Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам для выполнения каких-либо вредных действий - портит файлы, "засоряет" оперативную память и т.д.

Существует очень много разных вирусов. Условно их можно классифицировать следующим образом:

1) загрузочные вирусы или BOOT-вирусы заражают boot-секторы дисков. Очень опасные, могут привести к полной потере всей информации, хранящейся на диске;

2) файловые вирусы заражают файлы. Делятся на:

вирусы, заражающие программы (файлы с расширением.EXE и.COM);

макровирусы вирусы, заражающие файлы данных, например, документы Word или рабочие книги Excel;

вирусы-спутники используют имена других файлов;

вирусы семейства DIR искажают системную информацию о файловых структурах;

3) загрузочно-файловые вирусы способные поражать как код boot-секторов, так и код файлов;

4) вирусы-невидимки или STEALTH-вирусы фальсифицируют информацию прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах;

5) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать нетрудоспособными;

6) вирусы-черви снабжают небольшие сообщения электронной почты, так называемым заголовком, который по своей сути есть Web-адресом местонахождения самого вируса. При попытке прочитать такое сообщение вирус начинает считывать через глобальную сеть Internet свое "тело" и после загрузки начинает деструктивное действие. Очень опасные, так как обнаружить их очень тяжело, в связи с тем, что зараженный файл фактически не содержит кода вируса.

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус. Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Вопросы для самоконтроля.

1. Что такое программа?

2. Что включает в себя понятие "программное обеспечение"?

3. Назовите и характеризуйте основные категории программного обеспечения.

4. В чем отличие прикладных программ от системных и инструментальных?

5. Что входит в системное программное обеспечение?

6. В чем состоит назначение операционной системы?

7. Характеризуйте основные классы операционных систем.

8. Опишите процесс начальной загрузки операционной системы в оперативную память компьютера.

9. Что такое файл?

10. Как организована файловая система?

11. Какой модуль операционной системы осуществляет обслуживание файлов?

12. Приведите пример иерархической файловой структуры.

13. Что такое базовая система ввода-вывода (BIOS), и в каком разделе памяти она размещается?

14. Из каких основных модулей состоит операционная система MS-DOS?

15. Назовите основные разновидности программ-утилит и дайте им краткую характеристику.

16. Для чего предназначен пакет программ Norton Commander?

17. Какой вид интерфейса удобнее для пользователя - командный или графический?

18. Чем объясняется широкая популярность пакета Norton Commander?

19. Что такое компьютерные вирусы, в чем состоят их вредные действия?

20. Какие существуют средства борьбы с компьютерными вирусами?

21. В чем суть процесса сжатия информации?

22. Характеризуйте основные особенности операционных систем Windows-NT и Windows 95.

23. Что такое технология OLE?

Что такое OLE-объект, OLE-сервер, OLE-клиент?
Какими способами можно внедрять и связывать внешние объекты с документом-приемником?
Перечислите и охарактеризуйте способы связи объекта OLE-сервера с документом-приемником.
Сравните способы внедрения и связывания объектов.
В какой степени поддерживают технологию OLE различные приложения Windows? Приведите примеры.
Каковы возможности OLE-технологии?
Каково назначение служебных программ Windows?
Как осуществляется доступ к служебным программам Windows?
Для чего используется программа ScanDisk?
Каковы возможности режимов стандартной и полной проверки программы ScanDisk?
Как часто следует проводить стандартную и полную проверку жесткого диска?
Каково назначение программы дефрагментации диска?
Что такое дефрагментация диска?
Что такое форматирование дисков? В каких случаях прибегают к форматированию?
Как можно выполнить форматирование диска?

39. Каковы особенности быстрого и полного форматирования дисков

Что такое архив? Какие программные средства называются архиваторами?
Почему методы сжатия, при которых происходит изменение содержимого данных, называются необратимыми?
Приведите примеры форматов сжатия с потерями информации.
В чем состоит преимущество обратимых методов сжатия над необратимыми? А недостаток?

44. Которая существует зависимость между коэффициентом сжатия и эффективностью метода сжатия?

Что такое компьютерный вирус?
Каким образом вирус заражает компьютер?
Каким образом действуют компьютерные вирусы?
Какие вы знаете источники заражения компьютерным вирусом?
По каким признакам можно обнаружить факт заражения компьютерным вирусом?
Какие вы знаете типы вирусов? Какие деструктивные действия они осуществляют?
Какие действия предпринимают для предотвращения заражения компьютерным вирусом?
Что такое антивирус? Какие типы антивирусов вы знаете?
Что такое эвристический анализатор? Какие функции он выполняет?

ЛЕКЦИЯ 5. ТЕКСТОВЫЙ РЕДАКТОР WORD.[:]

Текстовый процессор Word является популярным средством для редактирования текстовых документов и входит в пакет Microsoft Office. Основные элементы окна Word показаны на рисунке. Вид панели форматирования и других элементов окна, наличие границ области текста, знака конца абзаца определяются самим пользователем, а поэтому могут быть другими или отсутствовать.

Текст, создаваемый в процессоре Word, называется документом. Документы могут быть сохранены в различных форматах, однако, основным является формат "Документ Word", в котором имени файла автоматически присваивается расширение.doc. Word позволяет выполнять сложные виды форматирования текстов, создавать, вставлять и редактировать рисунки и таблицы, записывать математические формулы, проверять орфографию текста, вставлять оглавления и выполнять многие другие действия по редактированию документов. Для автоматизации повторяющихся операций Word имеет встроенную систему автоматической записи макросов, представляющих собой программу на языке Word Basic.

Реферат

Вирусы и антивирусные программы

1. Вирусы

а) Что такое вирус

б) Что может и чего не может компьютерный вирус

в) Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев

г) Типы вирусов

д) Что делать, если заражение уже произошло

2. Методы обнаружения вирусов

а)Метод соответствия определению вирусов в словаре

б) Метод обнаружения странного поведения программ

в)Метод обнаружения при помощи эмуляции

г)Метод «Белого списка»

д)Другие методы обнаружения вирусов

3. Важные замечания

4. Классификация антивирусов

5. Антивирусы на SIM, флэш - картах и USB устройствах

1. Вирусы

а) Что такое вирус

Компьютерные вирусы - вредоносные само распространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области…)

Вредоносный программный код, обычно замаскированный под что-нибудь привлекательное (например, фотография популярного спортсмена) или полезное и выполняющий незапланированные либо нежелательные действия, например повреждение данных.

(Virus - лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.

В общем случае компьютерный вирус - это небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов, или "поселяется" в загрузочном (BOOT) секторе диска. При запуске заражённых программ и драйверов вначале происходит выполнение вируса, а уже потом управление передаётся самой программе. Если же вирус "поселился" в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т. д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передаётся заражённой программе, которая обычно работает "как ни в чём не бывало", маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы, и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word и табличного редактора Excel.

Как проявляют себя вирусы

Проявления вирусов весьма различны. Это:

1 Сильное замедление работы компьютера.

2 Неожиданное появление на экране посторонних фраз.

3 Появление различных видеоэффектов (например, перевёртывание экрана).

4 Пропадание информации с экрана.

5 Генерация различных звуков.

6 Некоторые программы перестают работать, а другие ведут себя очень странно.

7 На дисках появляется большое количество испорченных файлов данных, текстовых файлов.

8 Разом рушится вся файловая система на одном из дисков.

9 Операционная система неожиданно перестаёт видеть винчестер.

10 Произвольно изменяется длина отдельных файлов.

11 Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95.

12 Стирание всех незащищённых от стирания пользовательских файлов и системных файлов

13 Самопроизвольный неограниченный «разгон» видеокарты и процессора, что приводит к их перегреву и поломке

14 Подмена существующих драйверов на драйвера, неподходящие к данной системе, что приводит к возникновению большого количества ошибок, замедлению работы системы и остановке работы важных сервисных программ

15 Скачивание при подключённом Интернет-соединении большого количества ненужной, опасной информации, мусора и других вирусов

Разные вирусы могут вести себя по-разному. Некоторые только размножаются, не совершая вредных действий, другие же сразу после заражения совершают множество очень неприятных действий. Есть такие, которые вначале ведут себя незаметно, а по прошествии какого-то времени вдруг разом портят все данные (скажем, форматируется винчестер).

б) Что может и чего не может компьютерный вирус

Компьютерный вирус может заразить очень ограниченное число файлов. Перечислим эти файлы. В первую очередь это исполняемые файлы с расширением.com и.ехе, затем - драйверы устройств с расширениями.sys и тем же.ехе. динамические библиотеки (расширение dll) и. наконец, оверлейные модули исполняемых файлов (как правило, имеют расширение.ovl).

Существуют вирусы, заражающие пакетные.bat файлы, но эти вирусы крайне примитивны и поступают очень просто: они вставляют в пакетные файлы команды своего вызова. Поймать такие вирусы не представляет труда.

Также могут быть подвергнуты заражению файлы документов и шаблонов редакторов, в которых при открытии документа предусмотрено выполнение макрокоманд. В частности, это.doc и.dot файлы текстового редактора Word, .xls и,xlt файлы табличного редактора Excel.

Ни при каких условиях не могут быть подвергнуты заражению текстовые (.txt) и графические файлы (.tif, .gif, .bmp и т. п.), файлы данных и информационные файлы.

в) Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев

Запуск на компьютере исполняемой программы, заражённой вирусом.

Подключение к системе заражённого драйвера.

Открытие документа, заражённого макровирусом.

Установка на компьютере заражённой операционной системы.

Компьютер не может быть заражён, если:

На него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд).

На нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался.

На компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд).

Переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты).

Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.

Не стоит приписывать все сбои в работе оборудования или программ действию компьютерного вируса. Вирус - это обычная программа причём небольшого размера, и она не может совершать никаких сверхъестественных действий.

г) Типы вирусов

Вирусы - спутники. Наиболее примитивный тип вирусов. Для каждого файла с расширением.ехе создают файл с тем же именем, но с расширением.com. содержащий тело вируса. При запуске файла операционная система вначале ищет.com файлы, а потом.ехе файлы. Поэтому вначале управление получает вирус, а затем уже он сам вызывает необходимый ехе файл.

Файловые вирусы. Поражают файлы с расширением.com, .ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным; и, что самое печальное, такой файл нельзя восстановить. Часть этих вирусов остаётся в памяти резидентно.

Загрузочные вирусы. Поражают загрузочные сектора дисков. Инфицирование новых дисков происходит в тот момент, когда в заражённый компьютер вставляют новую дискету и начинают с ней работать. Часто вирус не помешается целиком в загрузочной записи, туда пишется только его начало, а продолжение тела вируса сохраняется в другом месте диска. После запуска остаются в памяти резидентно.

Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов. Такие вирусы могут поражать как файлы, так и загрузочные сектора.

Вирусы DIR*. Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с заражённого диска, как файловая система тут же "восстанавливается".На самом же деле происходит инфицирование ещё одного компьютера.

Макровирусы. Весьма оригинальный класс вирусов (хотя вирусами в полном смысле этого слова их даже нельзя назвать), заражающий документы, в которых предусмотрено выполнение макрокоманд. При открытии таких документов вначале исполняются макрокоманды (специальные программы высокого уровня), содержащиеся в этом документе, -макровирус как раз ипредставляет собой такую макрокоманду. Таким образом, как только будет открыт заражённый документ,вирус получит управление и совершит все вредный действия (в частности, найдёт и заразит ещё не заражённые документы).

Механизмы защиты вирусов от обнаружения

Как правило вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов - вирусы-невидимки (или стелс-вирусы) и самомодифицирующиеся вирусы (вирусы-призраки).

Стелс-вирусы (от английского stealth - Стелс-вирус - вирус, тем или иным способом скрывающий свое присутствие в системе.) реализуют очень хитрый механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в памяти резидентно и при обращении к заражённым файлам и областям диска подменяют информацию так, что "заказчик" получает её в незаражённом, исходном виде. Достигается это перехватыванием обращений DOS и установкой своих векторов прерываний. Увидеть такой вирус можно либо на незаражённом компьетере (например, загрузившись с заведомо чистой дискеты), либо в том случае, когда программа не пользуется средствами DOS а напрямую обращается к диску.

Вирусы-призраки маскируются с помощью другого механизма. Эти вирусы постоянно модифицируют себя таким. образом", что не содержат одинаковых фрагментов. Такие вирусы хранят своё тело в закодированном виде и постоянно меняют параметры этой кодировки. Стартовая же часть, занимающаяся декодированием непосредственно самого тела, может генерироваться весьма сложным способом. При переносе вируса данного типа с компьютера на компьютер код вируса изменяется таким образом, что уже не имеет ничего общего со своим предыдущим вариантом. А часть вирусов может самомодифицироваться и в пределах одного компьютера. Обнаружение таких вирусов весьма осложнено, хотя часть антивирусных программ пытается находить их по участкам кода, характерным для стартовой части.

* - DIR - Поле в ячейке управления ресурсами, показывающее направление RM-ячейки по отношению к потоку данных, с которым эта ячейка связана. Источник данных устанавливает DIR=0, получатель - DIR=1.

д) Что делать, если заражение уже произошло

Стандартные действия при заражении вирусом

Вы должны:

Сразу же выключить питание, чтобы вирус перестал распространяться дальше. Единственное, что можно сделать до выключения питания, - это сохранить результаты текущей работы. Не следует использовать горячую перезагрузку (Ctrl+Alt+Del), т. к. некоторые вирусы при этом сохраняют свою активность.

Войти в SETUP и включить загрузку с диска А:. Заодно рекомендуется проверить правильность всех установок, включая параметры жёстких дисков. Если произошли какие-либо изменения, то необходимо восстановить старые значения.

Ни в коем случае не запускать ни одной программы, находящейся на жёстком диске.

Необходимо загрузиться с дискеты (она должна быть защищена от записи) и запустить по очереди программы-детекторы, находящиеся на дискете. Если одна из программ обнаружит загрузочный вирус, то его можно тут же удалить, аналогично надо поступить и при наличии вируса DIR. Учтите, что вирусов может быть много.

Если программа-детектор обнаружит файловый вирус, то возможны два варианта действий. Если у вас

установлена программа-ревизор с лечащем модулем, то восстановление файлов лучше делать с ее помощью.

Если такое программы нет. то необходимо воспользоваться для лечения одним из детекторов. Испорченные файлы (если, конечно, они не текстовые и не файлы данных) необходимо удалить.

После того как все вирусы удалены, необходимо заново перенести операционную систему на жёсткий диск (с помощью команды SYS).

Необходимо проверить целостность файловой системы на винчестере (с помощью CHKDSK) и исправить все повреждения. Если таких повреждений очень много, то перед исправлением файловой структуры необходимо попытаться скопировать наиболее важные файлы на дискеты.

Необходимо ещё раз проверить жёсткий диск на наличие вирусов, если таковых не оказалось, то можно перезагрузиться с винчестера. После перезагрузки винчестера необходимо оценить потери от действий вируса. Если повреждений очень много, то проще заново переформатировать винчестер (при необходимости сохранив самые важные файлы).

Необходимо восстановить все необходимые файлы и программы с помощью архива - и для страковки, ещё раз загрузившись с дискеты, протестировать винчестер. Если снова будет обнаружен вирус, то- вам не повезло, ваш архив также заражён вирусом. В этом случае вы должны протестировать весь ваш архив.

Если всё в порядке, то необходимо проверить все дискеты, которые могли оказаться заражёнными вирусом и при необходимости пролечить их. Не забудьте только отключить загрузку с диска А:.

После того как вирус дезактивирован, вы можете продолжать свою работу. Рекомендуется только подключить на некоторое время одну из программ-фильтров.

Нестандартные ситуации

Во время вирусной атаки может возникнуть ряд нестандартных ситуаций. Рассмотрим их.

Если у вас установлен менеджер диска, то при загрузки с дискеты часть дисков может быть недоступна. Тогда необходимо пролечить вначале все доступные на данный момент диски, затем загрузиться с жёсткого системного диска и пролечить все оставшиеся логические диски.

Если при загрузке с дискеты выясняется, что система просто "не видет" ваш винчестер, то скорее всего вирус повредил таблицу разбиения жёсткого диска. В этом случае необходимо ещё раз проверить установки SETUP и попытаться восстановить разбиение с помощью Norton Disk Doctor (или, если вы хорошо представляете себе свои действия, с помощью Norton Disk Edit). Если это не поможет, то, увы, вся информация с винчестера потеряна, остаётся только воспользоваться программой FDISK.

Если вы столкнулись с неизвестным вирусом, то дело обстоит несколько сложнее. Во-первых, вы можете воспользоваться программой-ревизором, если она у вас установлена. Вполне возможно, что она поможет обезвредить ваш вирус. Если её нет или она не помогла, то остаётся только заново перенести операционную систему, а затем удалить с него все исполняемые и пакетные файлы, драйверы и оверлейные файлы, после чего восстановить их из архива. Можно также воспользоваться услугами антивирусной скорой помощи.

И в заключение одно замечание. Не стоит приписывать все ваши неприятности действиям вируса. Говорить же о действии неизвестного вируса, а тем более прибегать к радикальным мерам следует только тогда, когда не остаётся никаких сомнений. Стоит вначале попытаться восстановить файлы, и, только если это не удаётся, удалить их.

Ситуация, сложившаяся сейчас в области вирусной безопасности, весьма стабильна. Различные организации (исключая, конечно, Институтские учебные центры, на которых пробуют свои силы юные авторы вирусов) подвергаются вирусным атакам весьма редко, - не говоря уже об индивидуальных пользователях.

в) Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

г) Метод «Белого списка»

Общая технология по борьбе с вредоносными программами - это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

д) Другие методы обнаружения вирусов

Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также эвристическое сканирование).

3. Важные замечания

· Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

· Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

· Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

· Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

· Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

· Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

· Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

· Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

· Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.

· Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре).

4. Классификация антивирусов

Касперский Евгений Валентинович использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность) :

Сканеры (устаревший вариант «полифаги») Определяют наличие вируса по БД , хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора

Ревизоры Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. (Класс близкий к IDS).

Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Вакцины Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007) условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.

5. Антивирусы на SIM, флэш-картах и USB устройствах

Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства.Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне.

Антивирусные программы на SIM с антивирусом, встроенном в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIN и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами.

Реферат на тему:

«Компьютерные вирусы и

антивирусные программы»

Компьютерные вирусы не зря так названы – их сходство с «живыми» вирусами поражает. Они так же распространяются, живут, действуют, так же умирают. Разница лишь в том, что в качестве мишени выступают не люди и не животные, а компьютеры. Контактируя между собой посредством дискет, компакт дисков, локальных сетей, Интернет и других средств «общения», они, как и человек, заражают друг друга.

Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов . К ним относятся Интернет-черви и программы, получившие название «Троянские кони».

Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.

Зарождение компьютерных вирусов

О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.

Процесс заражения

Упрощенно процесс заражения вирусом программных файлов можно
представить следующим образом.Код зараженной программы обычно вирус получил управление первым, до начала работы программы - вирусоносителя.
При передаче управления вирусу он каким-то способом находит
новую программу и выполняет вставку собственной копии в
начало или добавляет ее в конец этой обычно еще не зараженой
программы. Если вирус дописывается в конец программы, то он
то он корректирует код программы, чтобы получить управление
первым.Для этого первые несколько байтов запоминаются в теле
вируса, а на их место вставляется команда перечода на начало
вируса. Этот способ является наиболее распространенным. По -
лучив управление, вирус восстанавливает «спрятанные» первые
байты, а после обработки своего тела передает управление
программе – вирусоносителю.

Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно

можно найти противоядие. Таким противоядием в компьютерном мире

стали программы, называемые антивирусными. Данные программы мож-

но классифицировать по пяти основным группам: фильтры, детекторы,

ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые опо-

вещают пользователя о всех попытках какой-либо программы запи-

саться на диск, а уж тем более отформатировать его, а также о

других подозрительных действиях (например о попытках изменить ус-

тановки CMOS). При этом выводится запрос о разрешении или запре-

щении данного действия. Принцип работы этих программ основан на

перехвате соответствующих векторов прерываний. К преимуществу

программ этого класса по сравнению с программами-детекторами мож-

но отнести универсальность по отношению как к известным, так и

неизвестным вирусам, тогда как детекторы пишутся под конкрет-

ные, известные на данный момент программисту виды. Это особенно

актуально сейчас, когда появилось множество вирусов-мутантов, не

имеющих постоянного кода. Однако, программы-фильтры не могут от-

слеживать вирусы, обращающиеся непосредственно к BIOS, а также

BOOT-вирусы, активизирующиеся ещс до запуска антивируса, в на-

чальной стадии загрузки DOS, К недостаткам также можно отнести

частую выдачу запросов на осуществление какой-либо операции: от-

веты на вопросы отнимают у пользователя много времени и дей-

ствуют ему на нервы. При установке некоторых антивиру-

сов-фильтров могут возникать конфликты с другими резидентными

программами, использующими те же прерывания, которые просто пе-

рестают работать.

Наибольшее распространение в нашей стране получили програм-

мы-детекторы, а вернее программы, объединяющие в себе детектор и

доктор. Наиболее известные представители этого класса - Aidstest,

Doctor Web,MicroSoft AntiVirus.

Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на

сравнении последовательности кодов содержащихся в теле вируса с

кодами проверяемых программ.Такие программы нужно регулярно об-

новлять, так как они быстро устаревают и не могут обнаруживать

новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние

файлов и системных областей диска и сравнивают его с информацией,

сохраненной ранее в одном из файлов данных ревизора. При этом

проверяется состояние BOOT-сектора, таблицы FAT, а также длина

файлов, их время создания, атрибуты, контрольная сумма. Анализи-

руя сообщения программы-ревизора, пользователь может решить, чем

вызваны изменения: вирусом или нет. При выдаче такого рода сооб-

щений не следует предаваться панике, так как причиной изменений,

например, длины программы может быть вовсе и не вирус

К последней группе относятся самые неэффективные антивирусы -

вакцинаторы. Они записывают в вакцинируемую программу признаки

конкретного вируса так, что вирус считает ее уже зараженной.

ЛЕКЦИЯ 5. Компьютерные вирусы и антивирусные программы.

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

ü среде обитания

ü способу заражения среды обитания

ü воздействию

ü особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные . Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE . Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot -сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record ). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные . Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

ü неопасные , не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

ü опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

ü очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

ü Можно отметить вирусы-репликаторы , называемые червями , которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

ü Известны вирусы-невидимки , называемые стелс-вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

ü Наиболее трудно обнаружить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

ü Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

ü Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

ПРИЗНАКИ ПОЯВЛЕНИЯ ВИРУСОВ

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

ü прекращение работы или неправильная работа ранее успешно функционировавших программ

ü медленная работа компьютера

ü невозможность загрузки операционной системы

ü исчезновение файлов и каталогов или искажение их содержимого

ü изменение даты и времени модификации файлов

ü изменение размеров файлов

ü неожиданное значительное увеличение количества файлов на диске

ü существенное уменьшение размера свободной оперативной памяти

ü вывод на экран непредусмотренных сообщений или изображений

ü подача непредусмотренных звуковых сигналов

ü частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

ОБНАРУЖЕНИЕ ВИРУСОВ И МЕРЫ ПО ЗАЩИТЕ И ПРОФИЛАКТИКЕ

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными . Различают следующие виды антивирусных программ:

ü программы-детекторы

ü программы-доктора или фаги

ü программы-ревизоры

ü программы-фильтры

ü программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги , а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf .

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

ü попытки коррекции файлов с расширениями COM , EXE

ü изменение атрибутов файла

ü прямая запись на диск по абсолютному адресу

ü запись в загрузочные сектора диска

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe , входящая в состав пакета утилит MS DOS .

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила :

ü оснастите свой компьютер современными антивирусными программами, например Aidstest , Doctor Web , и постоянно возобновляйте их версии

ü перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

ü при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

ü периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

ü всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

ü обязательно делайте архивные копии на дискетах ценной для вас информации

ü не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

ü используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

ü для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf

Программные меры:

ü архивирование : копирование таблицы FAT, ежедневное ведение архивов измененных файлов. Это самый важный, основной метод защиты от вирусов.

ü входной контроль : проверка поступающих программ детекторами, обновление первых трех байтов сектора начальной загрузки на незагружаемых дискетах (для уничтожения boot-вирусов).

ü профилактика : работа с дискетами, защищенными от записи, минимизация периодов доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение программ на "винчестере" в архивированном виде.

ü ревизия : анализ вновь полученных программ специальными средствами, контроль целостности с помощью регулярного подсчета контрольных сумм и проверки сектора начальной загрузки перед считыванием информации или загрузкой с дискеты, контроль содержимого системных файлов (прежде всего COMMAND.COM) и др. Имеется целый ряд программ-ревизоров, обеспечивающих подсчет контрольных сумм.

ü карантин : каждая новая программа, полученная без контрольных сумм, должна проходить карантин, т.е. тщательно проверяться и прогоняться компетентными специалистами по меньшей мере на известные виды компьютерных вирусов, и в течение определенного времени за ней должно быть организованно наблюдение на отдельной ПЭВМ; присвоение специального имени пользователю при работе со вновь поступившими программами, причем для этого пользователя все остальные разделы должны быть либо невидимы, либо иметь статус READ_ONLY.

ü сегментация : использование программы Advanced Disk Manager для разбиения диска на зоны с установленным атрибутом READ_ONLY.

ü фильтрация : применение специальных программ для обнаружения попыток выполнить несанкционированные действия.

ü вакцинирование : специальная обработка файлов, дисков, каталогов, запуск резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения (выявления) заражения, т.е. обманывающих вирус.

ü автоконтроль целостности : _использование в программе специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в файл из которого загружена программа или нет.

ü терапия : дезактивация конкретного вируса в зараженных программах специальной программой фагом или восстановление первоначального состояния программ путем "выкусывания" всех экземпляров вируса из каждого зараженного файла или диска с помощью этой программы.

В процессе работы программы-фаги (например AIDSTEST, ANTIDIR, DOCTOR) "выкусывают" тело вируса и восстанавливают измененную вирусом последовательность команд.

Чтобы пользоваться предварительным просмотром презентаций создайте себе аккаунт (учетную запись) Google и войдите в него: https://accounts.google.com

Подписи к слайдам:

Компьютерные вирусы и антивирусные программы

Компьютерный вирус – это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно измененные) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причем эти копии сохраняют возможность к «размножению».

Процесс внедрения вирусом своей копии в другую программы называется заражением, а программа или иной объект, содержащий вирус – зараженным. Активизация компьютерного вируса может вызывать уничтожение программ и данных.

Большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ. Одним из "пионеров" среди компьютерных вирусов считается вирус " Brain ", созданный пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров. В настоящее время известно более пятидесяти тысяч вирусов, заражающих компьютеры с различными операционными системами и распространяющихся по компьютерным сетям.

Дискеты. Самый распространённый канал заражения в 1980-1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах. Флеш-накопители (цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, мобильные телефоны) Электронная почта Системы обмена мгновенными сообщениями. Веб-страницы. Жесткий диск, на который попал вирус в результате работы с зараженными программами; Вирус, оставшийся в оперативной памяти после предшествующего пользователя. Основные источники вирусов:

уменьшение объема свободной оперативной памяти; замедление загрузки и работы компьютера; непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов; ошибки при загрузке операционной системы; невозможность сохранять файлы в нужных каталогах; непонятные системные сообщения, музыкальные и визуальные эффекты и т.д. Признаки активной фазы вируса: исчезновение файлов; форматирование жесткого диска; невозможность загрузки файлов или операционной системы. Основные ранние признаки заражения компьютера вирусом:

П о величине вредных воздействий вирусы можно разделить на: неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, графическими, звуковыми и другими внешними эффектами; опасные, которые могут привести к сбоям и зависаниям при работе компьютера; очень опасные, активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и так далее.

по поражаемым объектам по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux); по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты); по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.); по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.). Принято разделять вирусы:

Загрузочные вирусы передаются через зараженные загрузочные сектора при загрузке ОС и внедряется в оперативную память(ОП), заражая другие файлы. Очень опасные, могут привести к полной потере всей информации, хранящейся на диске! Правила защиты: 1)Не рекомендуется запускать файлы сомнительного источника (например, перед загрузкой с диска А – проверить антивирусными программами); 2) установить в BIOS ПК (Setup) защиту загрузочного сектора от изменений. По среде обитания вирусы бывают:

2) Файловые вирусы способны внедряться в программы и активизируются при их запуске. Из ОП вирусы заражают другие программные файлы (com , exe , sys) меняя их код вплоть до момента выключения ПК. Передаются с нелегальными копиями популярных программ, особенно компьютерных игр. Но не могут заражать файлы данных (изображения, звук). 3) загрузочно-файловые вирусы способные поражать как код boot -секторов, так и код файлов;

4) Макровирусы - заражают файлы данных (документов Office, Autocad и др.). Эти вирусы являются фактически макрокомандами (макросами) и встраиваются в документ, заражая стандартный шаблон документов. Угроза заражения прекращается после закрытия приложения. При открытии документа в приложениях Word и Excel сообщается о присутствии в них макросов и предлагается запретить их загрузку. Выбор запрета на макросы предотвратит загрузку от зараженных, но и отключит возможность использования полезных макросов в документе. 5) вирусы-невидимки или Стелс-вирусы фальсифицируют информацию прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth -технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах; 6) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать нетрудоспособными;

7) Сетевые вирусы – распространяются по компьютерной сети посредством сетевых служб и протоколов. (рассылка почты, доступ к файлам по FTP, доступ файлам через службы локальных сетей) Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение. Троянские программы - имитируют какие-либо полезные программы, новые версии популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия. утилиты скрытого администрирования. Они самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, перезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, уничтожения данных.

Троянские программы: Логические бомбы (временные) - удаляющие/модифицирующие) информацию в определенное время либо по условию. Шпионы – собирающие информацию и складирующие ее или отправляющие данные по эл. почте Back Door программы – удаленное управление компьютером или получение команд от злоумышленников

В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности: Не работать под привилегированными учётными записями без крайней необходимости. Не запускать незнакомые программы из сомнительных источников. Стараться блокировать возможность несанкционированного изменения системных файлов. Отключать потенциально опасный функционал системы (например, autorun -носителей в MS Windows, сокрытие файлов, их расширений и пр.). Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя. Пользоваться только доверенными дистрибутивами. Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы. Профилактика и лечение

Антивирусные программы

Антивирусная программа - программа, предназначенная для борьбы с компьютерными вирусами. В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов. Для нормальной работы на ПК каждый пользователь должен следить за обновлением антивирусов. Если антивирусная программа обнаруживает вирус в файле, то она удаляет из него программный код вируса. Если лечение невозможно, то зараженный файл удаляется целиком.

Антивирусные сканеры Детекторы(Полифаги) Антивирусные сторожа (мониторы) CRC – СКАНЕРЫ (Ревизоры) Блокировщики Типы антивирусных программ

После запуска проверяют файлы и оперативную память и обеспечивают нейтрализацию найденного вируса. Антивирусные сканеры

проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Самые универсальные и эффективные антивирусные программы. Проверяют файлы, загрузочные сектора дисков и ОП на поиск новых и неизвестных вирусов. Недостаток - возможность защиты только от известных вирусов. Занимают много места, работают не быстро. Программы-детекторы Norton Antivirus Dr web Avast Kaspersky AntiVirus

постоянно находятся в ОП и обеспечивают проверку файлов в процессе их загрузки в ОП, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций. Программы-мониторы (программы-фильтры) Process Monitor

Следят за изменениями файловой системы, для этого они запоминают названия файлов и папок, размеры файлов и их контрольные суммы. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании. Достоинствами ревизоров как антивирусов являются: Быстрота проверки. В отличие от сканеров, которые должны содержимое файлов сверить с тысячами известных вирусных сигнатур, ревизор подсчитывает лишь контрольную сумму. Это даёт экономию времени в десятки раз. Выявление любых новых вирусов. Если вирус отсутствует в базе данных (еще не занесён в базу или у данного пользователя устаревшая база), то сканер обычно не замечает вирус. Но любой вирус изменяет систему данных на диске, следовательно, выявляется ревизором. Возможность восстановления некоторых испорченных и уничтоженных файлов, а также лечения некоторых файлов, заражённых неизвестными вирусами. Ревизоры сохраняют копии коротких файлов, наиболее важных файлов и файлов, чаще всего становящихся жертвами вирусов. Ревизоры не в состоянии защитить компьютер от всех угроз, поэтому они обычно используются в комплексе с другими антивирусными средствами. Программы - Ревизоры ADinf32

Блокировщики перехватывающие вирусо опасные ситуации и сообщающие об этом пользователю. К вирусо опасным относятся вызовы на открытие для записи в выполняемые файлы, запись в boot -сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний. Антивирусные блокировщики могут входить в BIOS Setup .

В России наибольшее распространение получили антивирусные программы Лаборатории Касперского (Anti-IViral Toolkit Pro) и ДиалогНаука (Adinf,Dr.Web). Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер, резидентный сторож AVP Монитор, программу администрирования установленных компонентов, Центр управления и ряд других. AVP Сканер помимо традиционной проверки выполняемых файлов и файлов документов обрабатывает базы данных электронной почты.

Антивирусные программы семейства Dr.Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы. DrWeb

Ревизор диска ADinf32 - Эта антивирусная программа фиксирует любые изменения в файловой системе компьютера и обладает удобным пользовательским интерфейсом. Оставаясь одним из самых надежных средств обнаружения и удаления компьютерных вирусов, программа ADinf уже давно многими используется как повседневное средство контроля за состоянием информации на дисках компьютера. Может найти потерявшийся файл, проанализировать результаты сбоя компьютера, убедиться в сохранности баз данных и документов, найти, куда вдруг пропало все свободное место на диске, обнаружить и обезвредить компьютерный вирус. ADinf32

популярная бесплатная антивирусная программа для операционных систем Windows, Linux, Mac OS, а также для КПК на платформе Palm, Android иWindows CE. Всего же антивирусом avast ! пользуются почти 200 миллионов пользователей во всём мире. Avast

Norton Antivirus является «самым-самым» сразу по целому ряду позиций. Обладатель самой большой базы данных вирусов. Norton Antiviras - программа на редкость «въедливая», из-под ее контроля не уйдет ни один запущенный на компьютере процесс. Включает: защиту от вирусов, защиту от программ-шпионов, защиту от руткитов, импульсные обновления и др. Norton Antivirus

В состав Kaspersky AntiVirus Personal Pro входят: Kaspersky AntiVirus Сканер, Kaspersky AntiVirus Монитор, Kaspersky AntiVirus Центр управления. AVP Сканер имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов: полиморфных или самошифрующихся вирусов; стелс-вирусов или вирусов-невидимок; макро вирусов, заражающих документы Word и таблицы Excel . Антивирус Касперского

Государство