Компьютерные вирусы и антивирусные программы
Преподаватель:
Студент:
Екатеринбург
2013
|
Введение 1.Теоретические основы компьютерной вирусологии 1.1 Понятие «Компьютерный вирус» 1.2. История компьютерной вирусологии и причины появления вирусов 1.3. Компьютерные вирусы, их свойства и классификация 1.3.1. Свойства компьютерных вирусов 1.3.2. Классификация вирусов 1.4. Основные виды вирусов и схемы их функционирования 1.4.1. Загрузочные вирусы. 1.4.2. Файловые вирусы 1.4.3. Загрузочно-файловые вирусы 1.4.4. Сетевые вирусы 1.4.5. Полиморфные вирусы 1.4.6. Макровирусы 1.5. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ 1.6. Антивирусные программы 2. Из практики борьбы с компьютерными вирусами 2.1. Как мы обнаруживаем компьютерный вирус? 2.2. Как мы лечим компьютер от вирусных заражений? Заключение |
Введени е
Мы живём в 21 веке, это век компьютерной информационной технологии.
Жизнь сегодняшнего человека невозможно представить без оперативного хранения объёмной информации и доступа к ней. Человек не может справиться с быстрым потоком информации. Компьютер является самым ёмким хранилищем всей информации. Но вместе с тем, компьютер породил другую проблему - проблему надёжности, защищённости, длительного хранения информации. И виновником всего стал компьютерный вирус.
Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность...
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Всё чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении всё более совершенных, самовыражающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растёт. Сталкивался с этой проблемой и я, и все те, кто работает с компьютером. На сегодняшний день в работе с компьютером нужно научиться управлять и защищать компьютер от компьютерного вируса. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусов и практической защиты от них. Всё сказанное и явилось основанием выбора темы моей курсовой работы по информатике «Компьютерные вирусы и антивирусное программное обеспечение».
Гипотеза. Взявшись за данную тему, я предположил, что усилить защиту персональных компьютеров от компьютерных вирусов можно, если на основании углублённого знания теоретических основ компьютерной вирусологии, будет разработана система последовательных практических действий, предупреждающих заражение вирусом или предусматривающих использование эффективных методов защиты.
Объектом исследования является практика обнаружения и борьбы с компьютерным вирусом.
Предметом исследования обнаружение и борьба с компьютерным вирусом при работе с персональным компьютером.
Цель работы: разработать систему последовательных практических действий, предупреждающих заражение вирусом или предусматривающих использование эффективных методов борьбы и описать технологический процесс защиты персональных компьютеров от вирусов.
Задачи:
- Изучить теоретические основы компьютерной вирусологии (сущность, свойства, классификация вирусов);
- Ознакомиться с историей компьютерной вирусологии;
- Проанализировать собственную практику обнаружения компьютерного вируса и борьбу с ним;
- Совершенствовать исследовательскую и собственную информационную культуру.
Мое исследование состоит из двух глав.
В первой главе освещаются теоретические вопросы. А во второй главе - технологический процесс защиты персональных компьютеров от вирусов, состоящих из двух взаимосвязанных шагов: обнаружение компьютерного вируса и его лечение.
1.Теоретические основы компьютерной вирусологии
1.1 Понятие «Компьютерный вирус»
Компьютерный вирус это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять нежелательные различные действия на компьютере. Программа, внутри которой находится вирус, называется «заражённой». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса, действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определённых условий. После того, как вирус выполнит нужные ему действия, он передаёт управление той программе, в которой он находится, и она работает так же, как обычная. Тем самым внешне работа заражённой программы выглядит так же, как и не заражённой.
Многие разновидности вирусов устроены так, что при запуске заражённой программы вирус остаётся резидентно, то есть до перезагрузки DOS , в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.
Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы, табличные процессоры и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.
1.2. История компьютерной вирусологии и причины появления вирусов
История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причём, не смотря на всю мощь современных антивирусных программ, лидерами являются именно вирусы.
О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчёта можно считать труды известного учёного Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С.Пенроуза, посвящённую самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой учёный Ф.Ж.Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.
Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиальные идеи. Все остальные «вариации на тему». Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию. Но последнее можно оспорить. Например, в 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Или примером может быть эпидемия известного вируса Dir - II , разразившаяся в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счёт несовершенства традиционных антивирусных средств.
Или всплеск компьютерных вирусов в Великобритании: Кристоферу Пайну удалось создать вирусы Pathogen и Queeq , а также вирус Smeg . Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры, заражённые программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив её, пользователи вместо уничтожения вирусов уничтожили файлы множества фирм, убытки составили миллионы фунтов стерлингов.
Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7000 персональных компьютеров, подключённых к Internet .
Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и её теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.
1.3. Компьютерные вирусы, их свойства и классификация
1.3.1. Свойства компьютерных вирусов
Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.
Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьёзные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к примеру, дать определение понятия «редактор». Вы либо придумаете нечто очень общее, либо начнёте перечислять все известные типы редакторов. И то, и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором классе программ.
Прежде всего, вирус это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьёзно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые, при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.
Вирус программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и ещё множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но, и могут вообще с ним не совпадать!!!
Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечит передачу себе управления.
1.3.2. Классификация вирусов
В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:
Среде обитания;
Способу заражения среды обитания;
Воздействию;
Особенностям алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, файлово - загрузочные, полиморфные, макровирусы и загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, то есть в файлы, имеющие расширение COM и EXE . Файлово-загрузочные вирусы могут внедряться в другие виды файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Полиморфные вирусы это вирусы, модифицирующие свой код в заражённых программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Макро вирусы являются программами на языках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вируса можно разделить на следующие виды:
Неопасные , не мешающие работе компьютера, но уменьшающие объём свободной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
Очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
1.4. Основные виды вирусов и схемы их функционирования
1.4.1. Загрузочные вирусы.
Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. Мы сознательно обойдём все многочисленные тонкости, которые неизбежно встретились бы при строгом алгоритме его функционирования.
Что происходит, когда вы включаете компьютер? Первым делом управление передаётся программе начальной загрузке , которая хранится в постоянно запоминающем устройстве (ПЗУ), то есть ПНЗ ПЗУ.
Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.
Всякая дискета размечена на секторы и дорожки. Секторы объединяются в классы, но это для нас не существенно.
Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один сектор начальной загрузки.
В секторе начальной загрузки хранится информация о дискете количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.
Таким образом, нормальная схема начальной загрузки следующая:
Теперь рассмотрим вирус. В загрузочных вирусах выделяются две части т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.
Пусть у вас имеются чистая дискета и вирус, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва в нашем случае незащищённая от записи и ещё незаражённая дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия.
Выделяет некоторую область диска и помечает её как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные;
Копирует в выделенную область диска свой хвост и оригинальный загрузочный сектор;
Замещает программу начальной загрузки в загрузочном секторе своей головой;
Организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передаёт управление оригинальному загрузочному сектору. В цепочке:
ПНЗ (ПЗУ ) ПНЗ (диск ) СИСТЕМА
Появляется новое звено:
ПНЗ (ПЗУ ) ВИРУС ПНЗ (диск ) СИСТЕМА
Мораль ясна: никогда не оставляйте (случайно) дискету в дисководе А. Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет, на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берёт на себя управление программа начальной загрузки в MBR (Master Boot Record главная загрузочная запись). Если ваш жёсткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный. Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передаёт управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов программа начальной загрузки в MBR и программы начальной загрузки в бут - секторе загрузочного диска.
1.4.2. Файловые вирусы
Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы могут быть и нерезидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передаёт управление «хозяину» (хотя ещё неизвестно, кто в такой ситуации хозяин).
Какие же действия выполняет вирус? Он ищет новый объект для заражения подходящий по типу файл, который ещё не заражён (в том случае, если вирус «приличный», а то попадаётся такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции размножения, вирус вполне может сделать что-нибудь каверзное (сказать, спросить, сыграть) это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявить прочие способности не только во время работы заражённого файла. Заражая исполняемый файл, вирус, всегда изменяет его код следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:
Он не обязан менять длину файла;
Не обязан менять неиспользуемые участки кода;
Не обязан менять начало файла;
Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства Dir - II . Нельзя не признать, что, появившись в 1991 году, эти вирусы стали причиной настоящей эпидемии чумы в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и т.н. резервные файлы .
При запуске исполняемых файлов система считывает их записи в каталоге, первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir - II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.
Таким образом, при запуске любого файла вирус получает управление, (операционная система запускает его сама) резидентно устанавливается в память и передаёт управление вызванному файлу.
1.4.3. Загрузочно-файловые вирусы
Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой другой информации вы при этом не узнаете. Но здесь предоставляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус One Half , заражающий главный загрузочный сектор (MBR ) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует основную порцию секторов, а зашифровав половину жёсткого диска, радостно сообщают об этом. Основная проблема привлечения данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Наиболее «смертельное» действие просто переписать новый здоровый MBR . Главное не паникуйте. Взвесьте всё спокойно, посоветуйтесь со специалистом.
1.4.4. Сетевые вирусы
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом сетевого вируса является возможность самостоятельно передать свой код на удалённый сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают ещё и возможностью запустить на выполнение свой код на удалённом компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску заражённого файла.
1.4.5. Полиморфные вирусы
Большинство вопросов связано с термином «полиморфные вирусы». Этот вид компьютерных вирусов представляется собой на сегодняшний день наиболее опасными. Объясним же, что это такое.
Полиморфные вирусы вирусы, модифицирующие свой код в заражённых программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном виде.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровка и расшифровка, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имея при этом постоянный код шифровальщика и расшифровальщика.
Полиморфные вирусы это вирусы с самомодифицирующимися расшифровальщиками. Цель такого шифрования: имея заражённый и оригинальный файлы, вы всё равно не сможете проанализировать его код с помощью дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Всё это делается ради затруднения анализа кода вирусом.
1.4.6. Макровирусы
Макровирусы (macro viruses ) является программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения вирусы используют возможности макроязыков и при их помощи переносят себя из одного заражённого файла в другие. Наибольшее распространение получали макровирусы для Microsoft Word , Excel и Office . Существуют также макровируса заражающие документы баз данных Microsoft Access .
1.5. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
Основными приёмами проникновения вирусов в компьютер являются съёмные диски (лазерные и гибкие), а также компьютерные сети. Заражение жёсткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискеты не вынули с дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На неё вирус может попасть, даже если дискету вставили в заражённый компьютер и, например, прочитали её оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при её запуске управление сначала передавалось ему и только после выполнения его команд снова вернулось к рабочей программе. Получив доступ к управлению вирус, прежде всего, переписывает сам в себя в другую рабочую программу и заражает её. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусами заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширение EXE , COM , SYS и BAT . Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьёзную, чтобы не привлечь интереса. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение заражённой программы переносит вирус в следующую программу. Таким образом, заразится всё программное обеспечение.
1.6. Антивирусные программы
Способы противодействия компьютерным вирусам можно разделить на несколько групп:
- профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;
- методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
- способы обнаружения и удаления неизвестного вируса.
С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. К недостаткам можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, Microsoft Antivirus.
Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.
Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. К последней группе относятся самые неэффективные антивирусы вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
Примеры антивирусных программ:
DOCTOR WEB
В последнее время стремительно растет популярность антивирусной программы - Doctor Web. Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.
Тестирование винчестера Dr.Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
Так же, как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.
Microsoft Antivirus
В состав современных версий MS-DOS входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора.
MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Флажки установок в пункте меню Options можно устанавливать как клавишей ПРОБЕЛ, так и клавишей ENTER. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.
При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop). Если изменилась контрольная сумма, то MSAV выведет такое же окно, только вместо пункта Repair будет пункт Delete (удалить), так как программа не может восстановить содержимое файла. При обнаружении вируса в режиме Detect&Clean программа удалит этот вирус. Проверку диска в обоих режимах можно приостановить, либо полностью прервать, нажав ESC (или F3) и ответив на соответствующий вопрос программы. Во время сканирования диска выводится информация о проделанной работе: процент обработанных каталогов и процент обработанных файлов в текущем каталоге. Эта информация выдается также наглядно, в виде цветной полоски, как и при проверке памяти. В конце проверки MSAV выдает отчет в виде таблицы, в которой сообщается о количестве проверенных жестких дисков и гибких дисков, о количестве проверенных, инфицированных и вылеченных файлов. Кроме того, выводится время сканирования.
В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением *.VIR
Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.
2. Из практики борьбы с компьютерными вирусами
2.1. Как мы обнаруживаем компьютерный вирус?
Во-первых, мы хорошо усвоили те признаки, по которым нетрудно узнать о появлении заражения вирусом. К ним относятся следующие признаки:
Прекращение работы или не правильная работа ранее функционировавших программ;
Медленная работа компьютера;
Невозможность загрузки операционной системы;
Исчезновение файлов и каталогов или искажение их содержимого;
Изменение даты и времени модификации файлов;
Изменение размеров файла;
Неожиданное значительное увеличение количества файлов на диске;
Существенное уменьшение размера свободной оперативной памяти;
Вывод на экран не предусмотренных сообщений или изображений;
Подача непредусмотренных звуковых сигналов;
Частое зависание и сбои в работе компьютера.
К данным проявлениям компьютера мы относимся с определённой долей вероятности, так как перечисленные явления не обязательно вызываются в присутствии вируса, а могут быть следствием других причин. Мы пытаемся установить диагноз как можно более точно, чтобы не ошибиться в принятии решений, пытаясь исключить другие причины нарушений персонального компьютера.
Некоторое время запущенный вирус, возможно, погуляет вволю, но рано или поздно «лафа» закончится, так как мы - обычные пользователи, всё равно сумеем заметить те или иные аномалии в поведении компьютера и избежать преград в его работе. Но всё-таки справиться с вирусной инфекцией вполне самостоятельно мы не способны.
И мы стремимся к тому, чтобы как можно скорее вирус попал в руки более грамотного специалистов. Профессионалы будут его изучать, выяснять «что он делает», «как он делает», «когда он делает» и прочее. В процессе такой работы мы знаем, необходимо собирать всю необходимую информацию о данном вирусе, в частности, выделить сигнатуру вируса последовательность байтов, которая вполне определённо его характеризует. Для построения сигнатуры берём наиболее важные и характерные участки кода вируса. В таком случае нам становятся ясны механизмы работы вируса. В случае загрузочного вируса мы стремимся узнать, где он прячет хвост, где находится оригинальный загрузочный сектор, а в случае файлового способ заражения файла. Полученная информация позволяет нам выяснить:
I . Как обнаружить вирус? Для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки файлах и / или загрузочных секторах?
II . Как обезвредить вирус? Если это, возможно, мы разрабатываем алгоритмы удаления вирусного кода из заражённых объектов.
2.2. Как мы лечим компьютер от вирусных заражений?
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными . Различают следующие виды антивирусных программ, которые используются в нашей практике с переменным успехом. Это:
Программы - детекторы;
Программы доктора или фаги;
Программы ревизоры;
Программы вакцины или иммунизаторы;
Программы детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам данных программ.
Программы доктора или фаги , также программы вакцины не только находят заражённые вирусом файлы, но и «лечат» их, то есть удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest , Scan , AntiVirus , Doctor Web . В своей практике мы отдаём предпочтение именно этим программам.
Программы ревизоры относятся к самым надёжным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражён вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесённых вирусом. К числу программ ревизоров относится широко распространённая в России программа Adinf .
Программы фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютере, характерных для вирусов. Такими действиями могут являться:
Попытки коррекции файлов с расширениями COM , EXE ;
Изменение атрибутов файла;
Прямая запись на диск по абсолютному адресу;
При попытке какой либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Тем не менее, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, а также возможны конфликты с другим программным обеспечением. Примером программы фильтра является программа Vsafe , входящая в состав пакета утилит MS DOS .
Вакцины или иммунизаторы это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их заражёнными и поэтому не внедрится. В настоящее время программы вакцины имеют ограниченное применение.
Своевременное обнаружение заражённых вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надёжное хранение информации на дисках, мы стремимся соблюдать следующие правила:
Оснастите свой компьютер современными антивирусными программами, например: Aidstest , Doctor Web, и постоянно возобновляйте их версии;
Перед считываем с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы вашего компьютера;
При переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жёстком диске, ограничивая область проверки только вновь записанными файлами;
Периодически проверяйте на наличие вирусов, жёсткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищённой от записи дискеты, предварительно загрузив операционную систему с защищённой от записи системной дискетой;
Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;
Обязательно делайте архивные копии на дискетах ценной для вас информации;
Не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;
Используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;
Для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf .
При заражении компьютера вирусом (или при подозрении на это) мы соблюдаем четыре правила:
1). Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, но и к повторному заражению компьютера;
2). Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий;
3). Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера защищённой, от записи, дискеты с ОС (обязательные правило);
4). Если вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег.
Заключение
Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днём, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всём мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную информацию, что может привести к финансовым потерям.
Компьютерный вирус специально написанная программа, способная самопроизвольно присоединятся к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания возможных помех в работе компьютера.
В настоящее время известно более 5000 программных вирусов, число которых непрерывно растёт. Нам известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.
Основные виды вирусов: загрузочные, файловые, загрузочно-файловые, сетевые, полиморфные, макровирусы. Наиболее опасный вид вирусов полиморфные.
Из истории компьютерной вирусологии мы выяснили, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы.
Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой с отсутствием средств защиты у операционной системы.
Основные пути проникновения вирусов съёмные диски и компьютерные сети. Чтобы этого не получилось, соблюдайте меры по защите. Если вы всё же обнаружили в компьютере вирус, то по традиционному подходу лучше позвать профессионала.
Но некоторые свойства вирусов озадачивают даже мастеров. Ещё совсем недавно трудно было себе представить, что вирус может пережить холодную перезагрузку или распространяться через файлы документов. В таких условиях нельзя не предавать значения хотя бы начальному антивирусному образованию пользователей. При всей серьезности проблемы ни один вирус не способен принести столько вреда, сколько побелевший пользователь с дрожащими руками.
Я считаю, что я справился с поставленными передо мной задачами. Я достиг той цели, которой хотел достичь и выполнил все задачи, которые необходимо было выполнить. Я считаю проведённую мной работу весьма актуальной для нашего времени. При выполнении работы мне пришлось обратиться к источникам информации из Internet . Данную работу могут использовать любые пользователи персональных компьютеров, так как компьютерные вирусы это одна из основных проблем связанных с компьютером.
2 Что такое вирус? Компьютерный вирус – это программа, которая при запуске способна распространяться без участия человека. Признаки заражения: замедление работы компьютера перезагрузка или зависание компьютера неправильная работа ОС или прикладных программ изменение длины файлов появление новых файлов уменьшение объема оперативной памяти рассылка сообщений без ведома автора
4 Что заражают вирусы? Вирусы программы – *. exe, *. com загрузочные сектора дисков и дискет командные файлы – *.bat драйверы – *. sys библиотеки – *. dll документы с макросами – *.doc, *.xls, *.mdb Web-страницы со скриптами программы – *. exe, *. com загрузочные сектора дисков и дискет командные файлы – *.bat драйверы – *. sys библиотеки – *. dll документы с макросами – *.doc, *.xls, *.mdb Web-страницы со скриптами заражают не заражают текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) любые данные (без программного кода) текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) любые данные (без программного кода) Для того, чтобы вирус смог выполнить какие-то действия, он должен оказаться в памяти в виде программного кода и получить управление.
5 Способы заражения запустить зараженный файл; загрузить компьютер с зараженной дискеты или диска; при автозапуске CD(DVD)-диска или флэш- диска; открыть зараженный документ с макросами (Word или Excel); открыть сообщение с вирусом; открыть Web-страницу с вирусом; разрешить установить активное содержимое на Web-странице.
6 Классические вирусы Файловые – заражают файлы *.exe, *.sys, *.dll (редко – внедряются в тексты программ). Загрузочные (бутовые, от англ. boot – загрузка) – заражают загрузочные сектора дисков и дискет, при загрузке сразу оказываются в памяти и получают управление. Полиморфные – при каждом новом заражении немного меняют свой код. Макровирусы – заражают документы с макросами (*.doc, *.xls, *.mdb). Скриптовые вирусы – скрипт (программа на языке Visual Basic Script, JavaScript, BAT, PHP) заражает командные файлы (*.bat), другие скрипты и Web- страницы (*.htm, *.html).
7 Сетевые вирусы Почтовые черви – распространяются через электронную почту в виде приложения к письму или ссылки на вирус в Интернете; рассылают себя по всем обнаруженным адресам Сетевые черви – проникают на компьютер через «дыры» в системе, могут копировать себя в папки, открытые для записи (сканирование – поиск уязвимых компьютеров в сети) IRC-черви, IM-черви – распространяются через IRC-чаты и интернет-пейджеры (ICQ, AOL, Windows Messenger, MSN Messenger) P2P-черви – распространяются через файлообменные сети P2P (peer-to-peer) распространяются через компьютерные сети, используют «дыры» – ошибки в защите Windows, Internet Explorer, Outlook и др. Наиболее активны – более 90%! !
8 Троянские программы Backdoor – программы удаленного администрирования воровство паролей (доступ в Интернет, к почтовым ящикам, к платежным системам) шпионы (введенный с клавиатуры текст, снимки экрана, список программ, характеристики компьютера, промышленный шпионаж) DOS-атаки (англ. Denial Of Service – отказ в обслуживании) – массовые атаки на сайты по команде, сервер не справляется с нагрузкой прокси-сервера – используются для массовой рассылки рекламы (спама) загрузчики (англ. downloader) – после заражения скачивают на компьютер другие вредоносные программы позволяют получать управление удаленным компьютером, распространяются через компьютерные сети, часто при установке других программ (зараженные инсталляторы)
9 Антивирусы-сканеры умеют находить и лечить известные им вирусы в памяти и на диске; используют базы данных вирусов; ежедневное обновление баз данных через Интернет. лечат известные им вирусы не могут предотвратить заражение чаще всего не могут обнаружить и вылечить неизвестный вирус
10 Антивирусы-мониторы постоянно находятся в памяти в активном состоянии непрерывное наблюдение блокируют вирус в момент заражения могут бороться с неизвестными вирусами замедление работы компьютера в случае ошибки ОС может выйти из строя перехватывают действия, характерные для вирусов и блокируют их (форматирование диска, замена системных файлов); блокируют атаки через Интернет; проверяют запускаемые и загружаемые в память файлы (например, документы Word); проверяют сообщения электронной почты; проверяют Web-страницы; проверяют сообщения ICQ
Компьютерные мифы Любой вирус способен убить компьютер 18% Вирусы могут распространятся с любыми файлами 65% Вирусы могут заражать электронные письма 100% Заражение компьютера наступает в момент появления в нем хотя бы одного экземпляра вируса 74% Наличие в компьютере любых антивирусных программ – гарантированная защита от вирусов 35%
В конце 60-х годов в компьютерах исследовательских центров в США появились первые программы – вирусы. 70-е годы – «классические» вирусы –программы, способные к размножению. Начало 80-х годов – сотни активных вирусов Конец 80-х годов – первые эпидемии компьютерных вирусов
Двадцатка наиболее распространенных вредоносных программ 1.I-Worm.Klez 2.I-Worm.Sobig 3.I-Worm.Lentin 4.I-Worm.Avron 5.Macro.Word97. Thus 6.I-Worm.Tanatos 7.Macro.Word97. Marker 8.Worm.Win32. Opasoft 9.Worm.Hybris 10.Win95. CIH 11.Worm.Win32. Randon 12.VBS.Redlof 13.Backdoor.Death 14.Win95. Spaces 15.I-Worm.Roron 16.Trojan.PSW.Gip 17.Backdoor.NetDevil 18.Win32.HLLP.Hantaner 19.TrojanDropper.Win32. De lf 20.TrojanDropper.Win32. Ya binder
Из истории Всемирная эпидемия заражения почтовым вирусом началась 5 мая 2000 года, когда десятки миллионов компьютеров, подключенных к глобальной компьютерной сети Интернет, получили почтовое сообщение с привлекательным названием ILOVEYOU (англ. «Я люблю тебя»). Сообщение содержало вложенный файл, являющийся вирусом. После прочтения этого сообщения получателем вирус заражал компьютер и начинал разрушать файловую систему.
Кто создаёт вирусы? Вирусы пишутся опытными программистами или студентами просто из любопытства или для отместки кому-либо или предприятию, которое обошлось с ними недостойным образом или в коммерческих целях или в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан. Следует заметить, что написание вируса не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы. И многие из них сделаны в нашей стране.
19 Антивирусные программы AVP = Antiviral Toolkit Pro (– Е. Касперский DrWeb (– И. Данилов Norton Antivirus (McAfee (NOD32 (Условно-бесплатные: Бесплатные: Avast Home (Antivir Personal (free-av.com)free-av.com AVG Free (free.grisoft.com)free.grisoft.com Есть бесплатные пробные версии! !
Для периодической проверки компьютера используются антивирусные сканеры, которые после запуска проверяют файлы и оперативную память на наличие вирусов и обеспечивают нейтрализацию вирусов. Антивирусные сторожа (мониторы) постоянно находятся в оперативной памяти компьютера и обеспечивают проверку файлов в процессе их загрузки в оперативную память.
23 Антивирус Касперского Файловый антивирус (проверка файлов в момент обращения к ним) Почтовый антивирус (проверка входящих и выходящих сообщений) Веб-антивирус (Интернет, проверка Web-страниц) Проактивная защита (попытки обнаружить неизвестные вредоносные программы): слежение за реестром проверка критических файлов сигналы о «подозрительных» обращениях к памяти Анти-шпион (борьба с Интернет-мошенничеством) Анти-хакер (обнаружение сетевых атак) Анти-спам (фильтр входящей почты)
28 Другие виды антивирусной защиты брандмауэры (файерволы, сетевые экраны) блокируют «лишние» обращения в сеть и запросы из сети аппаратные антивирусы защита от изменения загрузочного сектора запрет на выполнение кода из области данных аппаратный брандмауэр ZyWALL UTM (ZyXEL и Лаборатории Касперского) онлайновые (on-line) антивирусы устанавливают на компьютер модуль ActiveX, который проверяет файлы… или файл пересылается на сайт разработчика антивирусов чаще всего не умеют лечить, предлагает купить антивирус-доктор
29 Профилактика делать резервные копии важных данных на CD и DVD (раз в месяц? в неделю?) использовать антивирус-монитор, особенно при работе в Интернете при работе в Интернете включать брандмауэр (англ. firewall) – эта программа запрещает обмен по некоторым каналам связи, которые используют вирусы проверять с помощью антивируса-доктора все новые программы и файлы, дискеты не открывать сообщения с неизвестных адресов, особенно файлы-приложения иметь загрузочный диск с антивирусом
30 Если компьютер заражен… Отключить компьютер от сети. Запустить антивирус. Если не помогает, то… выключить компьютер и загрузить его с загрузочного диска (дискеты, CD, DVD). Запустить антивирус. Если не помогает, то… удалить Windows и установить ее заново. Если не помогает, то… отформатировать винчестер (format.com). Если сделать это не удается, то могла быть испорчена таблица разделов диска. Тогда … создать заново таблицу разделов (fdisk.exe). Если не удается (винчестер не обнаружен), то… можно нести компьютер в ремонт.
Заключение В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов в соблюдении профилактических мер предосторожности при работе на компьютере. Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность. Пользуясь аналогией Касперского, незнание правил дорожного движения. Люди, недавно научившиеся принимать и отправлять почту, демонизируют компьютерные вирусы, чуть ли не представляя их себе в виде невидимых черных червячков, ползающих по проводам.
Вот несколько простых правил, соблюдая которые можно постараться избежать заражение вирусами. Первое: не боятся компьютерных вирусов, все они лечатся. Второе: перевести Microsoft Outlook в режим функционирования в зоне ограниченных узлов, что запретит ей автоматическое выполнение некоторых программ – основной принцип размножения компьютерных вирусов. Третье: не открывайте письма от подозри- тельных адресатов. Четвертое: использовать свежий антивирус.
Любой вирус способен убить компьютер? Вирусы могут распространятся с любыми файлами? Вирусы могут заражать электронные письма? Заражение компьютера наступает в момент появления в нем хотя бы одного экземпляра вируса? Наличие в компьютере любых антивирусных программ – гарантированная защита от вирусов? Когда появились первые компьютерные вирусы? Какие функции выполняли первые компьютерные вирусы? Какие функции может выполнять компьютерный вирус? Где можно найти перечень всех известных науке компьютерных вирусов? Какие группы компьютерных вирусов существуют, чем они характеризуются, как с ними бороться?
Домашнее задание: § вопросы: 1. К каким последствиям может привести заражение компьютерными вирусами? 2. Почему даже чистая отформатированная дискета может стать источником заражения вирусом?
ФГОУ ВПО "Саратовский государственный аграрный университет имени Н.И. Вавилова"
Тема: Компьютерные вирусы и антивирусные программы
Студент I курса
Заочное отделение
Специальность: земельный кадастр
Ермачков Денис Александрович
Преподаватель: Гаманюк Николай Григорьевич
Саратов 2010 г.
1. Понятие "компьютерного вируса" и его свойства
Компьютерный вирус - это вредоносный самораспространяющийся в информационной среде программный код. Он может внедряться в исполняемые и командные файлы программ, распространяться через загрузочные секторы дискет и жестких дисков, документы офисных приложений, через электронную почту, Web-сайты, по другим электронным каналам. Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, окажется под полным контролем злоумышленника.
(Virus - с лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.
Основную массу вирусов создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы. Значительная часть таких вирусов их авторами часто не распространяется.
Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Как правило, они создают многочисленные модификации "классических" вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Выход конструкторов вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об операционной системе и ассемблере значительно облегчил им работу.
Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир "профессиональные" вирусы. Это тщательно продуманные и отлаженные программы. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных.
Четвертая группа авторов вирусов - "исследователи". Эта группа состоит из талантливых программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы, конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради "исследования" потенциалов "компьютерной вирусологии".
При заражении компьютера вирусом важно его обнаружить, для этого следует знать основные признаки его проявления:
Прекращение работы или неправильная работа ранее успешно функционировавших программ;
Медленная работа компьютера;
Невозможность загрузки операционной системы;
Исчезновение файлов и каталогов или искажение их содержимого;
Изменение даты и времени модификации файлов;
Изменение размера файлов;
Неожиданное значительное увеличение количества файлов на диске;
Существенное уменьшение размера свободной оперативной памяти;
Вывод на экран непредусмотренных сообщений или изображений;
Подача непредусмотренных звуковых сигналов;
Частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев. Это:
Запуск на компьютере исполняемой программы, заражённой вирусом;
Подключение к системе заражённого драйвера;
Открытие документа, заражённого макровирусом;
Установка на компьютере заражённой операционной системы.
Компьютер не может быть заражён, если:
На него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд);
На нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался;
На компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд);
Переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты). Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.
2. Классификация компьютерных вирусов
На сегодняшний день известны десятки тысяч различных вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, весьма ограниченно. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким типам. Таким образом, вирусы можно классифицировать по следующим признакам:
Среде обитания;
Способу заражения среды обитания;
Степени воздействия;
Особенностям алгоритма.
1. В зависимости от среды обитания вирусы делят на:
1) сетевые – распространяются по различным компьютерным сетям;
2) файловые - поражают файлы с расширением.com, .ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т.д. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным и не подлежащим восстановлению;
3) загрузочные - получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении дискеты или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Далее все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов;
4) файлово–загрузочные – комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Вирус OneHalf использует различные механизмы маскировки.
2. По способу заражения среды обитания вирусы делятся на:
1) резидентные - при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
2) нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
3. По степени воздействия вирусы можно разделить на:
1) неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
2) опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
3) особо опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
4. По особенностям алгоритма :
Большое разнообразие вирусов вызывает трудности в их классификации по данному признаку.
2) вирусы-невидимки (стелс-вирусы) – пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль перехватывает обращения к дисковой подсистеме компьютера. Если ОС или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.
3) макрокомандные вирусы. Файлы документов Microsoft Office могут содержать в себе небольшие программы для обработки этих документов, составленные на языке Visual Basic for Applications. Это относится и к базам данных Access, а также к файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Макрокомандные вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении. Распространнености данного вида вирусов в немалой степени способствует популярность Microsoft Office. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.
Вирусы и антивирусные программы
В наш век многие области деятельности человека связаны с применением компьютера. Эти машины плотно внедрились в нашу жизнь. Они имеют колоссальные возможности, позволяя тем самым освободить мозг человека для более необходимых и ответственных задач. Компьютер может хранить и обрабатывать очень большое количество информации, которая в настоящее время является одним из самых дорогих ресурсов.
По мере развития и модернизации компьютерных систем и программного обеспечения возрастает объем и повышается уязвимость хранящихся в них данных. Одним из новых факторов, резко повысивших эту уязвимость, является массовое производство программно-совместимых мощных персональных
ЭВМ, которое явилось одной из причин появления нового класса программ- вандалов - компьютерных вирусов. Наибольшая опасность, возникающая в связи с опасностью заражения программного обеспечения компьютерными вирусами, состоит в возможности искажения или уничтожения жизненно-важной информации, которое может привести не только к финансовым и временным потерям, но и вызвать человеческие жертвы.
Компьютерные вирусы получили очень широкое распространение, и борьба с ними доставляет рядовому пользователю большую «головную боль». Поэтому важно понимать способы распространения и характер появления вирусов, и способы борьбы с ними.
Наилучшие результаты в настоящее время достигнуты в создании антивирусных программ и методик их применения. Ряд разработок доведен до уровня программных продуктов и широко используются пользователями.
1. Сущность и проявление компьютерных вирусов.
Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.
Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Зараженный диск - это диск, в загрузочном секторе которого находится программа - вирус.
После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, СОМ, SYS или ВАТ.
Крайне редко заражаются текстовые и графические файлы.
Зараженная программа - это программа, содержащая внедренную в нее программу-вирус.
При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
Прекращение работы или неправильная работа ранее успешно функционировавших программ;
Медленная работа компьютера;
Невозможность загрузки операционной системы;
Исчезновение файлов и каталогов или искажение их содержимого;
Изменение даты и времени модификации файлов;
Изменение размеров файлов;
Неожиданное значительное увеличение количества файлов на диске;
Существенное уменьшение размера свободной оперативной памяти;
Вывод на экран непредусмотренных сообщений или изображений;
Подача непредусмотренных звуковых сигналов;
Частые зависания и сбои в работе компьютера.
Вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
2. Классификация вирусов.
Множество компьютерных вирусов, существующих на современном этапе можно разделить на несколько групп.
1. По среде обитания.
Сетевые вирусы распространяются по различным сетям, т.е. при передаче информации с одного компьютера на другой, соединенные между собой сетью, например Интернет.
Файловые вирусы заражают исполнительные файлы и загружаются после запуска той программы, в которой он находится. Файловые вирусы могут внедряться и в другие файлы, но записанные в таких файлах, они не получают управление и теряют способность к размножению.
Загрузочные вирусы внедряются в загрузочный сектор дискет или логических дисков, содержащий программу загрузки.
Файлово-загрузочные вирусы заражают одновременно файлы и загрузочные сектора диска.
2. По способу заражения среды обитания.
Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентный вирус не заражает память компьютера и является активным ограниченное время. Активизируются в определенные моменты, например при обработке документов текстовым процессором.
3. По деструктивным (разрушительным) возможностям.
Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
Неопасные, так же уменьшают объем памяти, не мешают работе компьютера, такие вирусы порождают графические, звуковые и другие эффекты.
Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера, например к зависанию или неправильной печати документа.
Очень опасные, действие которых может привести к потере программ, данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.
4. По особенностям алгоритма.
Вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Вирусы невидимки (стелс-вирусы) – вирусы, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего незараженные участки диска.
Мутанты (призраки) содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Такие вирусы самые сложные в обнаружении.
Троянские программы (квазивирусы) не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Спутники – вирус, который не изменяет файл, а для выполнимых программ (exe) создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
Студенческие вирусы представляют собой самые простые и легко обнаруживаемые вирусы.
Однако четкого разделения между ними не существует, и все они могут составлять комбинацию вариантов взаимодействия - своеобразный вирусный "коктейль".
3. Антивирусные программы.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы.
Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.
3.1 Требования к антивирусным программам.
Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.
Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим - даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.
Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться - что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).
Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).
Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.
3.2 Характеристика антивирусных программ.
Антивирусные программы делятся на: программы-детекторы, программы- доктора, программы-ревизоры, программы-фильтры, программы-вакцины.
Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.
Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.
Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.
Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.
Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
Попытки коррекции файлов с расширениями СОМ и ЕХЕ;
Изменение атрибутов файлов;
Прямая запись на диск по абсолютному адресу;
Запись в загрузочные сектора диска.
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ- сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.
Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов.
Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.
3.3 Краткий обзор антивирусных программ.
При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.
В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся "на воле". На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.
Существует множество антивирусных программ. Рассмотрим наиболее известные из них.
Norton AntiVirus (производитель: «Symantec»).
Один из наиболее известных и популярных антивирусов. Процент распознавания вирусов очень высокий (близок к 100%). В программе используется механизм, который позволяет распознавать новые неизвестные вирусы.
В интерфейсе программы Norton AntiVirus имеется функция LiveUpdate, позволяющая щелчком на одной-единственной кнопке обновлять через Web как программу, так и набор сигнатур вирусов. Мастер по борьбе с вирусами выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий.
Антивирусные базы обновляются очень часто (иногда обновления появляются несколько раз в неделю). Имеется резидентный монитор.
Недостатком данной программы является сложность настройки (хотя базовые настройки изменять, практически не требуется).
Dr Solomon’s AntiVirus (производитель: «Dr Solomon’s Software»).
Считается одним из самых лучших антивирусов (Евгений Касперский как- то сказал, что это единственный конкурент его AVP). Обнаруживает практически 100% известных и новых вирусов. Большое количество функций, сканер, монитор, эвристика и все что необходимо чтобы успешно противостоять вирусам.
McAfee VirusScan (производитель: «McAfee Associates»).
Это один из наиболее известных антивирусных пакетов. Очень хорошо удаляет вирусы, но у VirusScan хуже, чем у других пакетов, обстоят дела с обнаружением новых разновидностей файловых вирусов. Он легко и быстро устанавливается с использованием настроек по умолчанию, но его можно настроить и по собственному усмотрению. Вы можете сканировать все файлы или только программные, распространять или не распространять процедуру сканирования на сжатые файлы. Имеет много функций для работы с сетью Интернет.
Dr.Web (производитель: «Диалог Наука»)
Популярный отечественный антивирус. Хорошо распознает вирусы, но в его базе их гораздо меньше чем у других антивирусных программ.
Kaspersky AntiVirus Personal Pro (производитель: «Лаборатория Касперского»).
Это антивирус признан во всем мире как один из самых надежных.
Несмотря на простоту в использовании он обладает всем необходимым арсеналом для борьбы с вирусами. Эвристический механизм, избыточное сканирование, сканирование архивов и упакованных файлов - это далеко не полный перечень его возможностей.
Лаборатория Касперского внимательно следит за появлением новых вирусов и своевременно выпускает обновления антивирусных баз. Имеется резидентный монитор для контроля за исполняемыми файлами.
Заключение.
Несмотря на широкую распространенность антивирусных программ, вирусы продолжают «плодиться». Чтобы справиться с ними, необходимо создавать более универсальные и качественно-новые антивирусные программы, которые будут включать в себя все положительные качества своих предшественников. К сожалению, на данный момент нет такой антивирусной программы, которая гарантировала бы защиту от всех разновидностей вирусов на 100%, но некоторые фирмы, например «Лаборатория Касперского», на сегодняшний день достигли неплохих результатов.
Вирусы вирусам можно разделить на несколько...
Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность...
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении все более совершенных саморазмножающихся программ. Совсем недавно заражение вирусом текстовых файлов считалось абсурдом - сейчас этим уже никого не удивишь. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.
1. Компьютерные вирусы
Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Классификация вирусов:
1) по среде обитания вируса;
По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).
2) по способу заражения среды обитания;
Способы заражения делятся на резидентный и нерезидентный . Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
3) по деструктивным возможностям
По деструктивным возможностям вирусы можно разделить на:
- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
4) по особенностям алгоритма вируса.
По особенностям алгоритма можно выделить следующие группы вирусов:
- компаньон-вирусы (companion) - это вирусы, не изменяющие файлы.
- вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
1.2. Создатели вредоносных программ
Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.
Вторую группу создателей вирусов также составляют молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.
Третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.
Отдельно стоит четвертая группа авторов вирусов - «исследователи» , которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика - попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.
1.3. Описание вредоносных программ
К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
Полиморфные вирусы
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Стелс-вирусы
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой. При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.
Троянские вирусы
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. «Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.
Черви
Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети.
По среде обитания вирусы можно разделить на:
Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения.ехе и.com (самые распространенные вирусы), но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы, программные файлы на языках процедурного программирования (заражают при трансляции исполняемые файлы).
Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузке DOS с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицируют таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операционной системы.
Файлово-загрузочные вирусы интегрируют возможности двух предыдущих групп и обладают наибольшей "эффективностью" заражения.
Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей).
Документные вирусы (их часто называют макровирусами) заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов.
Комбинированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте.
1.4. Хронология возникновения вирусов
Здесь приведен хронологический список некоторых известных компьютерных вирусов и червей , а также событий, оказавших серьёзное влияние на их развитие.
| Январь 2007 | Червь Storm начинает захватывать заражённые компьютеры, формируя Сеть Storm , которая в сентябре достигла размера от 1 до 10 миллионов компьютеров. |
| 2006 | 15 марта 2006 года в СМИ появляются сообщения о создании первого вируса для RFID -меток (см. RFID-вирус ). 20 января 2006 : был обнаружен червь Nyxem . Он распространяется с помощью массовой рассылки e-mail . Его нагрузка, которая активируется 3-его числа каждого месяца, начиная с 3 февраля , делает попытку отключить ПО связанное с безопасностью и раздачей файлов, а также уничтожить файлы определённых типов, таких как документы Microsoft Office . |
| 2005 | Август: червь Zotob (en:Zotob ), несмотря на относительно небольшой масштаб эпидемии, привлекает повышенное внимание западных СМИ после того, как некоторые из них были атакованы и понесли определенный ущерб. |
| 2004 | Декабрь: запущен червь Santy (en:Santy ) - первый червь, использующий для распостранения веб-сайты , и к тому же использующий Гугл для нахождения своих жертв. Май: появляется червь Sasser (en:Sasser worm ), эксплуатировавший ОС Windows и вызвавщий многочисленные проблемы в сети, иногда даже парализуя работу организаций. Март: обнаружен червь Witty (en:Witty ) - первый сразу в нескольких категориях. Этот червь атаковал несколько версий IIS ; он появился в рекордное время после объявления уязвимости; он стал первым интернет-червем, несущим по-настоящему вредоносный код; и, наконец, он стал первым червем, который изначально был разослан по заранее составленному списку уязвимых компьютеров. Январь: запущен червь MyDoom (en:Mydoom ), который на тот момент становится самым быстрым червем, распостраняющимся по электронной почте. |
| 2003 | Октябрь: запущен червь Sober (en:Sober worm ), который поддерживает своё присутствие в сети до 2005 в различных вариантах. Август: запущен червь Sobig (en:Sobig ), который быстро распостраняется через электронную почту и ресурсы, открытые для коллективного доступа в локальных сетях. Одновременная эпидемия червей Blaster и Sobig наносит ощутимый вред пользователям сети по всему миру. Август: запущен червь Welchia (en:Welchia ) - один из самых известных «белых червей». Он следует по пятам червя Blaster, пытаясь удалить его с зараженных компьютеров и установить на них заплатку ОС. Делается это, однако, по-прежнему без согласия пользователей, и многие системные администраторы жалуются, что червь Welchia замусоривает сети, создавая ещё больше проблем - таким образом, сам по себе являясь вредоносной программой . Август: червь Blaster (en:Blaster worm ), также известный как Lovesan, распостраняется по всему миру, также засоряя сеть большим количеством мусорного трафика. Червь содержит оскорбления в адрес Билла Гейтса и ошибочно запрограммированную DoS-атаку на сервер обновления ОС Windows . Январь: червь SQL Slammer (en:SQL slammer worm ), также известный как червь Sapphire, использует уязвимости в Microsoft SQL Server и создает большие помехи в Интернете. |
| 2001 | Октябрь: впервые обнаружен червь Klez . Сентябрь: многовекторный червь Nimda (en:Nimda ) распостраняется используя сразу несколько весьма различных способов, включая бэкдоры , оставленные червями Code Red II и Sadmind. Август: начинается глобальная эпидемия полностью переписанного варианта червя Code Red под названием Code Red II (en:Code Red II ), поначалу в основном в Китае . Code Red II и его предшественник вскоре становятся классическими примерами Интернет-червей, после подробного анализа в популярной статье How to 0wn the Internet in Your Spare Time и публикации дизассемблированного кода вирусов с комментариями на сайте eEye . Июль: выпущенчервь Code Red (en:Code Red (computer worm) ), такжеатакующий . Июль: выпущен червь Sircam (en:Sircam ), распостраняющийся по электронной почте и ресурсам, открытым для коллективного доступа в локальной сети . Май: червь Sadmind (en:Sadmind worm ) распостраняется используя уязвимости в ОС Solaris и программе Microsoft Internet Information Services под ОС Windows . Январь: червь Ramen , во многом похожий на червь Морриса , инфицирует компьютеры с ОС Red Hat Linux версий 6.2 и 7, используя уязвимости в программах wu-ftpd , rpc-statd и lpd . |
| 2000 | Май: появился червь «I love you» (en:ILOVEYOU ), один из самых вредоносных за всю историю. По некоторым оценкам, он обошёлся пользователям ПК по всему миру больше чем в 10 млрд. долларов. |
| 1999 | 26 марта : выпущен червь Мелисса (en:Melissa (computer worm) ) для Microsoft Word и Microsoft Outlook , который генерировал заметное количество Интернет-трафика . |
| 1998 | Июнь: началась эпидемия вируса Win95.CIH (en:CIH ), также известного как Чернобыль, ставшая самой разрушительной за все предшествующие годы. Вирус уничтожал информацию на дисках и перезаписывал Flash BIOS , что в некоторых случаях, заставляло пользователей заменять микросхему памяти или даже материнскую плату . Август: Появляется первый вирус для Java Strange Brew . Исходные тексты опубликованы в электронном журнале Codebreakers #4. |
| 1996 | Сентябрь: В ньюс-группу alt.comp.virus (и ещё некоторые) неизвестный посылает файл, зараженный вирусом Bliss для Linux , в феврале следующего года вышла обновлённая версия. Октябрь: В электронном журнале VLAD #7, посвящённом написанию компьютерных вирусов, опубликован исходный текст вируса Staog для Linux, автор Quantum. |
| 1995 | Обнаружен первый макровирус. Июль: Марк Людвиг написал первый вирус для OS/2 «Blue Lightening» (OS2.AEP). Издательство American Eagle Publications издаетегокнигуMark Ludwig «The Giant Black Book of Computer Viruses» , ISBN 0-929408-10-1 ). В книге напечатаны исходные тексты вируса «Blue Lightening», а также вирусов X21, X23 для FreeBSD . |
| 1992 | Вирус Michelangelo (en:Michelangelo (computer virus) ) порождает волну публикаций в западных СМИ , предсказывающих катастрофу 6-го марта. Ожидалось, что вирус повредит информацию на миллионах компьютеров, но его последствия оказались минимальными. |
| 1991 | Первый полиморфный вирус Tequila. |
| 1989 | Октябрь: обнаружен Ghostball (en:Ghostball ) - первый многосторонний вирус . Октябрь: в сети DECnet распространился червь «WANK Worm ». В журнале Компьютерные Системы (Computing Systems) опубликована статья Дугласа МакИлроя «Вирусология 101» (Douglas McIlroy «Virology 101» ), вкоторой приведены примеры вирусов для ОС Unix , написанные на языке SH . |
| 1988 | 2-е ноября: Роберт Моррис-младший создает Червь Морриса , который инфицировал подключенные к Интернету компьютеры VAX , DEC и Sun под управлением ОС BSD . Червь Морриса стал первым сетевым червем , успешно распостранившемся «in-the-wild», и одной из первых известных программ, эксплуатирующих переполнение буфера . |
| 1987 | Май: Том Дафф (Tom Duff) проводит в лаборатории AT&T серию экспериментов с вирусами написанными на языке SH и ассемблера для VAX 11/750 под управлением UNIX . Апрель: Бернд Фикс (Bernd Fix) написал вирус для IBM 3090 MVS/370. Появляется (c)Brain (en:(c)Brain ) - первый вирус созданный для IBM PC -совместимых ПК. Октябрь: Иерусалимский вирус (en:Jerusalem virus ) обнаружен в Иерусалиме . Этот вредоносный вирус был запрограммирован на удаление запускаемых файлов каждую пятницу, 13-го числа. Ноябрь: выходит вирус SCA (en:SCA virus ) для загрузочного сектора ПК Amiga , вызывая целую волну новых вирусов. Вскоре, авторы вируса выпускают следующий, гораздо более вредоносный вирус Byte Bandit (en:Byte Bandit ). Декабрь: эпидемия сетевого червя «Christmas Tree ». Червь написан на языке REXX , работал в среде VM/CMS и распространился в сетях BitNet, EARN, IBM Vnet. |
| 1986 | На конференции Chaos Computer Club в Гамбурге Ральф Бюргер (Ralph Burger) и Бернд Фикс (Bernd Fix) представили вирусы для IBM PC «Virus 1.1» и «Rush Hour». |
| 1985 | В 1985 Том Нефф (Tom Neff) начал распространять по различным BBS список «Грязная дюжина» («The Dirty Dozen»), в котором перечислялись имена файлов пиратских и троянских программ. |
| 1984 | В журнале Scientific American Александр Дьюдни (Alexander Dewdney) в колонке Занимательный Компьютер (Computer Recreations) публикует описание игры Бой в памяти ((Core War), в которой, как и в игре Darwin программы сражаются в памяти. |
| 1983 | Ноябрь: Студентом Фредом Коэном (англ. Fred Cohen ) был написан демонстрационный вирус для VAX 11/750 под управлением Unix. Идея была предложена Фредом Коэном, а название Леном Эдлманом (Len Addleman) в ходе семинара по компьютерной безопасности. Эксперименты проводились также с системами Tops-20, VMS и VM/370. |
| 1982 | Июнь: Вирусные программы упоминаются в 158 выпуске комикса "The Uncanny X-Men". Март: Отчет об экспериментах с червями в лаборатории Xerox в Пало-Альто опубликован в журнале CACM (John Shoch, Jon Hupp "The «Worm» Programs - Early Experience with a Distributed Computation", Communications of the ACM, March 1982 Volume 25 Number 3, pp.172-180 , ISSN 0001-0782 , см. Xerox worm ). |
| 1981 | Программа Elk Cloner (en:Elk Cloner ), написанная Ричардом Скрента (Richard Skrenta ) и Virus версий 1,2,3, написанная Джо Деллинджером (Joe Dellinger) для DOS 3.3 ПК Apple II , считаются первыми компьютерными вирусами . Обе программы также получили распространение «in-the-wild» - обнаружены на компьютерах пользователей вне лаборатории. |
| 1980 | Февраль: Юрген Краус (Jьrgen Kraus) студент Дортмундского университета защищает дипломную работу по самовоспроизводящимся программам («Selbstreproduktion bei programmen» ), в которой приведены примеры подобных программ. Ученые из иссследовательского центра Xerox в Пало-Альто Джон Шоч (John Shoch) и Йон Хапп (Jon Hupp) проводят эксперименты по распределенным вычислениям на основе программ-червей (см. Xerox worm ). |
| 1977 | Томас Райан (Thomas J. Ryan) публикует роман "Юность Пи-1" (The Adolescence of P-1 ), один из главных героев которого ИИ ПИ-1, является червеподобной программой, работающей на компьютерах IBM/360. |
| 1975 | Джон Уолкер (John Walker) дополняет написанную им ранее игру Animal для Univac 1100/42 под управлением Exec-8 подпрограммой Pervade. Связка Animal/Pervade ведет себя, как файловый червь. Джона Браннера «На шоковой волне» (John Brunner «The Shockwave rider» , ISBN 0-345-32431-5 ), в котором для программ перемещающихся по сети используется термин червь. |
| 1974 | Программа HIPBOOT, предназначенная для обновления загрузочных секторов дисков компьютеров Nova, производившихся компанией Data General - возможно один из первых бут-вирусов. Когда диск вставлялся в компьютер, программа обновляла загрузочные сектора всех дисков, при этом, если обновленный диск вставить в дисковод на другом компьютере, со старым ПО, то загрузчик обновлял все загрузочные сектора на этом компьютере. |
| 1973 | (точная дата неизвестна) Боб Томас (Bob Thomas) из компании Болт Беранек и Ньюман (Bolt Beranek and Newman) пишет демонстрационную самоперемещающуяся программу Creeper , использующую подсистему RSEXEC системы Tenex . Рей Томлинсон (Ray Thomlinson) пишет программу Reaper, которая перемещается по сети, так же, как и Creeper, и в случае если Creeper запущен, прекращает его работу. В фантастическом фильме Westworld термин компьютерный вирус был использован для обозначения вредоносной программы, внедрившейся в компьютерную систему. |
| 1972 | Опубликован фантастический роман Дэвида Герролда (David Gerrold) «Когда Харли был год» («When H.A.R.L.I.E. Was One» ), в котором описаны червеподобные программы. |
| 1970 |
Крис Таварес (Chris Tavares) разрабатывает «программу-бомбу» Cookie Monster для IBM 2741 под управлением Multics . Из-за некоторых особенностей реализации Cookie Monster часто ошибочно принимают за вирус. |
| 1966 | Уже после смерти Джона фон Нейманна (John von Neumann) Артур Беркс (Arthur Burks) издает его заметки и лекции в виде книги [Нейман, Джон фон. Теория самовоспроизводящих автоматов . - М .: Мир , 1971 . - с .382. / (von Neumann, J., 1966, The Theory of Self-reproducing Automata, A. Burks, ed., Univ. of Illinois Press, Urbana, IL). |
| 1961 | В компании Бэлл (Bell Telephone Labaratories) В. А. Высотский (V. А. Vyssotsky), Х. Д. Макилрой (H. D. McIlroy) и Роберт Моррис (Robert Morris) изобрели игру Darwin , в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера и «сражались» за ресурсы. |
| 1949 | Декабрь: Джон фон Нейман (John von Neumann) читает серию лекций в Илинойсском университете «Теория и организация сложных автоматов». Материалы этой и других лекций 1948-1952 годов лягут в основу теории самовоспроизводящихся автоматов |
Итак, что же такое антивирус? Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть, запустив антивирусную программу или монитор, можно быть абсолютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже программа, конечно, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.
Таким образом, на 100% защититься от вирусов практически невозможно (подразумевается, что пользователь меняется дискетами с друзьями и играет в игры, а также получает информацию из других источников, например из сетей). Если же не вносить информацию в компьютер извне, заразиться вирусом невозможно - сам он не родится.
Описание антивирусов:
2.1. Eset (NOD32)
NOD 32 Antivirus System от Eset Software обеспечивает безупречную защиту персональных компьютеров и корпоративных систем, работающих под управлением Microsoft Windows 95/98/ME/NT/2000/2003/XP, UNIX/Linux, Novell, MS DOS, а также для почтовых серверов Microsoft Exchange Server, Lotus Domino и других. Главным преимуществом NOD32 является его быстрая работа и не раз доказанная способность ловить 100% вирусов. Работать с ним предельно просто. Включает 4 модуля: Антивирусный Монитор, Монитор Интернет-трафика, монитор документов MSOffice – защищает от макро-вирусов и антивирусный сканер.
2.2. SymantecNortonAntivirus 2005
Разработанная компанией Symantec программа Norton AntiVirus™ 2005 является одним из наиболее популярных антивирусных средств в мире. Эта программа автоматически удаляет вирусы, интернет-червей и троянские компоненты, не создавая помех работе пользователя. Новая функция Norton™ Internet Worm Protection (Защита от интернет-червей) позволяет блокировать ряд наиболее сложных и опасных червей (например, Blaster и Sasser) до того, как они проникнут в компьютерную систему. Кроме того, Norton AntiVirus в состоянии обнаруживать "шпионские" модули и другие угрозы, не являющиеся вирусными по своей природе. Чаще всего на английском языке.
2.3. Антивирус Касперского Personal
Установка и использование Антивируса Касперского Personal не вызовет у вас никаких затруднений. Настройка программы исключительно проста за счет возможности выбора одного из трех предопределенных уровней защиты: "максимальная защита", "рекомендуемая защита" и "максимальная скорость". Благодаря удобному интерфейсу эта программа станет лучшим помощником даже для неопытных пользователей компьютеров.
В Антивирусе Касперского Personal применяется современная технология защиты от вирусов, основанная на принципах эвристического анализа второго поколения.
Двухуровневая защита почты.
Программа - бесспорный лидер по тщательности проверки подозрительных объектов. Антивирус Касперского обнаруживает вирусы в архивированных и упакованных файлах более 700 форматов, а также лечит файлы форматов ZIP, ARJ, CAB и RAR.
Обновления каждый час. Круглосуточная техническая поддержка
2.4. Dr.Web32 для Windows
Dr.Web32 для Win32 выпущена в двух вариантах: с графическим интерфейсом (DrWeb32W) и без него (DrWebWCL). Оба варианта поддерживают одинаковый набор параметров (ключей) командной строки. Но для варианта с графическим интерфейсом все настройки могут производиться и из диалоговых панелей, что обычно бывает значительно более удобно. В то же время, вариант без графического интерфейса требует несколько меньших ресурсов.
2.5. Trend Micro PC-cillin Internet Security
Неоднократно признавался лучшим корпоративным антивирусным программным обеспечением.
Trend Micro™ PC-cillin™ Internet Security 2004 представляет собой всеобъемлющую, но простую в использовании систему защиты от вирусов, хакерских атак и других опасностей, связанных с использованием Интернета.
Новая функция Network Virus Emergency Center обеспечивает наиболее полную защиту от современных сетевых вирусов, отличающихся очень высокой скоростью распространения. Данная функция используется для заблаговременного предупреждения пользователей о новых вспышках сетевых вирусов и перехвата самих этих вирусов на уровне сетевого шлюза, когда они предпринимают попытку проникнуть в ваш компьютер. При обнаружении активности сетевых вирусов может автоматически активироваться функция Internet Lock, не позволяющая вирусу заразить компьютер и распространиться дальше по сети.
2.6. NormanVirus Control
Norman Virus Control v5 - действенно защищает пользователей
Дружественный интерфейс, автоматизацией работы - вот основные характеристики, присущие Norman Virus Control (NVC) v5 предназначенной для одного пользователя. Эта программа использует те же самые компоненты что и корпоративная версия, кроме возможностей управления сетью.
Уникальная технология Norman SandBox II защищает от новых и неизвестных компьютерных вирусов, червей и троянцев - являющихся в настоящее время самыми распространенными типами почтовых вирусов.
Электронная почта проверяется на вирусы прежде, чем они достигают почтового ящика, проверка электронной почты на вредоносные программы; проверка в режиме реального времени файлов;
2.7. CAT Quick Heal Anti-Virus 2005
QuickHeal имеет мощный и оптимизированный механизм сканирования, который выполняет поиск вирусов быстро и просто. Он комбинирует действенные и быстрые технологии, чтобы гарантировать лучшую защиту от сегодняшних вирусов.
Особенности:
Проверяет и очищает уже зараженный персональный компьютер перед установкой.
Технология обнаруживает червей срабатывает прежде, чем вирус попадает в антивирусные базы, и также успешно удаляет изменения, сделанные ими.
Защитите от всех видов опасностей исходящих из Интернета, то есть: порно-сайтов, шпионских программ, хакерских утилит и т.д.
Сканирует и чистит и приходящие и исходящие почтовые сообщения.
Быстрый модуль обновления обновляется быстро, и защищает вашу машину от новых вирусов.
Проверка сжатых файлов и сжатых исполняемых файлов.
Интегрированная защита для MSOffice 2000/XP.
Защищает ваш персональный компьютер от вирусов, в то время как Вы ищите информацию в Интернете.
2.8. MicroWorld eScan AntiVirus for windows
Пользователь может запланировать проверку по своему усмотрению. Анти-Вирусный Монитор проверяет на вирусы в автоматическом режиме реального времени. Автоматическое ежедневное обновление. Система сетевой защиты NetBIOS. 24 часа 7 дней в неделю бесплатная интерактивная и телефонная поддержка.
2.9. Panda Titanium Antivirus 2004
TitaniumAntivirus 2004 быстро обнаруживает и уничтожает вирусы, троянцев, червей, программы – «дозвонщики», программы- «шутки», вредоносные коды ActiveX и опасные Java-апплеты. Технология эвристического сканирования позволяет обнаруживать новые и неизвестные вирусы. Программа включает в себя мощные инструменты активной защиты. TitaniumAntivirus 2004 очень прост и удобен в использовании: у него интуитивно понятный интерфейс, прямые отчеты и полностью автоматические обновления. Каждый раз, когда компьютер соединяется с Интернетом, TitaniumAntivirus 2004 находит и загружает ежедневные обновления файла вирусных баз, определяет и уничтожает вирусы еще до того, как пользователь открывает зараженное письмо.
Сравнение антивирусных программ
Таблица содержит расчеты показателя надежности различных антивирусов. В качестве исходных данных были использованы результаты проверки реакции различных антивирусов на вредоносные объекты в период с января 2006 по июль 2007.
Показатели надежности антивирусов
| Наименование антивируса |
Пропущено вирусов за соответствующий период 2006 - 2007 годов | Пропущено вирусов из 51 атак |
Качество антивируса |
|||||||||||
| 10.12 - 23.02 | 17.05 | 05.06 - 13.07 | 12.07 | 17.07 | 21.07 | 24-26.07 | 27.07 | 27.07 | 30.07 | 31.07 | 03.08 | |||
| DrWeb | 12 | 1 | 0 | 0 | 0 | 0 | 3 | 0 | 0 | 1 | 0 | 0 | 17 | 0,667 |
| Kaspersky | 11 | 1 | 3 | 1 | 0 | 0 | 2 | 1 | 0 | 0 | 1 | 1 | 21 | 0,588 |
| AntiVir | 13 | 1 | 2 | 0 | 2 | 1 | 0 | 0 | 1 | 0 | 1 | 1 | 22 | 0,569 |
| Fortinet | 14 | 1 | 0 | 0 | 2 | 2 | 1 | 0 | 1 | 1 | 1 | 1 | 23 | 0,549 |
| Sophos | 19 | 1 | 0 | 0 | 0 | 1 | 0 | 0 | 1 | 1 | 1 | 0 | 24 | 0,529 |
| BitDefender | 14 | 1 | 3 | 0 | 2 | 1 | 0 | 1 | 1 | 1 | 1 | 1 | 25 | 0,510 |
| McAfee | 19 | 0 | 1 | 0 | 2 | 2 | 0 | 0 | 1 | 1 | 0 | 1 | 27 | 0,471 |
| Ikarus | 19 | 1 | 1 | 0 | 2 | 1 | 1 | 0 | 1 | 0 | 1 | 0 | 27 | |
| eSafe | 15 | 1 | 4 | 1 | 1 | 2 | 3 | 1 | 1 | 0 | 0 | 0 | 28 | 0,451 |
| NOD32v2 | 16 | 1 | 4 | 0 | 2 | 1 | 0 | 1 | 1 | 1 | 1 | 1 | 29 | 0,431 |
| CAT-QuickHeal | 19 | 0 | 3 | 0 | 2 | 2 | 0 | 1 | 1 | 0 | 1 | 1 | 30 | 0,412 |
| ClamAV | 16 | 0 | 3 | 1 | 2 | 2 | 2 | 1 | 1 | 1 | 1 | 1 | 31 | 0,392 |
| VBA32 | 18 | 0 | 4 | 0 | 1 | 1 | 2 | 1 | 1 | 1 | 1 | 1 | 31 | |
| Sunbelt | 20 | 1 | 3 | 0 | 2 | 2 | 0 | 1 | 1 | 0 | 1 | 1 | 32 | 0,373 |
| Norman | 21 | 1 | 1 | 1 | 1 | 1 | 3 | 0 | 1 | 1 | 1 | 0 | 32 | |
| F-Prot | 16 | 1 | 4 | 1 | 2 | 2 | 3 | 1 | 1 | 1 | 1 | 1 | 33 | 0,353 |
| Microsoft | 26 | 1 | 1 | 0 | 0 | 1 | 0 | 0 | 1 | 1 | 1 | 1 | 33 | |
| Panda | 19 | 1 | 4 | 0 | 2 | 2 | 1 | 1 | 1 | 0 | 1 | 1 | 33 | |
| Authentium | 16 | 1 | 4 | 1 | 2 | 2 | 3 | 1 | 1 | 1 | 1 | 1 | 34 | 0,333 |
| AVG | 18 | 1 | 4 | 0 | 2 | 2 | 2 | 1 | 1 | 1 | 1 | 1 | 34 | |
Первое место в данном сравнительном тестировании, занял Антивирус Касперского, итоговые 17 % обнаруженных вирусов заслуживают наивысшей оценки. Кроме того, Kaspersky, AntiVir, Fortinet, занявшие второе, третье и четвертое место соответственно так же имеют неплохой результат детектирования.
Заключение
Из всего вышесказанного можно сделать вывод, чтокомпьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в «полной изоляции». Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.
Самым эффективным способом защиты от компьютерных вирусов является не внесение информации в компьютер извне. Но, к сожалению, на 100% защититься от вирусов практически невозможно (подразумевается, что пользователь меняется дискетами с друзьями и играет в игры, а также получает информацию из других источников, например из сетей).
Список литературы
1) http://virusy.org.ru/10.html
2)
3) http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B9_%D0%B2%D0%B8%D1%80%D1%83%D1%81#.D0.A1.D0.BC._.D1.82.D0.B0.D0.BA.D0.B6.D0.B5
4) http://ap-ple.ru/shareware.html
5) http://www.computer-mus.ru/polimosfikwisusj.html
6) http://www.glossary.ru/cgi-bin/gl_sch2.cgi?RKusv 8ylwt:l!iowzx
7) http://www.sitysoft.com/modules/articles/item.php?itemid=17
8) http://www.topreferats.ru/comp/6636.html
