьютерге жұқпалы «СПИД» болып отыр. Онымен күресу күннен күнге қиындауда. Вирустар бұл күнде дискеттермен қатар интернетттен және т.б. жүйелерден жұғатын дәрежеге жеткен. Мұның бәрі программистердің вирусты дамытуға қосқан үлесі деп түсінуге болады. Осы жерде үлкен ауқымды қамтыған вирустардың біреуіне тоқталсақ:

Бұл оқиға 1988 жылы 2-4 қараша айларында АҚШ-та болып өткен. Осы үш күн ішінде вирус АҚШ-тың барлық желілеріне, оның ішінде ФБР, ВВС США, үлкен университеттер мен ғылыми орталықтар желілеріне таралып үлгерді. Тек ең соңғы әрекеттерден ғана космостық корабль Шаттлды басқару системасын аман алып қалды. Шығын көлемі 100 миллион доллар болған бұл вирустың авторы Корнельский университетінің бітіруші түлегі Р.Моррис болып шықты. Оны осы әрекеттері үшін оқудан шығарылды, бір жыл өткен соң 270 мың доллар штраф салып, үш айға бас бостандығынан айырды.

Міне жоғарыда айтқандай қазіргі программистердің де вирус жазуға ынталы екендігі өкінішті жағдай.

Компьютерге вирус енгенін сезсеңіз, мына ережелерді мұқият орындаған абзал:

  1. Алдымен аспай-саспай, ойланып іске кіріскен жөн екенін ұмытпаңыз.
  2. Вирустың зиянды әрекеттерін әрі қарай жалғастырмас үшін компьютерді бірден өшіру қажет.
  3. Егер компьютерге жұққан вирус түрін емдей алатын детектор-программаларыңыз болса, дискілерді тексеру мақсатында соларды дереу іске қосыңыз.
  4. Біртіндеп вирус жұғуы мүмкінболған барлық дискілерді тексеріп шығу қажет.
  5. Егер дискідегі барлық файлдарыңыздың архивтік көшірмелері бар болса, онда дискіні қайта форматтап, мәліметтеріңізді бұрынғы қалпына келтіруге тырысыңыз.

Енді компьютерге вирус жұқтыру мүмкіндігін азайтатын және жұққан жағдайда оның зиянкесті әрекеттерін барынша азайтатын шараларды қарастырайық, оларды бірнеше топтарға жіктеуге болады:

  1. Информацияны әркімнің жиі пайдалануын шектеу және оның көшірмесін алып отыру.
  2. Сырттан келген мәліметтерді мұқият тексеруден өткізу.
  3. Вирустан ‘’емдеу аспаптарын’’ дайындап қою.
  4. Белгілі бір уақыт сайын компаьютерді вирусқа тексеріп отыру.

ҚОЛДАНЫЛҒАН ӘДЕБИЕТТЕР:

  1. Инфрматикадан 30 сабақ. Балапанов Е.Қ., Бөрібаев Б. –Алматы: ЖТИ.2004. -400 б.
  2. Информатика. Камардинов О. –Алматы: 2004. -360 б.
Басқа да материалдар Мұғалімдерге Ашық сабақтар Сабақ Жспарлары Оқушыларға Рефераттар ҰБТ Шығармалар СӨЖ

ПІКІР ҚАЛДЫРУ