Конспект для урока информатики "Компьютерные вирусы. Антивирусные программы"

1. Актуализация знаний

На прошлых уроках мы с вами рассмотрели основные виды программного обеспечения. Давайте вспомним, что такое ПО? (ПО - вся совокупность программ, используемых на компьютере).

Зачем компьютеру необходимо ПО? (Программное обеспечение позволяет компьютеру выполнять определенную работу).
- На какие группы делится все ПО? (Системное ПО, прикладное ПО, системы программирования).
- Что относится к системным программам? (Программы, необходимые для работы компьютера).
- Приведите примеры системных программ (Операционные системы, драйверы, утилиты).
- Что такое прикладное ПО? (Программы, предназначенные для выполнения конкретных задач пользователя).
- Примеры прикладного ПО? (Текстовые, графические процессоры, игры)
- Что такое системы программирования? (Это программы для создания новых программ на языках программирования).
- К какой группе программ относятся антивирусные программы? (системное ПО). Почему? (Они необходимы для корректной работы всей компьютерной системы).

Тема урока: «Компьютерные вирусы и антивирусные программы».

Цель нашей работы - познакомиться с основами компьютерной вирусологии, научиться обнаруживать вирусы и бороться с ними.

Мы с вами говорили о том, что компьютер можно в чем-то сравнить с человеком. Человек, как биологический организм подвержен различным воздействиям внешней среды, в том числе и различным заболеваниям, причинами возникновения которых, часто, являются вирусы и бактерии, проникающие в организм человека из вне.

Попробуйте описать этапы и последствия заражения человека каким-либо вирусом. Особенности:

Проникновение вируса в организм человека происходит из вне;
способность вируса к саморазмножению;
активизация некоторых вирусов не сразу после проникновения в организм, а через некоторое время.

А может ли компьютер заразиться вирусом? Каким должен быть этот вирус по вашему представлению?

2. Изучение нового материала

1) Понятие «компьютерный вирус»

Итак, действительно, компьютер может заразиться. И причиной заражения действительно является вирус, только компьютерный. Это название пришло из биологии именно по признаку способности к саморазмножению. Вирусы представляют собой небольшие вредоносные программы, которые запускаются на компьютере без ведома его хозяина и выполняют различные нежелательные действия. При этом вирусы могут быть как почти безобидными, так и весьма неприятными.

Компьютерный вирус – это программа, которая может создавать свои копии и внедрять их в файлы, загрузочные секторы дисков, сети. При этом копии сохраняют возможность дальнейшего распространения. Часто вирусы обладают разрушительным действием.

2) Пути распространения компьютерных вирусов

Давайте подумаем, каковы пути распространения вирусов. (Вирусы могут попасть в ПК так же как любая другая программа). В противоположность обычным бациллам, компьютерные вирусы не передаются по воздуху: так как вирусы – это программы – средой их обитания служит только различная компьютерная техника.

Как на ПК может попасть вредоносная программа? (Через зараженные дискеты, диски, флеш-карты, посредством Интернета или по локальной сети). Обычно вирус внедряется в какой-либо документ или программу, и в начале работы вы можете не заметить ничего необычного. Однако через некоторое время вирус проявит свою разрушительную силу.

3) Признаки появления компьютерных вирусов

Назовем основные признаки проявления компьютерных вирусов.

Неправильная работа нормально работавших программ;
медленная работа компьютера;
невозможность загрузки ОС;
исчезновение файлов и каталогов;
изменение размеров файлов;
неожиданное увеличение количества файлов на диске;
уменьшение размеров свободной оперативной памяти;
вывод на экран неожиданных сообщений и изображений;
подача непредусмотренных звуковых сигналов;
частые зависания и сбои в работе компьютера.

4) История компьютерной вирусологии

Первые вирусы появились давно, еще на заре эпохи ЭВМ, и не всегда были вредоносными. Например, в конце 60-х в лаборатории Xerox была создана специальная программа, являющаяся прообразом современных вирусов, которая самостоятельно путешествовала по локальной вычислительной сети и проверяла работоспособность включенных в нее устройств.

Однако позднее программы-вирусы стали разрабатываться со злым умыслом. Есть сведения, что некоторые компании специально инфицировали компьютеры конкурентов, чтобы таким образом шпионить за ними или вывести из строя их информационные системы.

5) Слухи и заблуждения

Порой боязнь вирусов причиняет больше неприятностей, чем сами вирусы. В свое время распространялось много заведомо ложных сообщений об угрозе якобы сверхопасных вирусов.

Необходимо знать, что ни один из вирусов не способен вывести из строя комплектующие компьютера. Максимум, на что способны некоторые вирусы, - это уничтожить информацию на жестком диске, что приведет к повреждению ОС и приложений. Хотя даже в этом случае ситуация может стать для вас фатальной, если вирус уничтожит важные документы.

6) Создатели компьютерных вирусов

Человек, который «пишет» вирусы называет себя вирьмейкером. Кто же занимается созданием вредоносных программ? В наши дни созданием вирусов обычно занимаются энтузиасты – одиночки. Ими могут быть и профессиональные программисты, и исследователи и обычные студенты, начинающие изучать программирование. Причем в настоящее время имеются десятки программ для автоматической генерации вирусов – конструкторы.

Что является стимулом для такой деятельности – сказать сложно. Это может быть как чувство мести, так и желание самоутвердиться. Первым вирусным конструктором, который получил широкое распространение, стал VCL (Virus Creation Laboratory), созданный в 1992 году.

7) Классификация вирусов

Существует несколько разных классификаций вредоносных программ.

Наиболее распространенная из них делит вирусы по среде их обитания. Согласно ей компьютерные вирусы бывают файловые, сетевые, загрузочные и макровирусы.

Файловые вирусы – это программы, которые поражают исполняемые файлы операционной системы и пользовательских приложений. Чаще всего они внедряются в файлы с расширениями com, exe, bat, sys, dll. Такие вирусы обнаружить и обезвредить проще всего. Радует также, что проявить свою вредоносную активность они могут только после запуска зараженной программы.

Нередко из файловых вирусов выделяют отдельный подтип, который называют макровирусами . Они также обитают в файлах, но не программ, а документах пользователя и шаблонах (doc, dot, xls, mdb и др.). Для их создания используется язык макрокоманд. Поэтому, чтобы обезопасить себя от макровирусов, необходимо отключить автозапуск макросов при открытии документов.

Сетевые вирусы в качестве среды обитания используют глобальную или локальные компьютерные сети. Они не сохраняют свой код на жестком диске компьютера, а проникают напрямую в оперативную память ПК. Вирусы этого типа за способность вычислять сетевые адреса других машин, находясь в памяти компьютера, и самостоятельно рассылать по этим адресам свои копии называют сетевыми червями. Такой вирус может находиться одновременно в памяти нескольких компьютеров. Сетевые вирусы обнаружить сложнее, чем файловые. Сетевые вирусы распространяются с большой скоростью и могут сильно замедлить работу аппаратного обеспечения компьютерной сети.

Среда обитания загрузочных вирусов – специальные области жестких и гибких дисков, которые служат для загрузки операционной системы. Для заражения вирусы используют главную загрузочную запись винчестера. Загрузочный вирус подменяет оригинальную запись и перехватывает управление системой. Такие вирусы обнаружить и удалить сложнее всего, поскольку они начинают свою работу еще до загрузки антивирусных приложений. Они же представляют наибольшую опасность.

Еще одна существующая классификация вирусов – по их деструктивным возможностям.

Безвредные вирусы – оказывают незначительное влияние на работу ПК, занимая часть системных ресурсов. Нередко пользователи даже не подозревают об их присутствии.

Неопасные вирусы – также занимают часть ресурсов компьютера, но об их присутствии пользователь знает хорошо. Обычно они проявляются в виде визуальных и звуковых эффектов и не вредят данным пользователя.

Опасные вирусы – программы, которые нарушают нормальную работу пользовательских приложений или всей системы.

Очень опасные вирусы – программы, задача которых заключается в уничтожении файлов, выводе из стоя программ и ОС или рассекречивании конфиденциальных данных.

Все компьютерные вирусы бывают двух типов – резидентные и нерезидентные.

Резидентные вирусы представляют собой программы, присутствующие в оперативной памяти либо хранящие там свою активную часть, которая постоянно заражает те или иные объекты операционной системы.

Нерезидентные вирусы загружаются лишь во время открытия зараженного файла или работы с инфицированным приложением.
Как несложно догадаться, наибольшую опасность представляют резидентные вирусы, так как время их активной работы ограничивается только выключением или перезагрузкой всей системы, а не отдельного приложения.

По особенностям алгоритма работы различают:

Простейшие вирусы – вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов, поэтому его достаточно легко обнаружить.

Вирусы-спутники (компаньоны) - вирус, который не внедряется в сам исполняемый файл, а создает его зараженную копию с другим расширением.

Стелс-вирус (невидимка ) – вирусы, скрывающие свое присутствие в зараженных объектах, подставляя вместо себя незараженные участки.

Полиморфные вирусы (мутанты) – вирусы, модифицирующие свой код таким образом, что копии одного и того же вируса не совпадали.

Макровирус – вирусы, которые заражают документы офисных приложений.

Троянская программа – программа, которая маскируется под полезные приложения (утилиты или даже антивирусные программы), но при этом производит различные шпионские действия. Она не внедряется в другие файлы и не обладает способностью к саморазмножению.

Черви – это вредительские компьютерные программы, которые способны саморазмножаться, но, в отличие от вирусов не заражают другие файлы. Свое название черви получили потому, что для распространения они используют компьютерные сети и электронную почту.

Сегодня наиболее распространены так называемые сетевые черви, а также макровирусы.

8) Профилактика появления компьютерных вирусов

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Подумайте, какие средства помогают предотвратить заражение ПК?

1. Резервное копирование наиболее ценных данных;
2. создание дистрибутивного и системного диска;
3. хранение всех регистрационных и парольных данных не на ПК;
4. проверка всей поступающей извне информации на вирусы, как на дискетах, CD-ROM, так и по сети;
5. использование «свежих» антивирусных программ, регулярная проверка компьютера на наличие вирусов.

9) Антивирусные программы

Итак, особое место в этом списке занимают программные средства защиты – антивирусные программы. К какому виду ПО они относятся? (Системному ПО).

Антивирусная программа (антивирус) - программа, позволяющая выявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные действия.

Существует несколько типов антивирусных программ, различающихся выполняемыми функциями.

1. Полифаги . Просмотр содержимого файлов, расположенных на дисках компьютера, а также содержимого оперативной памяти компьютера с целью поиска вирусов.

2. Ревизоры . В режиме предварительного сканирования создает базу данных с контрольными суммами и другой информацией, позволяющей впоследствии контролировать целостность файлов (контроль над изменениями, которые происходят в файловой системе ПК).

3. Блокировщики. Проверка на наличие вирусов запускаемых файлов, перехват «вирусоопасных» ситуаций.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Поэтому в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции.

3. Дополнительная информация

В начале 1970-х годов в прототипе современного интернета - военной компьютерной сети APRAnet - был обнаружен вирус Creeper. Эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I"M THE CREEPER: CATCH ME IF YOU CAN". Это был назойливый, но в целом безобидный вирус.

1981 году появился вирус Elk Cloner. Он записывался в загрузочные сектора дискет, к которым шло обращение. В те времена это казалось невероятным и вызывало у рядовых пользователей устойчивую связь между вирусами и внеземными цивилизациями, пытающимися завоевать мир. Впечатление от вируса усиливалось его проявлениями: Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения.

В 1983 году Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. В этот же году Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности демонстрирует вирусоподобную программу, способную внедряться в другие объекты, а годом позже дает научное определение термину "компьютерный вирус".

В 1986 году зарегистрирована первая глобальная эпидемия вируса. Вирус Brain, заражающий загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру. Вслед за обнаружением Brain один за другим стали появляться научно-фантастические романы, посвященные вирусам.

В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса "Christmas Tree". За четыре дня (9-13 декабря) вирус парализовал сеть IBM VNet - она была забита его копиями. При запуске вирус выводил на экран изображение рождественской елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в системных файлах.

1988 год - глобальная эпидемия. Вирус Jerusalem обнаружил себя сам: в пятницу, 13-го, он уничтожал все запускаемые на зараженном компьютере файлы. Ноябрь 1988: повальная эпидемия настоящего сетевого вируса, получившего название червь Морриса. Вирус заразил более 6000 компьютерных систем в США (включая Исследовательский центр NASA). В это время стали появляться первые компании-разработчики антивирусного программного обеспечения.

Декабрь 1989 года: некий злоумышленник разослал по разным адресам 20.000 дискет, содержащих "троянца". Через 90 загрузок операционной системы на зараженном ПК программа делала невидимыми все файлы и оставляла на диске только один читаемый файл - счет, который следовало оплатить и отослать по указанному адресу. 1989 году свою карьеру антивирусного эксперта начал Евгений Касперский, позже основавший компанию "Лаборатория Касперского".

В 90-х годах количество вирусов растет в геометрической прогрессии. В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller. Было продано более 50.000 копий журнала. Комментарии излишни.

Июль 1992: появление первых конструкторов вирусов. Они позволяли людям создавать свои собственные вирусы различных типов и модификаций.

В конце XX – начале XXI века электронная почта и Интернет укрепили свои позиции как наиболее опасные источники вредоносных программ.

В январе разразилась глобальная эпидемия интернет-червя Happy99. Далее - глобальная эпидемия вируса "Melissa". Сразу же после заражения системы он считывал адресную книгу почтовой программы и незаметно рассылал по первым 50 найденным адресам свои копии.

В четверг 4 мая 2000 года был обнаружен новый опасный вирус, притворяющийся признанием в любви! - "червь" LoveLetter, который распространяется по электронной почте под заголовком "ILOVEYOU". ILOVEYOU наносит значительный ущерб данным, содержащимся на диске зараженного компьютера.

«Конечно, ведь это так интересно. Получив сообщение, в котором говорится, что вас любят, вы непременно поспешите открыть его и посмотреть, что внутри».
2001 год - новый вирус Zoher - автоматизированное письмо счастья "Zoher" распространяется по электронной почте в виде вложенных файлов. Таким образом, при попытке прочтения письма, вирус активизируется самостоятельно, если на компьютере не установлена специальная заплатка для почтовой программы.

Тело письма содержит весьма длинный текст на итальянском языке.

Его перевод примерно следующий:

«С этим письмом вам придет счастье! Не просто счастье, а счастье с большой буквы С! Даже больше - счастье с большими буквами С и Ь! Мы на мелочи времени не тратим! С сегодняшнего дня к вам придет удача, но только в том случае, если вы отправите это письмо всем, кого вы знаете. Если вы сделаете это, то:

а) ваша мужская сила будет как у Кинг Конга до конца вашей жизни
б) светофор перед вами всегда будет зеленым, или, хотя бы, желтым
в) вы поймаете всех Покемончиков
г) (для мужчин) когда отправитесь на рыбалку, то выловите не простую рыбку, а Сирену, по ошибке рожденную не с хвостом, а с красиыми женскими ножками
д) (для женщин) вы родитесь Сиреной с женскими ножками, а вас поймает мужчина вашей мечты

Если же вы не отправите это письмо всем вашим знакомым в течение 40 секунд, то вас ждут неприятности! Вы попадете во множество трагикомических ситуаций, ваша жизнь станет одним большим приколом, который только вам не будет казаться смешным … и т.п.»

Надіслала вчитель інформатики Деснянського економіко – правового технікуму при МАУП м. Києва Рябець Людмила Іванівна

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

Кто и почему пишет вирусы. Компьютерные вирусы, их свойства, классификация. Пути проникновения вирусов в компьютер, механизм распределения вирусных программ. Методы защиты от компьютерных вирусов. Антивирусные программы: Doctor Web, Microsoft Antivirus.

реферат , добавлен 27.09.2008


Понятие компьютерного вируса, причины и последствия его активизации. Признаки появления вирусов. Стоимость нанесенного вреда. Хакерские утилиты и прочие вредоносные программы. Параметры, которым должны отвечать антивирусные программы, их классификация.

презентация , добавлен 17.02.2014


Первый прототип вируса. Идея создания самовоспроизводящихся программ. Разработка вирусоподобных программ. Основные признаки проявления вирусов. Классификация компьютерных вирусов. Рынок антивирусных программ. Основные виды антивирусных программ.

презентация , добавлен 25.10.2012


Понятие компьютерного вируса, классификация по среде обитания, способу заражения, воздействию и особенностям алгоритма. Пути проникновения вирусов в компьютер, механизм распределения вредоносных программ. Программы-детекторы, ревизоры, фильтры и вакцины.

доклад , добавлен 26.09.2011


Понятие компьютерного вируса. Его появление в работе на компьютерах. Разновидности компьютерных вирусов: невидимые, самомодифицирующиеся. Защита от них. Антивирусные программы. Вакцины. Программы - детекторы, ревизоры, фильтры. Действия при заражении.

реферат , добавлен 21.06.2008


Вирусы - самовоспроизводящиеся программы, их свойства и классификация. Примеры схем их функционирования. Пути проникновения в компьютер и механизм распределения вирусных программ, признаки их проявления. Способы защиты от них, антивирусные средства.

контрольная работа , добавлен 13.01.2011


Рассмотрение понятия, признаков проявления (изменение размеров файлов, даты их модификации), видов (сетевые, файловые, резидентные, троянские программы) компьютерного вируса. Характеристика основных антивирусных программ: детекторов, докторов, ревизоров.

Компьютерный вирус

6. Зависание ОС.

Классификация вирусов

I. По способу заражения :

Резидентные

Нерезидентные

.

1. Вирусы – компаньоны.

3. Черви.

Например, почтовый вирус Melissa

4. Вирусы типа «троянский конь » (BackDoor-G).

Armageddon, BackOrifice и NetBus

5. Макровирусы .

6. Вирусы, ”.

CIH или “Чернобыль”

В Израиле появился вирус Worm.ExploreZip Melissa с разрушительной силой «Чернобыля

Антивирусные программы

· сканеры;

· программы – доктора;

· ревизоры;

· фильтры;

· иммунизаторы.

Сканеры

Программы – доктора

:

Ревизоры

Фильтры

· форматирование диска;

Программы

Какой вред наносят вирусы

Различные вирусы выполняют различные деструктивные действия :

Выводят на экран мешающие текстовые сообщения;

Создают звуковые эффекты;

Создают видео эффекты;

Замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;

Увеличивают износ оборудования;

Вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;

Имитируют повторяющиеся ошибки работы операционной системы;

Уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;

Осуществляют научный, технический, промышленный и финансовый шпионаж;

Выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;

Делают незаконные отчисления с каждой финансовой операции и т.д.;

Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.

Какие бывают вирусы

Рассмотрим основные виды вирусов . Существует большое число различных классификаций вирусов:

· по среде обитания:

- сетевые вирусы, распространяемые различными компьютерными сетями;

- файловые - инфицируют исполняемые файлы, имеющие расширение exe и com. К этому же классу относятся и макровирусы , написанные с помощью макрокоманд. Они заражают неисполняемые файлы (в Word, Excel);

- загрузочные - внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска. Некоторые вирусы записываются в свободные секторы диска, помечая их в FAT-таблице как плохие;

- загрузочно-файловые - интегрируют черты последних двух групп;

· по способу заражения (активизации):

- резидентный вирус логически можно разделить на две части - инсталятор и резидентный модуль . При запуске инфицированной программы управление получает инсталятор, который выпоняет следующие действия:

1. размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;

2. подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий.

- нерезидентный вирусы не заражают оперативную память и проявляют свою активность лишь однократно при запуске инфицированной программы;

· по степени опасности:

- не опасные - звуковые и видеоэффекты;

- опасные - уничтожают часть файлов на диске;

- очень опасные - самостоятельно форматируют жесткий диск;

· по особенностям алгоритма:

- компаньон-вирусы не изменяют файлы. Алгоритм их работы состоит в том, что они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл);

- черви (репликаторы) - аналогично компаньонам не изменяют файлы и секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов;

- невидимки (стелс) - используют набор средств для маскировки своего присутствия в ЭВМ. Их трудно обнаружить, т.к. они перехватывают обращения ОС к пораженным файлам или секторам и подставляют незараженные участки файлов;

- полиморфики (призраки, мутанты) - шифруют собственное тело различными способами. Их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода;

- троянская программа - маскируется под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.

· по целостности:

- монолитные - программа представляет единый блок;

- распределенные - программа разделена на части. Эти части содержат инструкции, которые указывают как собрать их воедино, чтобы воссоздать вирус.

Лекция 4. Компьютерные вирусы и антивирусные средства

Компьютерный вирус – это программа, способная создавать свои копии, (не обязательно полностью совпадающие с оригиналом), внедрять их в различные объекты систем и сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной или инфицированной. Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы и выполняет запланированные действия. После этого передает управление той программе, в которой он находится. В среднем в месяц появляется около 300 новых разновидностей вирусов.

Симптомы вирусного заражения компьютера:

1. Замедление работы некоторых программ.

2. Увеличение размеров файлов, особенно исполняемых.

3. Произвольное появление не существовавших ранее файлов.

4. Уменьшение объема доступной ОП, по сравнению с обычным режимом работы.

5. Внезапные видео и звуковые эффекты.

6. Зависание ОС.

7. Запись на диск в непредусмотренный момент времени.

8. Прекращение работы ранее нормально функционировавших программ.

Классификация вирусов

I. По способу заражения :

Вирусы делятся на резидентные и нерезидентные

Резидентные – оставляют в ОП свою резидентную часть, которая затем перехватывает обращения неинфицированных программ к ОС и внедряется в них.

Нерезидентные – не заражают ОП, проявляют свою активность однократно при запуске инфицированной программы.

II. По особенностям алгоритма .

1. Вирусы – компаньоны.

Создают для файлов с расширением EXEновые зараженные файлы с тем же именем, но с расширениемCOM. При запуске программ ОС запускает сначала файлы с расширениемCOM, затем - с расширениемEXE. В результате зараженный файл будет запускаться первым и заражать остальные программы.

Изменяют содержимое дисковых секторов или файлов. В эту группу входят все вирусы, не являющиеся компаньонами или червями.

3. Черви.

Это вирусы, которые распространяются в сети, проникают в память, находят сетевые адреса и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.

Например, почтовый вирус Melissa стал причиной массовых сбоев в работе почтовых служб во многих странах. Этот вирус маскируется под сообщение электронной почты и при открытии пользователем посылает аналогичные сообщения по первым 50 адресам его адресной книги.

4. Вирусы типа «троянский конь » (BackDoor-G).

Маскируются под полезную программу. Выполняют разрушительную работу, например, стирают FATтаблицу.

Аналогичными вирусами являются Armageddon, BackOrifice и NetBus , они характерны тем, что представляют собой смесь вирусов и средств взлома защиты компьютерных программ.

5. Макровирусы .

Используют возможности макроязыков, встроенных в текстовые редакторы и электронные таблицы.

6. Вирусы, разрушающие “компьютерное железо ”.

CIH или “Чернобыль” , срабатывающий 26 апреля (в годовщину чернобыльской катастрофы). Другая версия вируса проявляет свои разрушительные свойства по 26 числам каждого месяца. Написанный программистом с Тайваня «Чернобыль» портит данные на жестком диске и разрушает базовую систему ввода/вывода (BIOS), что делает невозможным загрузку компьютера, что в итоге приводит к необходимости замены микросхемы ПЗУ. Переносчиком вируса является CD-ROM с пиратским ПО.

В Израиле появился вирус Worm.ExploreZip , сочетающий плодовитость «червя» Melissa с разрушительной силой «Чернобыля ». Этот вирус также распространяется по электронной почте, но приходит в ответ на реальные сообщения, поэтому не вызывает у пользователя особых подозрений. Вирусное послание содержит файлы, упакованные программой-архиватором ZIP. При попытке разархивирования вирус выдает сообщение об ошибке и заражает компьютер, после чего стирает с жесткого диска все данные.

Антивирусные программы

Эти программы могут обнаруживать только те вирусы, сигнатуры (портреты) которых им известны - помещены в библиотеку программы.

Антивирусные программы подразделяются на:

· сканеры;

· программы – доктора;

· ревизоры;

· фильтры;

· иммунизаторы.

Сканеры сканируют ОП, диски, выполняя поиск зараженных файлов.

Программы – доктора не только находят зараженные файлы, но и лечат, удаляя из файла тело программы – вируса.

Наиболее известные программы – доктора :

Ревизоры – программы, которые анализируют текущее состояние файлов и системных областей диска, а также сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояниеFATтаблицы, длина файлов, время создания, атрибуты, контрольные суммы.

Фильтры – это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют:

· обновление программных файлов и системной области диска;

· форматирование диска;

· резидентное размещение программ в ОП.

Программы – фильтры должны быть установлены при работе в сети Интернет.

1. Перед считывание с носителей информации проверять носитель на вирусы.

2. Проверять файлы сразу после разархивации.

3. Не оставлять носители в разъемах при включении и перезагрузки ПК, т.к. это может привести к заражению загрузочными вирусами.

4. Получив электронное письмо, к которому приложен исполняемый файл, не запускать этот файл без предварительной проверки.

5. При установке большого программного продукта проверить все дистрибутивные файлы, а после инсталляции повторно произвести проверку на вирус.

6. Обновлять базы антивирусных программ.

Реферат

Вирусы и антивирусные программы

1. Вирусы

а) Что такое вирус

б) Что может и чего не может компьютерный вирус

в) Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев

г) Типы вирусов

д) Что делать, если заражение уже произошло

2. Методы обнаружения вирусов

а)Метод соответствия определению вирусов в словаре

б) Метод обнаружения странного поведения программ

в)Метод обнаружения при помощи эмуляции

г)Метод «Белого списка»

д)Другие методы обнаружения вирусов

3. Важные замечания

4. Классификация антивирусов

5. Антивирусы на SIM, флэш - картах и USB устройствах

1. Вирусы

а) Что такое вирус

Компьютерные вирусы - вредоносные само распространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области…)

Вредоносный программный код, обычно замаскированный под что-нибудь привлекательное (например, фотография популярного спортсмена) или полезное и выполняющий незапланированные либо нежелательные действия, например повреждение данных.

(Virus - лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.

В общем случае компьютерный вирус - это небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов, или "поселяется" в загрузочном (BOOT) секторе диска. При запуске заражённых программ и драйверов вначале происходит выполнение вируса, а уже потом управление передаётся самой программе. Если же вирус "поселился" в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т. д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передаётся заражённой программе, которая обычно работает "как ни в чём не бывало", маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы, и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word и табличного редактора Excel.

Как проявляют себя вирусы

Проявления вирусов весьма различны. Это:

1 Сильное замедление работы компьютера.

2 Неожиданное появление на экране посторонних фраз.

3 Появление различных видеоэффектов (например, перевёртывание экрана).

4 Пропадание информации с экрана.

5 Генерация различных звуков.

6 Некоторые программы перестают работать, а другие ведут себя очень странно.

7 На дисках появляется большое количество испорченных файлов данных, текстовых файлов.

8 Разом рушится вся файловая система на одном из дисков.

9 Операционная система неожиданно перестаёт видеть винчестер.

10 Произвольно изменяется длина отдельных файлов.

11 Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95.

12 Стирание всех незащищённых от стирания пользовательских файлов и системных файлов

13 Самопроизвольный неограниченный «разгон» видеокарты и процессора, что приводит к их перегреву и поломке

14 Подмена существующих драйверов на драйвера, неподходящие к данной системе, что приводит к возникновению большого количества ошибок, замедлению работы системы и остановке работы важных сервисных программ

15 Скачивание при подключённом Интернет-соединении большого количества ненужной, опасной информации, мусора и других вирусов

Разные вирусы могут вести себя по-разному. Некоторые только размножаются, не совершая вредных действий, другие же сразу после заражения совершают множество очень неприятных действий. Есть такие, которые вначале ведут себя незаметно, а по прошествии какого-то времени вдруг разом портят все данные (скажем, форматируется винчестер).

б) Что может и чего не может компьютерный вирус

Компьютерный вирус может заразить очень ограниченное число файлов. Перечислим эти файлы. В первую очередь это исполняемые файлы с расширением.com и.ехе, затем - драйверы устройств с расширениями.sys и тем же.ехе. динамические библиотеки (расширение dll) и. наконец, оверлейные модули исполняемых файлов (как правило, имеют расширение.ovl).

Существуют вирусы, заражающие пакетные.bat файлы, но эти вирусы крайне примитивны и поступают очень просто: они вставляют в пакетные файлы команды своего вызова. Поймать такие вирусы не представляет труда.

Также могут быть подвергнуты заражению файлы документов и шаблонов редакторов, в которых при открытии документа предусмотрено выполнение макрокоманд. В частности, это.doc и.dot файлы текстового редактора Word, .xls и,xlt файлы табличного редактора Excel.

Ни при каких условиях не могут быть подвергнуты заражению текстовые (.txt) и графические файлы (.tif, .gif, .bmp и т. п.), файлы данных и информационные файлы.

в) Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев

Запуск на компьютере исполняемой программы, заражённой вирусом.

Подключение к системе заражённого драйвера.

Открытие документа, заражённого макровирусом.

Установка на компьютере заражённой операционной системы.

Компьютер не может быть заражён, если:

На него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд).

На нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался.

На компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд).

Переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты).

Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.

Не стоит приписывать все сбои в работе оборудования или программ действию компьютерного вируса. Вирус - это обычная программа причём небольшого размера, и она не может совершать никаких сверхъестественных действий.

г) Типы вирусов

Вирусы - спутники. Наиболее примитивный тип вирусов. Для каждого файла с расширением.ехе создают файл с тем же именем, но с расширением.com. содержащий тело вируса. При запуске файла операционная система вначале ищет.com файлы, а потом.ехе файлы. Поэтому вначале управление получает вирус, а затем уже он сам вызывает необходимый ехе файл.

Файловые вирусы. Поражают файлы с расширением.com, .ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным; и, что самое печальное, такой файл нельзя восстановить. Часть этих вирусов остаётся в памяти резидентно.

Загрузочные вирусы. Поражают загрузочные сектора дисков. Инфицирование новых дисков происходит в тот момент, когда в заражённый компьютер вставляют новую дискету и начинают с ней работать. Часто вирус не помешается целиком в загрузочной записи, туда пишется только его начало, а продолжение тела вируса сохраняется в другом месте диска. После запуска остаются в памяти резидентно.

Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов. Такие вирусы могут поражать как файлы, так и загрузочные сектора.

Вирусы DIR*. Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с заражённого диска, как файловая система тут же "восстанавливается".На самом же деле происходит инфицирование ещё одного компьютера.

Макровирусы. Весьма оригинальный класс вирусов (хотя вирусами в полном смысле этого слова их даже нельзя назвать), заражающий документы, в которых предусмотрено выполнение макрокоманд. При открытии таких документов вначале исполняются макрокоманды (специальные программы высокого уровня), содержащиеся в этом документе, -макровирус как раз ипредставляет собой такую макрокоманду. Таким образом, как только будет открыт заражённый документ,вирус получит управление и совершит все вредный действия (в частности, найдёт и заразит ещё не заражённые документы).

Механизмы защиты вирусов от обнаружения

Как правило вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов - вирусы-невидимки (или стелс-вирусы) и самомодифицирующиеся вирусы (вирусы-призраки).

Стелс-вирусы (от английского stealth - Стелс-вирус - вирус, тем или иным способом скрывающий свое присутствие в системе.) реализуют очень хитрый механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в памяти резидентно и при обращении к заражённым файлам и областям диска подменяют информацию так, что "заказчик" получает её в незаражённом, исходном виде. Достигается это перехватыванием обращений DOS и установкой своих векторов прерываний. Увидеть такой вирус можно либо на незаражённом компьетере (например, загрузившись с заведомо чистой дискеты), либо в том случае, когда программа не пользуется средствами DOS а напрямую обращается к диску.

Вирусы-призраки маскируются с помощью другого механизма. Эти вирусы постоянно модифицируют себя таким. образом", что не содержат одинаковых фрагментов. Такие вирусы хранят своё тело в закодированном виде и постоянно меняют параметры этой кодировки. Стартовая же часть, занимающаяся декодированием непосредственно самого тела, может генерироваться весьма сложным способом. При переносе вируса данного типа с компьютера на компьютер код вируса изменяется таким образом, что уже не имеет ничего общего со своим предыдущим вариантом. А часть вирусов может самомодифицироваться и в пределах одного компьютера. Обнаружение таких вирусов весьма осложнено, хотя часть антивирусных программ пытается находить их по участкам кода, характерным для стартовой части.

* - DIR - Поле в ячейке управления ресурсами, показывающее направление RM-ячейки по отношению к потоку данных, с которым эта ячейка связана. Источник данных устанавливает DIR=0, получатель - DIR=1.

д) Что делать, если заражение уже произошло

Стандартные действия при заражении вирусом

Вы должны:

Сразу же выключить питание, чтобы вирус перестал распространяться дальше. Единственное, что можно сделать до выключения питания, - это сохранить результаты текущей работы. Не следует использовать горячую перезагрузку (Ctrl+Alt+Del), т. к. некоторые вирусы при этом сохраняют свою активность.

Войти в SETUP и включить загрузку с диска А:. Заодно рекомендуется проверить правильность всех установок, включая параметры жёстких дисков. Если произошли какие-либо изменения, то необходимо восстановить старые значения.

Ни в коем случае не запускать ни одной программы, находящейся на жёстком диске.

Необходимо загрузиться с дискеты (она должна быть защищена от записи) и запустить по очереди программы-детекторы, находящиеся на дискете. Если одна из программ обнаружит загрузочный вирус, то его можно тут же удалить, аналогично надо поступить и при наличии вируса DIR. Учтите, что вирусов может быть много.

Если программа-детектор обнаружит файловый вирус, то возможны два варианта действий. Если у вас

установлена программа-ревизор с лечащем модулем, то восстановление файлов лучше делать с ее помощью.

Если такое программы нет. то необходимо воспользоваться для лечения одним из детекторов. Испорченные файлы (если, конечно, они не текстовые и не файлы данных) необходимо удалить.

После того как все вирусы удалены, необходимо заново перенести операционную систему на жёсткий диск (с помощью команды SYS).

Необходимо проверить целостность файловой системы на винчестере (с помощью CHKDSK) и исправить все повреждения. Если таких повреждений очень много, то перед исправлением файловой структуры необходимо попытаться скопировать наиболее важные файлы на дискеты.

Необходимо ещё раз проверить жёсткий диск на наличие вирусов, если таковых не оказалось, то можно перезагрузиться с винчестера. После перезагрузки винчестера необходимо оценить потери от действий вируса. Если повреждений очень много, то проще заново переформатировать винчестер (при необходимости сохранив самые важные файлы).

Необходимо восстановить все необходимые файлы и программы с помощью архива - и для страковки, ещё раз загрузившись с дискеты, протестировать винчестер. Если снова будет обнаружен вирус, то- вам не повезло, ваш архив также заражён вирусом. В этом случае вы должны протестировать весь ваш архив.

Если всё в порядке, то необходимо проверить все дискеты, которые могли оказаться заражёнными вирусом и при необходимости пролечить их. Не забудьте только отключить загрузку с диска А:.

После того как вирус дезактивирован, вы можете продолжать свою работу. Рекомендуется только подключить на некоторое время одну из программ-фильтров.

Нестандартные ситуации

Во время вирусной атаки может возникнуть ряд нестандартных ситуаций. Рассмотрим их.

Если у вас установлен менеджер диска, то при загрузки с дискеты часть дисков может быть недоступна. Тогда необходимо пролечить вначале все доступные на данный момент диски, затем загрузиться с жёсткого системного диска и пролечить все оставшиеся логические диски.

Если при загрузке с дискеты выясняется, что система просто "не видет" ваш винчестер, то скорее всего вирус повредил таблицу разбиения жёсткого диска. В этом случае необходимо ещё раз проверить установки SETUP и попытаться восстановить разбиение с помощью Norton Disk Doctor (или, если вы хорошо представляете себе свои действия, с помощью Norton Disk Edit). Если это не поможет, то, увы, вся информация с винчестера потеряна, остаётся только воспользоваться программой FDISK.

Если вы столкнулись с неизвестным вирусом, то дело обстоит несколько сложнее. Во-первых, вы можете воспользоваться программой-ревизором, если она у вас установлена. Вполне возможно, что она поможет обезвредить ваш вирус. Если её нет или она не помогла, то остаётся только заново перенести операционную систему, а затем удалить с него все исполняемые и пакетные файлы, драйверы и оверлейные файлы, после чего восстановить их из архива. Можно также воспользоваться услугами антивирусной скорой помощи.

И в заключение одно замечание. Не стоит приписывать все ваши неприятности действиям вируса. Говорить же о действии неизвестного вируса, а тем более прибегать к радикальным мерам следует только тогда, когда не остаётся никаких сомнений. Стоит вначале попытаться восстановить файлы, и, только если это не удаётся, удалить их.

Ситуация, сложившаяся сейчас в области вирусной безопасности, весьма стабильна. Различные организации (исключая, конечно, Институтские учебные центры, на которых пробуют свои силы юные авторы вирусов) подвергаются вирусным атакам весьма редко, - не говоря уже об индивидуальных пользователях.

в) Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

г) Метод «Белого списка»

Общая технология по борьбе с вредоносными программами - это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

д) Другие методы обнаружения вирусов

Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также эвристическое сканирование).

3. Важные замечания

· Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

· Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

· Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

· Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

· Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

· Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

· Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

· Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

· Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.

· Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре).

4. Классификация антивирусов

Касперский Евгений Валентинович использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность) :

Сканеры (устаревший вариант «полифаги») Определяют наличие вируса по БД , хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора

Ревизоры Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. (Класс близкий к IDS).

Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Вакцины Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007) условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.

5. Антивирусы на SIM, флэш-картах и USB устройствах

Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства.Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне.

Антивирусные программы на SIM с антивирусом, встроенном в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIN и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами.

Компьютерные вирусы и антивирусные программы

Преподаватель:

Студент:

Екатеринбург

2013

Введение 1.Теоретические основы компьютерной вирусологии 1.1 Понятие «Компьютерный вирус» 1.2. История компьютерной вирусологии и причины появления вирусов 1.3. Компьютерные вирусы, их свойства и классификация 1.3.1. Свойства компьютерных вирусов 1.3.2. Классификация вирусов 1.4. Основные виды вирусов и схемы их функционирования 1.4.1. Загрузочные вирусы. 1.4.2. Файловые вирусы 1.4.3. Загрузочно-файловые вирусы 1.4.4. Сетевые вирусы 1.4.5. Полиморфные вирусы 1.4.6. Макровирусы 1.5. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ 1.6. Антивирусные программы 2. Из практики борьбы с компьютерными вирусами 2.1. Как мы обнаруживаем компьютерный вирус? 2.2. Как мы лечим компьютер от вирусных заражений? Заключение

Введени е

Мы живём в 21 веке, это век компьютерной информационной технологии.

Жизнь сегодняшнего человека невозможно представить без оперативного хранения объёмной информации и доступа к ней. Человек не может справиться с быстрым потоком информации. Компьютер является самым ёмким хранилищем всей информации. Но вместе с тем, компьютер породил другую проблему - проблему надёжности, защищённости, длительного хранения информации. И виновником всего стал компьютерный вирус.

Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность...

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Всё чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении всё более совершенных, самовыражающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растёт. Сталкивался с этой проблемой и я, и все те, кто работает с компьютером. На сегодняшний день в работе с компьютером нужно научиться управлять и защищать компьютер от компьютерного вируса. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусов и практической защиты от них. Всё сказанное и явилось основанием выбора темы моей курсовой работы по информатике «Компьютерные вирусы и антивирусное программное обеспечение».

Гипотеза. Взявшись за данную тему, я предположил, что усилить защиту персональных компьютеров от компьютерных вирусов можно, если на основании углублённого знания теоретических основ компьютерной вирусологии, будет разработана система последовательных практических действий, предупреждающих заражение вирусом или предусматривающих использование эффективных методов защиты.

Объектом исследования является практика обнаружения и борьбы с компьютерным вирусом.

Предметом исследования – обнаружение и борьба с компьютерным вирусом при работе с персональным компьютером.

Цель работы: разработать систему последовательных практических действий, предупреждающих заражение вирусом или предусматривающих использование эффективных методов борьбы и описать технологический процесс защиты персональных компьютеров от вирусов.

Задачи:

1. Изучить теоретические основы компьютерной вирусологии (сущность, свойства, классификация вирусов);
2. Ознакомиться с историей компьютерной вирусологии;
3. Проанализировать собственную практику обнаружения компьютерного вируса и борьбу с ним;
4. Совершенствовать исследовательскую и собственную информационную культуру.

Мое исследование состоит из двух глав.

В первой главе освещаются теоретические вопросы. А во второй главе - технологический процесс защиты персональных компьютеров от вирусов, состоящих из двух взаимосвязанных шагов: обнаружение компьютерного вируса и его лечение.

1.Теоретические основы компьютерной вирусологии

1.1 Понятие «Компьютерный вирус»

Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять нежелательные различные действия на компьютере. Программа, внутри которой находится вирус, называется «заражённой». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса, действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определённых условий. После того, как вирус выполнит нужные ему действия, он передаёт управление той программе, в которой он находится, и она работает так же, как обычная. Тем самым внешне работа заражённой программы выглядит так же, как и не заражённой.

Многие разновидности вирусов устроены так, что при запуске заражённой программы вирус остаётся резидентно, то есть до перезагрузки DOS , в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.

Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы, табличные процессоры и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

1.2. История компьютерной вирусологии и причины появления вирусов

История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причём, не смотря на всю мощь современных антивирусных программ, лидерами являются именно вирусы.

О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчёта можно считать труды известного учёного Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С.Пенроуза, посвящённую самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой учёный Ф.Ж.Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.

Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиальные идеи. Все остальные – «вариации на тему». Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию. Но последнее можно оспорить. Например, в 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Или примером может быть эпидемия известного вируса Dir - II , разразившаяся в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счёт несовершенства традиционных антивирусных средств.

Или всплеск компьютерных вирусов в Великобритании: Кристоферу Пайну удалось создать вирусы Pathogen и Queeq , а также вирус Smeg . Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры, заражённые программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив её, пользователи вместо уничтожения вирусов уничтожили файлы множества фирм, убытки составили миллионы фунтов стерлингов.

Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7000 персональных компьютеров, подключённых к Internet .

Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и её теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.

1.3. Компьютерные вирусы, их свойства и классификация

1.3.1. Свойства компьютерных вирусов

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьёзные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к примеру, дать определение понятия «редактор». Вы либо придумаете нечто очень общее, либо начнёте перечислять все известные типы редакторов. И то, и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором классе программ.

Прежде всего, вирус – это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьёзно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые, при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус – программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и ещё множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но, и могут вообще с ним не совпадать!!!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечит передачу себе управления.

1.3.2. Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

Среде обитания;

Способу заражения среды обитания;

Воздействию;

Особенностям алгоритма.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, файлово - загрузочные, полиморфные, макровирусы и загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, то есть в файлы, имеющие расширение COM и EXE . Файлово-загрузочные вирусы могут внедряться в другие виды файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Полиморфные вирусы – это вирусы, модифицирующие свой код в заражённых программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Макро – вирусы являются программами на языках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вируса можно разделить на следующие виды:

Неопасные , не мешающие работе компьютера, но уменьшающие объём свободной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

Очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

1.4. Основные виды вирусов и схемы их функционирования

1.4.1. Загрузочные вирусы.

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. Мы сознательно обойдём все многочисленные тонкости, которые неизбежно встретились бы при строгом алгоритме его функционирования.

Что происходит, когда вы включаете компьютер? Первым делом управление передаётся программе начальной загрузке , которая хранится в постоянно запоминающем устройстве (ПЗУ), то есть ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.

Всякая дискета размечена на секторы и дорожки. Секторы объединяются в классы, но это для нас не существенно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один – сектор начальной загрузки.

В секторе начальной загрузки хранится информация о дискете – количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

Теперь рассмотрим вирус. В загрузочных вирусах выделяются две части– т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и вирус, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва – в нашем случае незащищённая от записи и ещё незаражённая дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия.

Выделяет некоторую область диска и помечает её как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные;

Копирует в выделенную область диска свой хвост и оригинальный загрузочный сектор;

Замещает программу начальной загрузки в загрузочном секторе своей головой;

Организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передаёт управление оригинальному загрузочному сектору. В цепочке:

ПНЗ (ПЗУ ) ПНЗ (диск ) СИСТЕМА

Появляется новое звено:

ПНЗ (ПЗУ ) ВИРУС ПНЗ (диск ) СИСТЕМА

Мораль ясна: никогда не оставляйте (случайно) дискету в дисководе А. Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет, на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берёт на себя управление программа начальной загрузки в MBR (Master Boot Record – главная загрузочная запись). Если ваш жёсткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный. Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передаёт управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов – программа начальной загрузки в MBR и программы начальной загрузки в бут - секторе загрузочного диска.

1.4.2. Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы могут быть и нерезидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передаёт управление «хозяину» (хотя ещё неизвестно, кто в такой ситуации хозяин).

Какие же действия выполняет вирус? Он ищет новый объект для заражения – подходящий по типу файл, который ещё не заражён (в том случае, если вирус «приличный», а то попадаётся такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции – размножения, вирус вполне может сделать что-нибудь каверзное (сказать, спросить, сыграть) – это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявить прочие способности не только во время работы заражённого файла. Заражая исполняемый файл, вирус, всегда изменяет его код – следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

Он не обязан менять длину файла;

Не обязан менять неиспользуемые участки кода;

Не обязан менять начало файла;

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства Dir - II . Нельзя не признать, что, появившись в 1991 году, эти вирусы стали причиной настоящей эпидемии чумы в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и т.н. резервные файлы .

При запуске исполняемых файлов система считывает их записи в каталоге, первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir - II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление, (операционная система запускает его сама) резидентно устанавливается в память и передаёт управление вызванному файлу.

1.4.3. Загрузочно-файловые вирусы

Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой другой информации вы при этом не узнаете. Но здесь предоставляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус One Half , заражающий главный загрузочный сектор ( MBR ) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует основную порцию секторов, а зашифровав половину жёсткого диска, радостно сообщают об этом. Основная проблема привлечения данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Наиболее «смертельное» действие – просто переписать новый здоровый MBR . Главное – не паникуйте. Взвесьте всё спокойно, посоветуйтесь со специалистом.

1.4.4. Сетевые вирусы

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом сетевого вируса является возможность самостоятельно передать свой код на удалённый сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают ещё и возможностью запустить на выполнение свой код на удалённом компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску заражённого файла.

1.4.5. Полиморфные вирусы

Большинство вопросов связано с термином «полиморфные вирусы». Этот вид компьютерных вирусов представляется собой на сегодняшний день наиболее опасными. Объясним же, что это такое.

Полиморфные вирусы – вирусы, модифицирующие свой код в заражённых программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном виде.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровка и расшифровка, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имея при этом постоянный код шифровальщика и расшифровальщика.

Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровальщиками. Цель такого шифрования: имея заражённый и оригинальный файлы, вы всё равно не сможете проанализировать его код с помощью дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Всё это делается ради затруднения анализа кода вирусом.

1.4.6. Макровирусы

Макровирусы (macro viruses ) является программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения вирусы используют возможности макроязыков и при их помощи переносят себя из одного заражённого файла в другие. Наибольшее распространение получали макровирусы для Microsoft Word , Excel и Office . Существуют также макровируса заражающие документы баз данных Microsoft Access .

1.5. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ

Основными приёмами проникновения вирусов в компьютер являются съёмные диски (лазерные и гибкие), а также компьютерные сети. Заражение жёсткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискеты не вынули с дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На неё вирус может попасть, даже если дискету вставили в заражённый компьютер и, например, прочитали её оглавление.

Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при её запуске управление сначала передавалось ему и только после выполнения его команд снова вернулось к рабочей программе. Получив доступ к управлению вирус, прежде всего, переписывает сам в себя в другую рабочую программу и заражает её. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусами заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширение EXE , COM , SYS и BAT . Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьёзную, чтобы не привлечь интереса. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение заражённой программы переносит вирус в следующую программу. Таким образом, заразится всё программное обеспечение.

1.6. Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп:

1. профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;
2. методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
3. способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. К недостаткам можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, Microsoft Antivirus.

Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. К последней группе относятся самые неэффективные антивирусы вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

Примеры антивирусных программ:

DOCTOR WEB

В последнее время стремительно растет популярность антивирусной программы - Doctor Web. Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.

Тестирование винчестера Dr.Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

Так же, как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.

Microsoft Antivirus

В состав современных версий MS-DOS входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора.

MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Флажки установок в пункте меню Options можно устанавливать как клавишей ПРОБЕЛ, так и клавишей ENTER. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.

При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop). Если изменилась контрольная сумма, то MSAV выведет такое же окно, только вместо пункта Repair будет пункт Delete (удалить), так как программа не может восстановить содержимое файла. При обнаружении вируса в режиме Detect&Clean программа удалит этот вирус. Проверку диска в обоих режимах можно приостановить, либо полностью прервать, нажав ESC (или F3) и ответив на соответствующий вопрос программы. Во время сканирования диска выводится информация о проделанной работе: процент обработанных каталогов и процент обработанных файлов в текущем каталоге. Эта информация выдается также наглядно, в виде цветной полоски, как и при проверке памяти. В конце проверки MSAV выдает отчет в виде таблицы, в которой сообщается о количестве проверенных жестких дисков и гибких дисков, о количестве проверенных, инфицированных и вылеченных файлов. Кроме того, выводится время сканирования.

В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением *.VIR

Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.

2. Из практики борьбы с компьютерными вирусами

2.1. Как мы обнаруживаем компьютерный вирус?

Во-первых, мы хорошо усвоили те признаки, по которым нетрудно узнать о появлении заражения вирусом. К ним относятся следующие признаки:

Прекращение работы или не правильная работа ранее функционировавших программ;

Медленная работа компьютера;

Невозможность загрузки операционной системы;

Исчезновение файлов и каталогов или искажение их содержимого;

Изменение даты и времени модификации файлов;

Изменение размеров файла;

Неожиданное значительное увеличение количества файлов на диске;

Существенное уменьшение размера свободной оперативной памяти;

Вывод на экран не предусмотренных сообщений или изображений;

Подача непредусмотренных звуковых сигналов;

Частое зависание и сбои в работе компьютера.

К данным проявлениям компьютера мы относимся с определённой долей вероятности, так как перечисленные явления не обязательно вызываются в присутствии вируса, а могут быть следствием других причин. Мы пытаемся установить диагноз как можно более точно, чтобы не ошибиться в принятии решений, пытаясь исключить другие причины нарушений персонального компьютера.

Некоторое время запущенный вирус, возможно, погуляет вволю, но рано или поздно «лафа» закончится, так как мы - обычные пользователи, всё равно сумеем заметить те или иные аномалии в поведении компьютера и избежать преград в его работе. Но всё-таки справиться с вирусной инфекцией вполне самостоятельно мы не способны.

И мы стремимся к тому, чтобы как можно скорее вирус попал в руки более грамотного специалистов. Профессионалы будут его изучать, выяснять «что он делает», «как он делает», «когда он делает» и прочее. В процессе такой работы мы знаем, необходимо собирать всю необходимую информацию о данном вирусе, в частности, выделить сигнатуру вируса – последовательность байтов, которая вполне определённо его характеризует. Для построения сигнатуры берём наиболее важные и характерные участки кода вируса. В таком случае нам становятся ясны механизмы работы вируса. В случае загрузочного вируса мы стремимся узнать, где он прячет хвост, где находится оригинальный загрузочный сектор, а в случае файлового – способ заражения файла. Полученная информация позволяет нам выяснить:

I . Как обнаружить вирус? Для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки – файлах и / или загрузочных секторах?

II . Как обезвредить вирус? Если это, возможно, мы разрабатываем алгоритмы удаления вирусного кода из заражённых объектов.

2.2. Как мы лечим компьютер от вирусных заражений?

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными . Различают следующие виды антивирусных программ, которые используются в нашей практике с переменным успехом. Это:

Программы - детекторы;

Программы доктора или фаги;

Программы – ревизоры;

Программы – вакцины или иммунизаторы;

Программы – детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам данных программ.

Программы – доктора или фаги , также программы – вакцины не только находят заражённые вирусом файлы, но и «лечат» их, то есть удаляют из файла тело программы – вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы – доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest , Scan , AntiVirus , Doctor Web . В своей практике мы отдаём предпочтение именно этим программам.

Программы – ревизоры относятся к самым надёжным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражён вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы – ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс – вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесённых вирусом. К числу программ – ревизоров относится широко распространённая в России программа Adinf .

Программы – фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютере, характерных для вирусов. Такими действиями могут являться:

Попытки коррекции файлов с расширениями COM , EXE ;

Изменение атрибутов файла;

Прямая запись на диск по абсолютному адресу;

При попытке какой – либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы – фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Тем не менее, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, а также возможны конфликты с другим программным обеспечением. Примером программы – фильтра является программа Vsafe , входящая в состав пакета утилит MS DOS .

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы – доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их заражёнными и поэтому не внедрится. В настоящее время программы – вакцины имеют ограниченное применение.

Своевременное обнаружение заражённых вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надёжное хранение информации на дисках, мы стремимся соблюдать следующие правила:

Оснастите свой компьютер современными антивирусными программами, например: Aidstest , Doctor Web, и постоянно возобновляйте их версии;

Перед считываем с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы вашего компьютера;

При переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жёстком диске, ограничивая область проверки только вновь записанными файлами;

Периодически проверяйте на наличие вирусов, жёсткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищённой от записи дискеты, предварительно загрузив операционную систему с защищённой от записи системной дискетой;

Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;

Обязательно делайте архивные копии на дискетах ценной для вас информации;

Не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

Используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

Для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf .

При заражении компьютера вирусом (или при подозрении на это) мы соблюдаем четыре правила:

1). Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, но и к повторному заражению компьютера;

2). Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий;

3). Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера защищённой, от записи, дискеты с ОС (обязательные правило);

4). Если вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег.

Заключение

Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днём, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всём мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную информацию, что может привести к финансовым потерям.

Компьютерный вирус – специально написанная программа, способная самопроизвольно присоединятся к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания возможных помех в работе компьютера.

В настоящее время известно более 5000 программных вирусов, число которых непрерывно растёт. Нам известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.

Основные виды вирусов: загрузочные, файловые, загрузочно-файловые, сетевые, полиморфные, макровирусы. Наиболее опасный вид вирусов – полиморфные.

Из истории компьютерной вирусологии мы выяснили, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы.

Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой – с отсутствием средств защиты у операционной системы.

Основные пути проникновения вирусов – съёмные диски и компьютерные сети. Чтобы этого не получилось, соблюдайте меры по защите. Если вы всё же обнаружили в компьютере вирус, то по традиционному подходу лучше позвать профессионала.

Но некоторые свойства вирусов озадачивают даже мастеров. Ещё совсем недавно трудно было себе представить, что вирус может пережить холодную перезагрузку или распространяться через файлы документов. В таких условиях нельзя не предавать значения хотя бы начальному антивирусному образованию пользователей. При всей серьезности проблемы ни один вирус не способен принести столько вреда, сколько побелевший пользователь с дрожащими руками.

Я считаю, что я справился с поставленными передо мной задачами. Я достиг той цели, которой хотел достичь и выполнил все задачи, которые необходимо было выполнить. Я считаю проведённую мной работу весьма актуальной для нашего времени. При выполнении работы мне пришлось обратиться к источникам информации из Internet . Данную работу могут использовать любые пользователи персональных компьютеров, так как компьютерные вирусы – это одна из основных проблем связанных с компьютером.

Рекомендуем почитать

Дерматология
Ягодный мусс на манке Как приготовить мусс из замороженных ягод

Финансы
Причины, симптомы и лечение патологии

Hi-Tech
Что такое сложение сил. Измерение силы. Сила. Сложение сил

Хобби
Cмертные грехи в православии: сколько их?

Десерты
Рецепты витаминных салатов из крапивы

Фармакология
Ароматная и сочная курица в фольге в духовке – быстро, просто и вкусно