ФГОУ ВПО "Саратовский государственный аграрный университет имени Н.И. Вавилова"
Тема: Компьютерные вирусы и антивирусные программы
Студент I курса
Заочное отделение
Специальность: земельный кадастр
Ермачков Денис Александрович
Преподаватель: Гаманюк Николай Григорьевич
Саратов 2010 г.
1. Понятие "компьютерного вируса" и его свойства
Компьютерный вирус - это вредоносный самораспространяющийся в информационной среде программный код. Он может внедряться в исполняемые и командные файлы программ, распространяться через загрузочные секторы дискет и жестких дисков, документы офисных приложений, через электронную почту, Web-сайты, по другим электронным каналам. Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, окажется под полным контролем злоумышленника.
(Virus - с лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.
Основную массу вирусов создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы. Значительная часть таких вирусов их авторами часто не распространяется.
Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Как правило, они создают многочисленные модификации "классических" вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Выход конструкторов вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об операционной системе и ассемблере значительно облегчил им работу.
Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир "профессиональные" вирусы. Это тщательно продуманные и отлаженные программы. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных.
Четвертая группа авторов вирусов - "исследователи". Эта группа состоит из талантливых программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы, конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради "исследования" потенциалов "компьютерной вирусологии".
При заражении компьютера вирусом важно его обнаружить, для этого следует знать основные признаки его проявления:
Прекращение работы или неправильная работа ранее успешно функционировавших программ;
Медленная работа компьютера;
Невозможность загрузки операционной системы;
Исчезновение файлов и каталогов или искажение их содержимого;
Изменение даты и времени модификации файлов;
Изменение размера файлов;
Неожиданное значительное увеличение количества файлов на диске;
Существенное уменьшение размера свободной оперативной памяти;
Вывод на экран непредусмотренных сообщений или изображений;
Подача непредусмотренных звуковых сигналов;
Частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев. Это:
Запуск на компьютере исполняемой программы, заражённой вирусом;
Подключение к системе заражённого драйвера;
Открытие документа, заражённого макровирусом;
Установка на компьютере заражённой операционной системы.
Компьютер не может быть заражён, если:
На него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд);
На нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался;
На компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд);
Переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты). Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.
2. Классификация компьютерных вирусов
На сегодняшний день известны десятки тысяч различных вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, весьма ограниченно. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким типам. Таким образом, вирусы можно классифицировать по следующим признакам:
Среде обитания;
Способу заражения среды обитания;
Степени воздействия;
Особенностям алгоритма.
1. В зависимости от среды обитания вирусы делят на:
1) сетевые – распространяются по различным компьютерным сетям;
2) файловые - поражают файлы с расширением.com, .ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т.д. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным и не подлежащим восстановлению;
3) загрузочные - получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении дискеты или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Далее все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов;
4) файлово–загрузочные – комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Вирус OneHalf использует различные механизмы маскировки.
2. По способу заражения среды обитания вирусы делятся на:
1) резидентные - при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
2) нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
3. По степени воздействия вирусы можно разделить на:
1) неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
2) опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
3) особо опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
4. По особенностям алгоритма :
Большое разнообразие вирусов вызывает трудности в их классификации по данному признаку.
2) вирусы-невидимки (стелс-вирусы) – пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль перехватывает обращения к дисковой подсистеме компьютера. Если ОС или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.
3) макрокомандные вирусы. Файлы документов Microsoft Office могут содержать в себе небольшие программы для обработки этих документов, составленные на языке Visual Basic for Applications. Это относится и к базам данных Access, а также к файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Макрокомандные вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении. Распространнености данного вида вирусов в немалой степени способствует популярность Microsoft Office. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.
Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ. Это троянские программы, логические бомбы и программы-черви. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и др.
4) Троянские программы - по основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения;
5) логические бомбы - программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы;
6) программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных. Можно, скажем, создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных. Широко известная программа-червь была написана студентом Корнельского университета Робертом Моррисом. Червь Морриса был запущен в Интернет 2 ноября 1988 г. и за 5 часов смог проникнуть более чем на 6000 компьютеров. Некоторые вирусы-черви (например, Code Red) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера;
7) вирусы в системах документооборота - документы, хранящиеся в базах данных таких систем документооборота, как Lotus Notes и Microsoft Exchange, тоже могут содержать вирусы, точнее, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы;
8) новые и экзотические вирусы. По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Так, новый вирус W32/Perrun, сообщение о котором есть на сайте компании Network Associates, способен распространяться… через файлы графических изображений формата JPEG. Сразу после запуска W32/Perrun ищет файлы с расширением.JPG и дописывает к ним свой код. Надо сказать, что данный вирус не опасен и требует для своего распространения отдельной программы. Среди других "достижений" создателей вредоносных программ заслуживает внимания вирус Palm.Phage. Он заражает приложения "наладонных" компьютеров PalmPilot, перезаписывая файлы этих приложений своим кодом. Появление таких вирусов, как W32/Perrun и Palm.Phage, свидетельствует о том, что в любой момент может родиться компьютерный вирус, троянская программа или червь нового, неизвестного ранее типа, либо известного типа, но нацеленного на новое компьютерное оборудование. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы.
3. Антивирусные программы
Антивирус - это программа, предназначенная для сканирования и распознавания на компьютере пользователя программ или скриптов (скрипт - текстовый файл, содержащий секции, параметры секций и значения параметров секций, описывающие действия, которые необходимо выполнить интерпретатору скрипта), макросов (макрос - это набор команд, которые можно применить, нажав всего лишь одну клавишу). С помощью макроса можно автоматизировать любое действие, которое выполняется в используемом приложении, которое может причинить вред пользователю или существенно замедлить работу компьютера.
Антивирусные программы можно разделить на несколько типов:
Детекторы. Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.
Доктора (Фаги. Фаг) - это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.
Ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf, разработанная Д.Мостовым.
Вакцины. Так называются антивирусные программы, ведущие себя подобно вирусам, но не наносящие вреда. Вакцины предохраняют файлы от изменений и способны не только обнаружить факт заражения, но и в некоторых случаях "вылечить" пораженные вирусами файлы. В настоящее время антивирусные программы-вакцины широко не применяются, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.
Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.
Основными функциональными особенностями Dr Web являются:
· защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;
· обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;
· проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);
· эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.
Любой современный антивирусный продукт - это не только набор отдельных технологий детектирования, но и сложная система защиты, построенная на собственном понимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносных программ.
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, интернета, дискет, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
· Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
· Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
Программа создает надежный барьер на пути проникновения вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах. Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE. В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые вами или программами файлы.
Что такое антивирусное программное обеспечение?
Антивирусное программное обеспечение помогает защищать компьютер от известных вирусов, "червей", "троянцев" и других зловредных программ, от которых может произойти сбой в работе компьютера. Это очень серьезная проблема. Вирусы, "черви" и подобные им вредоносные программы могут предпринять злонамеренные действия, например, уничтожить файлы, предоставить посторонним доступ к личным сведениям, использовать компьютер для атаки на другие компьютеры.
Зачем следует использовать антивирусное программное обеспечение?
С его помощью можно проверить компьютер на наличие вирусов, предпринять различные профилактические меры. Однако нужно помнить, что однократного применения этих средств недостаточно. Необходимо постоянно пользоваться антивирусами, а кроме того, необходимо регулярно обновлять антивирусное программное обеспечение. Обычно обновления можно получать у поставщика антивирусных программ по подписке.
Как выбрать антивирусную программу?
Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения.
Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, a on demand-продукты - сканерами.
On demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт - это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker - ревизор изменений на основе контрольных сумм - может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители
вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Антивирус Касперского
Personal Pro v. 4.0
Разработчик: «Лаборатория Касперского». Web-сайт: http://www.kaspersky.ru/.
Антивирус Касперского Personal Pro - одно из наиболее популярных решений и содержит целый ряд уникальных технологий.
Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.
Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.
Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.
Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.
Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.
Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.
Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.
Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.
Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.
Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.
Doctor Web для Windows 95-XP
Разработчик: «Лаборатория Данилова» и «ДиалогНаука». Web-сайт: http://www.dialognauka.ru/, http://www.Dr.Web.ru/.
Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.
Известный антивирус представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SplDer Guard, интегрированного в операционную систему компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.
Программа построена по модульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды. Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.
Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.
Сторож SplDer осуществляет анализ всех опасных действий работающих программ и блокирует вирусную активность практически всех известных и еще неизвестных вирусов. Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает все виды вирусной активности. Данная технология позволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможет быть определен сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда других существующих резидентных сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым быстро утомляющих пользователя своей назойливой подозрительностью, SplDer проводит эвристический анализ по совокупности вирусоподобных действий, что позволяет избежать большинства случаев ложных реакций на вирус.
Ознакомительную версию программы Dr.Web32 можно получить по адресу http://www.dialog- nauka.ru/download/. По сравнению с полнофункциональной коммерческой версией она имеет следующие ограничения:
- при старте выдается сообщение о том, что версия является ознакомительной;
- не проверяются архивы и почтовые файлы;
- невозможно лечение зараженных файлов.
Norton AntiVirus 2003 Professional Edition
Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/.
Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.
193
Norton AntiVirus 2003 Professional Edition (рис. 5) компании Symantec’s является одним из наиболее надежных и продаваемых решений в мире. Последняя версия программы имеет ряд новых возможностей: защиту от вирусов в приложениях Instant messenger; блокировку червей (Worm Blocking), которая позволяет защитить исходящую почту и предотвратить инфицирование компьютеров третьих лиц, а также парольную защиту настройки опций в Norton AntiVirus. Системы Worm Blocking (блокирование червей) и Script Blocking (блокирование скриптов) спо-
- 6-405. Т.2
собны предотвращать угрозы от еще неизвестных вирусов, что позволяет проводить профилактику быстро распространяющихся вирусов-червей типа «I Love You» или «Anna Kournikova» даже в промежутке между обновлениями базы вирусных описаний.
Эксклюзивная эвристическая модель блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность детектировать почтовых червей, не допуская их попадания в рассылку. В дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2003 позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая работы.
Единственным недостатком данного продукта является его достаточно высокая цена.
McAfee VirusScan Professional 6.0
Разработчик: McAfee Associates. Web-сайт: http://www.mcafee.ru/.
Программа работает под управлением Microsoft Windows 95/98/Me/NT4/2000/XP.
Загрузить 30-дневную версию можно по адресу: http://www.mcafee.ru/reg.html.
McAfee VirusScan Professional 6.0 обеспечивает обнаружение и удаление около 60 тыс. вирусов, троянских программ, червей, вредоносных Java-aroieTOB и ActiveX.
Особенности программы:
постоянная проверка всех точек входа, включая сетевые диски, CD-ROM, электронную почту и загружаемые из Интернета файлы;
ядро обнаружения подозрительной активности сигнализирует о необычных действиях, предотвращая разрушительные последствия и обеспечивая бесперебойную работу ПК;
- автоматическое обновление антивирусных баз через Интернет;
- модуль для Palm OS для обеспечения полной защиты карманного компьютера;
- Shredder - безопасное удаление конфиденциальной информации с дисков ПК;
Windows;
- гибкие возможности настройки расписания сканирования;
- передача подозрительных файлов в AVERT для получения оперативной помощи при обнаружении неизвестных вирусов;
- возможность помещения зараженных файлов в карантин для обеспечения их полной изоляции;
- бесплатная техническая поддержка по электронной почте или в режиме реального времени (Chat);
- новый, значительно усовершенствованный и легко настраиваемый интерфейс делает защиту компьютера более простой и очевидной.
Разработчик: Panda Software. Web-сайт: http://www.pandasoftware.com/.
Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.
Panda Antivirus Titanium (рис. 7) надежно защищает от вирусов, троянских коней, червей, вредоносных ActiveX- и Java-araieTOB, а также имеет эвристическую технологию, способную защитить от неизвестных вирусов, которые могут появиться в будущем.
Программа имеет автоматизированную систему обновлений и специальную технологию для защиты от вирусов, проникающих на ваш компьютер посредством электронной почты.
Одна из основных задач, которая ставилась перед разработчиками Panda Antivirus Titanium, заключалась в создании продукта для домашних пользователей, обладающего максимально дружественным интерфейсом, основанном на принципе «включил и забыл».
Panda Antivirus Titanium производит обновления в фоновом режиме без запроса к пользователю. Каждый раз, когда вы подключаетесь к Интернету, программа автоматически производит обновление антивирусных баз данных.
Новый высокоскоростной антивирусный «движок» - new UltraFast virus scan engine - один из наиболее быстрых и экономичных на рынке.
Программа дает возможность избежать неприятных сюрпризов при работе с почтой или при скачивании Интернет-файлов. Технология Panda Antivirus Titanium позволяет обнаружить и удалить вирус в почтовом послании до того, как вы его откроете, так что вирус не сможет проникнуть на ваш компьютер. Panda Antivirus Titanium работает с большинством наиболее распространенных почтовых клиентов, доступных сегодня на рынке: Microsoft Outlook, Outlook Express, Eudora, Pegasus, MSN Mail, Netscape Mail.
Многие современные вирусы не только инфицируют файлы, но и изменяют параметры операционной системы. Panda Antivirus Titanium обладает собственной технологией SmartClean technology, позволяющей исправлять даже серьезные повреждения, нанесенные вирусом, в сложных случаях.
Наличие клиентов из 40 стран позволяет оперативно обновлять антивирусные базы на основе вирусов, появляющихся в разных концах света.
Eset NOD32
Разработчик: Eset
Web-сайт www.nod32.com
Размер загружаемого файла 6,4 MB
URL www. nod3 2. com/download/trial. htm
Многие пользователи, привыкшие к знаменитым пакетам вроде Dr.Web, AVP или Norton AntiVirus, наверняка будут удивлены тем, что малоизвестный продукт NOD32 небольшой компании Eset уже долгое время занимает первое место в тестированиях, проводимых журналом Virus Bulletin. Вы не поверите, но эта программа несет гордый значок VB100% (означающий, что NOD32 находит и истребляет все известные "микробы") аж с мая 1998 г., когда, собственно, и началась его разработка.
Функционально NOD32 состоит из знакомых нам подругам антивирусам компонентов. Это AMON, резидентный монитор, проверяющий память и открытые файлы, EMON - сканер электронной почты, NOD32 - классическая "ищейка”, которая запускается пользователем вручную или по расписанию, и IMON - анализатор сетевого трафика, проверяющий http, ftp, smtp и другие winsock-протоколы. По большому счету, сам исполняемый файл NOD32 вам даже не потребуется - три совершенных сканера призваны не допустить вирусы и другую "заразу" на ваш персональный компьютер.
Естественно, NOD32 имеет в своем составе и эвристический анализатор для обнаружения ранее неизвестных вирусов - это должно помочь пользователю справиться с недавно появившимися творениями хакеров. Весьма полезно, если учесть, что современные компьютерные эпидемии в течение нескольких часов могут охватить огромное количество ПК по всему миру. Также NOD32 способен бороться с надоедливыми макровирусами, обнаруживать заразу в архивах,
включая защищенные паролями, и помещать неизлечиваемые файлы в карантин так, что их случайный запуск становится невозможным. При необходимости NOD32 может информировать системного администратора о появлении вирусов письмом или SMS-сообщением.
Стоит отметить и еще одно немаловажное преимущество данной программы - сравнительно небольшой объем загружаемого файла и довольно высокое быстродействие антивирусного сканера - весьма полезное качество, особенно если принять во внимание размеры современных жестких дисков.
Единственным недостатком этой программы можно считать только интерфейс - он явно ориентирован на продвинутого пользователя, и новичкам будет не очень просто в нем разобраться. С другой стороны, все необходимые настройки программа делает сама, так что пользователю остается лишь установить NOD32 и периодически обновлять базы данных вирусов.
Grisoft AVG 7.0/AVG 6.0 Free Edition
Разработчик Grisoft.
Web-сайт www.grisoft.com.
Размер загружаемого файла 8 MB.
Главным достоинством этого антивируса в глазах отечественного пользователя является наличие полнофункциональной бесплатной версии, мало в чем уступающей коммерческой. К его услугам: собственно сканер, резидентный сторож, модуль проверки e-mail, простенький планировщик и функция автоматического обновления. "Халявщики" будут ограничены "всего лишь" в технической поддержке и создании более сложных заданий для планировщика, что, в общем-то, терпимо. Еще один минус бесплатной версии AVG в том, что она построена на старом движке 6.0 и обновляется в последнюю очередь. Но вы ведь и не рассчитывали на что-то более солидное, не так ли? Главное, что о тестированиях Virus Bulletin компания Grisoft не забывает, а значит, действительно заботится о максимальной безопасности пользователей своих продуктов.
UNA Украинский Национальный Антивирус
На самом деле главным и единственным плюсом этой программы перед другими разработками стоит считать ее отечественное происхождение. Как следует из названия, UNA создан в Украине украинскими же специалистами - и можно построить свое отношение к нему в зависимости от доверия к нашим программистам. Однако сложно как-то оценивать этот продукт: не имея результатов тестирования Virus Bulletin, сказать что-либо об эффективности защиты UNA затруднительно. Внешне же все выглядит весьма прилично - сканер, монитор, возможность подключения к почтовым клиентам, автоматизированное обновление через Internet. Разработчики утверждают, что UNA попадет в тесты VB в самое ближайшее время - только после этого, пожалуй, можно будет делать какие-то выводы о целесообразности его применения.
2 Что такое вирус? Компьютерный вирус – это программа, которая при запуске способна распространяться без участия человека. Признаки заражения: замедление работы компьютера перезагрузка или зависание компьютера неправильная работа ОС или прикладных программ изменение длины файлов появление новых файлов уменьшение объема оперативной памяти рассылка сообщений без ведома автора
4 Что заражают вирусы? Вирусы программы – *. exe, *. com загрузочные сектора дисков и дискет командные файлы – *.bat драйверы – *. sys библиотеки – *. dll документы с макросами – *.doc, *.xls, *.mdb Web-страницы со скриптами программы – *. exe, *. com загрузочные сектора дисков и дискет командные файлы – *.bat драйверы – *. sys библиотеки – *. dll документы с макросами – *.doc, *.xls, *.mdb Web-страницы со скриптами заражают не заражают текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) любые данные (без программного кода) текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) любые данные (без программного кода) Для того, чтобы вирус смог выполнить какие-то действия, он должен оказаться в памяти в виде программного кода и получить управление.
5 Способы заражения запустить зараженный файл; загрузить компьютер с зараженной дискеты или диска; при автозапуске CD(DVD)-диска или флэш- диска; открыть зараженный документ с макросами (Word или Excel); открыть сообщение с вирусом; открыть Web-страницу с вирусом; разрешить установить активное содержимое на Web-странице.
6 Классические вирусы Файловые – заражают файлы *.exe, *.sys, *.dll (редко – внедряются в тексты программ). Загрузочные (бутовые, от англ. boot – загрузка) – заражают загрузочные сектора дисков и дискет, при загрузке сразу оказываются в памяти и получают управление. Полиморфные – при каждом новом заражении немного меняют свой код. Макровирусы – заражают документы с макросами (*.doc, *.xls, *.mdb). Скриптовые вирусы – скрипт (программа на языке Visual Basic Script, JavaScript, BAT, PHP) заражает командные файлы (*.bat), другие скрипты и Web- страницы (*.htm, *.html).
7 Сетевые вирусы Почтовые черви – распространяются через электронную почту в виде приложения к письму или ссылки на вирус в Интернете; рассылают себя по всем обнаруженным адресам Сетевые черви – проникают на компьютер через «дыры» в системе, могут копировать себя в папки, открытые для записи (сканирование – поиск уязвимых компьютеров в сети) IRC-черви, IM-черви – распространяются через IRC-чаты и интернет-пейджеры (ICQ, AOL, Windows Messenger, MSN Messenger) P2P-черви – распространяются через файлообменные сети P2P (peer-to-peer) распространяются через компьютерные сети, используют «дыры» – ошибки в защите Windows, Internet Explorer, Outlook и др. Наиболее активны – более 90%! !
8 Троянские программы Backdoor – программы удаленного администрирования воровство паролей (доступ в Интернет, к почтовым ящикам, к платежным системам) шпионы (введенный с клавиатуры текст, снимки экрана, список программ, характеристики компьютера, промышленный шпионаж) DOS-атаки (англ. Denial Of Service – отказ в обслуживании) – массовые атаки на сайты по команде, сервер не справляется с нагрузкой прокси-сервера – используются для массовой рассылки рекламы (спама) загрузчики (англ. downloader) – после заражения скачивают на компьютер другие вредоносные программы позволяют получать управление удаленным компьютером, распространяются через компьютерные сети, часто при установке других программ (зараженные инсталляторы)
9 Антивирусы-сканеры умеют находить и лечить известные им вирусы в памяти и на диске; используют базы данных вирусов; ежедневное обновление баз данных через Интернет. лечат известные им вирусы не могут предотвратить заражение чаще всего не могут обнаружить и вылечить неизвестный вирус
10 Антивирусы-мониторы постоянно находятся в памяти в активном состоянии непрерывное наблюдение блокируют вирус в момент заражения могут бороться с неизвестными вирусами замедление работы компьютера в случае ошибки ОС может выйти из строя перехватывают действия, характерные для вирусов и блокируют их (форматирование диска, замена системных файлов); блокируют атаки через Интернет; проверяют запускаемые и загружаемые в память файлы (например, документы Word); проверяют сообщения электронной почты; проверяют Web-страницы; проверяют сообщения ICQ
Компьютерные мифы Любой вирус способен убить компьютер 18% Вирусы могут распространятся с любыми файлами 65% Вирусы могут заражать электронные письма 100% Заражение компьютера наступает в момент появления в нем хотя бы одного экземпляра вируса 74% Наличие в компьютере любых антивирусных программ – гарантированная защита от вирусов 35%
В конце 60-х годов в компьютерах исследовательских центров в США появились первые программы – вирусы. 70-е годы – «классические» вирусы –программы, способные к размножению. Начало 80-х годов – сотни активных вирусов Конец 80-х годов – первые эпидемии компьютерных вирусов
Двадцатка наиболее распространенных вредоносных программ 1.I-Worm.Klez 2.I-Worm.Sobig 3.I-Worm.Lentin 4.I-Worm.Avron 5.Macro.Word97. Thus 6.I-Worm.Tanatos 7.Macro.Word97. Marker 8.Worm.Win32. Opasoft 9.Worm.Hybris 10.Win95. CIH 11.Worm.Win32. Randon 12.VBS.Redlof 13.Backdoor.Death 14.Win95. Spaces 15.I-Worm.Roron 16.Trojan.PSW.Gip 17.Backdoor.NetDevil 18.Win32.HLLP.Hantaner 19.TrojanDropper.Win32. De lf 20.TrojanDropper.Win32. Ya binder
Из истории Всемирная эпидемия заражения почтовым вирусом началась 5 мая 2000 года, когда десятки миллионов компьютеров, подключенных к глобальной компьютерной сети Интернет, получили почтовое сообщение с привлекательным названием ILOVEYOU (англ. «Я люблю тебя»). Сообщение содержало вложенный файл, являющийся вирусом. После прочтения этого сообщения получателем вирус заражал компьютер и начинал разрушать файловую систему.
Кто создаёт вирусы? Вирусы пишутся опытными программистами или студентами просто из любопытства или для отместки кому-либо или предприятию, которое обошлось с ними недостойным образом или в коммерческих целях или в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан. Следует заметить, что написание вируса не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы. И многие из них сделаны в нашей стране.
19 Антивирусные программы AVP = Antiviral Toolkit Pro (www.avp.ru) – Е. Касперскийwww.avp.ru DrWeb (www.drweb.com) – И. Даниловwww.drweb.com Norton Antivirus (www.symantec.com)www.symantec.com McAfee (www.mcafee.ru)www.mcafee.ru NOD32 (www.eset.com)www.eset.com Условно-бесплатные: Бесплатные: Avast Home (www.avast.com)www.avast.com Antivir Personal (free-av.com)free-av.com AVG Free (free.grisoft.com)free.grisoft.com Есть бесплатные пробные версии! !
Для периодической проверки компьютера используются антивирусные сканеры, которые после запуска проверяют файлы и оперативную память на наличие вирусов и обеспечивают нейтрализацию вирусов. Антивирусные сторожа (мониторы) постоянно находятся в оперативной памяти компьютера и обеспечивают проверку файлов в процессе их загрузки в оперативную память.
23 Антивирус Касперского Файловый антивирус (проверка файлов в момент обращения к ним) Почтовый антивирус (проверка входящих и выходящих сообщений) Веб-антивирус (Интернет, проверка Web-страниц) Проактивная защита (попытки обнаружить неизвестные вредоносные программы): слежение за реестром проверка критических файлов сигналы о «подозрительных» обращениях к памяти Анти-шпион (борьба с Интернет-мошенничеством) Анти-хакер (обнаружение сетевых атак) Анти-спам (фильтр входящей почты)
28 Другие виды антивирусной защиты брандмауэры (файерволы, сетевые экраны) блокируют «лишние» обращения в сеть и запросы из сети аппаратные антивирусы защита от изменения загрузочного сектора запрет на выполнение кода из области данных аппаратный брандмауэр ZyWALL UTM (ZyXEL и Лаборатории Касперского) онлайновые (on-line) антивирусы устанавливают на компьютер модуль ActiveX, который проверяет файлы… или файл пересылается на сайт разработчика антивирусов чаще всего не умеют лечить, предлагает купить антивирус-доктор
29 Профилактика делать резервные копии важных данных на CD и DVD (раз в месяц? в неделю?) использовать антивирус-монитор, особенно при работе в Интернете при работе в Интернете включать брандмауэр (англ. firewall) – эта программа запрещает обмен по некоторым каналам связи, которые используют вирусы проверять с помощью антивируса-доктора все новые программы и файлы, дискеты не открывать сообщения с неизвестных адресов, особенно файлы-приложения иметь загрузочный диск с антивирусом
30 Если компьютер заражен… Отключить компьютер от сети. Запустить антивирус. Если не помогает, то… выключить компьютер и загрузить его с загрузочного диска (дискеты, CD, DVD). Запустить антивирус. Если не помогает, то… удалить Windows и установить ее заново. Если не помогает, то… отформатировать винчестер (format.com). Если сделать это не удается, то могла быть испорчена таблица разделов диска. Тогда … создать заново таблицу разделов (fdisk.exe). Если не удается (винчестер не обнаружен), то… можно нести компьютер в ремонт.
Заключение В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов в соблюдении профилактических мер предосторожности при работе на компьютере. Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность. Пользуясь аналогией Касперского, незнание правил дорожного движения. Люди, недавно научившиеся принимать и отправлять почту, демонизируют компьютерные вирусы, чуть ли не представляя их себе в виде невидимых черных червячков, ползающих по проводам.
Вот несколько простых правил, соблюдая которые можно постараться избежать заражение вирусами. Первое: не боятся компьютерных вирусов, все они лечатся. Второе: перевести Microsoft Outlook в режим функционирования в зоне ограниченных узлов, что запретит ей автоматическое выполнение некоторых программ – основной принцип размножения компьютерных вирусов. Третье: не открывайте письма от подозри- тельных адресатов. Четвертое: использовать свежий антивирус.
Любой вирус способен убить компьютер? Вирусы могут распространятся с любыми файлами? Вирусы могут заражать электронные письма? Заражение компьютера наступает в момент появления в нем хотя бы одного экземпляра вируса? Наличие в компьютере любых антивирусных программ – гарантированная защита от вирусов? Когда появились первые компьютерные вирусы? Какие функции выполняли первые компьютерные вирусы? Какие функции может выполнять компьютерный вирус? Где можно найти перечень всех известных науке компьютерных вирусов? Какие группы компьютерных вирусов существуют, чем они характеризуются, как с ними бороться?
Домашнее задание: § вопросы: 1. К каким последствиям может привести заражение компьютерными вирусами? 2. Почему даже чистая отформатированная дискета может стать источником заражения вирусом?
