Соколов Роман

Реферат по информатике "Компьютерные вирусы и борьба с ними".

Скачать:

Предварительный просмотр:

МУ Управление образования Администрации Зырянского района

МОУ Цыгановская основная общеобразовательная школа

Районная научно – практическая конференция

Школьников «Планета – 3000»

(Реферат по информатике)

Выполнил: Соколов Роман Юрьевич, ученик

9 класса МОУ ЦООШ

Руководитель: Соколова Надежда Ивановна,

Учитель информатики МОУ Цыгановская ООШ

С. Цыганово

Стр.

1. Введение ………………………………………………………………………….. 1

2. Что такое вирус?................................................................................................. 2 – 4

3. Откуда же берутся Компьютерные вирусы? ……………………………… 5

4. Преступность в сфере компьютерных технологий. ………………………. 5 – 6

5. Признаки появления вирусов…………………………………………… 6

6. Немного истории …………………………………………………………… 6

7. Классификация вирусов. …………………………………………………… 7 – 9

8. Профилактика ……………………………………………………………… 9

9. Антивирусные программы …………………………………………………. 10 – 11

10. Заключение ………………………………………………………………….. 11

11. Используемые материалы ……………………………………………………12

Цель:

Исследовать «механизм работы» компьютерных вирусов.

Задачи:

• Углубить знания о компьютерных вирусах;
• Выявить признаки появления вирусов их классификация;
• Научиться систематизировать и правильно использовать полученную информацию.
• Совершенствовать навыки работы с Антивирусными программами.

1. Введение

Для своей работы по информатике я выбрал тему ” Компьютерные вирусы и борьба с ними”. Потому что, будучи «чайником» мне пришлось ни раз бороться с вирусами на своем ПК. Эта тема до боли близка – ей я и хочу посвятить свою работу.
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему уже написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Как и в случае обычной простуды, компьютер, атакованный вирусом, начинает проявлять болезненные симптомы. Заражение человека вирусом приводит к замедлению реакции, изменению веса, общей слабости, болевым ощущениям, частичной или полной амнезии и даже смерти. При инфицировании вирусом компьютеры проявляют аналогичные симптомы: замедленное выполнение программ по сравнению с обычным, необъяснимые изменения в размере файлов, необычные и частые сообщения об ошибках, потеря или изменения данных и полный крах системы. Некоторые относительно безвредные компьютерные вирусы тиражируются, но не делают ничего ужасного. Эти вирусы могут, выдавать на экран ошибочное сообщение. Однако в некоторых случаях вирус, атаковавший, скажем, больничную систему жизнеобеспечения и выдавший некорректное сообщение, может иметь фатальные последствия. Кроме того, вирусы способны нанести серьезный ущерб системе, например стереть всю информацию с жесткого диска.

2. Что такое вирус?

Один из известных ”докторов” Д.Н Лозинский дал определение вируса на примере клерка.
Представим себе аккуратного секретаря, который приходит на работу к себе в офис и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Он берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает «отработанный» лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в офис и подкладывает в стопку бумаг лист, на котором написано следующее:«Переписать этот лист два раза и положить копии в стопку заданий соседей» Что сделает секретарь? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными работниками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим. Итого, в офисе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы.
Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а секретарями - компьютер. Так же как и секретарь, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как «скопируй меня в две другие программы», то компьютер так и сделает, и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других «зараженных» программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру. В приведенном выше примере про секретаря и офис лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня офис будет завалена такими копиями, а секретари только и будут что переписывать один и тот же текст и раздавать его соседям - ведь первый сделает две копии, очередные жертвы вируса - уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза. Если служащий на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет «бродить» более 1.000.000.000.000.000.000 копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине. Как это ни смешно (хотя участникам этого инцидента было совсем не смешно), именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Поэтому «правильные» вирусы делают так: Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа». Проблема решена - «перенаселения» нет, но каждая стопка содержит по копии вируса, при этом секретарь еще успевают справляться и с обычной работой. «А как же уничтожение данных?» - спросите Вы. Все очень просто - достаточно дописать на лист примерно следующее: «1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь - если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину». Примерно это и выполняет хорошо известный вирус «Jerusalem» (другое название - Тime»). Кстати, на этом примере очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все служащие имеют одинаковые (с точностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давно в корзине.

Компьютерные вирусы – это программы, которые умеют воспроизводить себя в нескольких экземплярах, возможно, приписываясь к другим программам, и, возможно, совершать некоторые побочные действия. Это определение дается, скорее, на интуитивном уровне, поскольку строгого определения компьютерного вируса пока не существует.
*Первой из причин, не позволяющих дать точное определение вирусу, является невозможность однозначно выделить отличительные признаки, которые соответствовали бы только вирусам.

*Второй же трудностью, возникающей при формулировке определения компьютерного вируса, является то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционные системы, в которых наличие вируса просто невозможно. Таким примером может служить система, где запрещено создавать и изменять области выполняемого кода, т.е. запрещено изменять объекты, которые либо уже выполняются, либо могут выполняться системой при каких-либо условиях.
Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность являлась вирусом. Обязательным свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить, что это условие не является достаточным (т.е. окончательным), поскольку на пример, операционная система MS-DOS удовлетворяет данному свойству, но вирусом не является. Вот почему точного определения вируса до сих пор нет, и вряд ли оно появится в обозримом будущем. Следовательно, нет точно определенного закона, по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет.

3. Откуда же берутся компьютерные вирусы?

Напоминаю, что в отличие от биологических вирусов компьютерные вирусы создаются человеком. Авторы вирусов своими "произведениями" приносят массу вреда пользователям компьютеров. Они могут вызвать сбои в работе компьютеров или даже полную потерю данных на жестком диске. Вирус может проникнуть в систему одним из нескольких возможных путей: дискета, CD-ROM производителя ПО, сетевой интерфейс или модемное соединение, глобальная сеть Internet при получении электронной почты.
Вирусы проникают в компьютер с дискет, через модемы и по сетевым соединениям.
Исторически дискета - это наиболее распространенный носитель вирусов, главным образом из-за того, что они использовались для переноса информации с одного компьютера на другой. Заразить дискету гораздо проще. На нее вирус может попасть, если вы просто вставили дискету в дисковод зараженного компьютера и, например, прочитали ее оглавление. Ситуация здесь та же, что и с вирусом СПИДа - чем больше число партнеров, с которыми вы обмениваетесь программами (дискетами), тем выше вероятность заражения. Однако этим пути проникновения вирусов в систему далеко не исчерпываются. У той простоты, с которой Интернет позволяет обмениваться информацией, есть и обратная сторона: из-за нее Интернет стал благоприятной средой для распространения компьютерных вирусов и других вредоносных программ. Конечно, далеко не каждая программа или документ, скаченные из Интернета или присланные Вам по электронной почте, содержат в себе вирусы. Дорожащие репутацией операторы досок объявлений и системные операторы интерактивных служб производят сканирование новых файлов на наличие вирусов, прежде чем сделать их доступными публике, однако никогда нельзя быть уверенным, что полученные файлы проверены. Каждому, кто работает в Интернете, совершенно необходима хорошая антивирусная защита.
Но в первую очередь, это касается тенденции приобретения вирусами функции распространения по электронной почте. Согласно статистике службы технической поддержки "Лаборатории Касперского", около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Таким образом, по сравнению с 1999 г., рост числа подобных инцидентов составил около 70%. В этой связи "Лаборатория Касперского" еще раз отмечает важность установки надежной системы антивирусной защиты для электронной почты.
Переключение внимания создателей вирусов на электронную почту вполне закономерно. Как показывает практика, больше всего вредоносных программ создается для тех операционных систем, приложений, технологий передачи данных, которые имеют наибольшую популярность. Сегодня электронная почта является де-факто стандартом как делового, так и неформального общения. Сотни миллионов людей по всему миру не представляют нормального бизнеса без этого способа коммуникации с партнерами. Это и предопределило ориентацию создателей вирусов на электронную почту.

4. Преступность в сфере компьютерных технологий.

Во многих странах действуют законодательные меры по борьбе с компьютерными преступлениями и злоумышленными действиями, разрабатываются антивирусные программные средства, однако количество новых программных вирусов возрастает. Лиц, использующих свои знания и опыт для несанкционированного доступа к информационным и вычислительным ресурсам, к получению конфиденциальной и секретной информации, к совершению вредоносных действий, в литературе называют хакерами и кракерами. Действия хакеров, или компьютерных хулиганов, могут наносить существенный вред владельцам компьютеров и владельцам (создателям) информационных ресурсов, так как приводят к простоям компьютеров, необходимости восстановления испорченных данных либо к дискредитации юридических или физических лиц, например, путем искажения информации на электронных досках объявлений или на WEB-серверах в Интернет. Мотивы действий компьютерных злоумышленников самые различные: стремление к финансовым приобретениям; желание навредить и отомстить руководителю организации, из которой по тем или иным причинам уволился сотрудник; психологические черты человека (зависть, тщеславие, желание как-то проявить себя, просто хулиганство и др.).

5. Признаки появления вирусов.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• медленная работа компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количества файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

6. Немного истории

Поговорим о новейшей истории: «Brain», «Vienna», «Cascade» и далее. Те, кто начал работать на IBM-PC аж в середине 80-х, еще не забыли повальную эпидемию этих вирусов в 1987-89 годах. Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн «Yankee Doodle», но чинить динамики уже никто не бросился - очень быстро разобрались, что это - вирус, да не один, а целый десяток.
Так вирусы начали заражать файлы. Вирус «Brain» и скачущий по экрану шарик вируса «Pingpong» ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM-PC, и - появились противоядия. Одним из первых антивирусов был отечественный ANTI-KOT: это легендарный Олег Котик выпустил в свет первые версии своей программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стране несколько позднее). К сожалению, ANTI-KOT определяет вирус «Time» («Иерусалимский») по комбинации «MsDos» в конце файла, а некоторые другие антивирусы эти самые буквы аккуратно прицепляют ко всем файлам с расширением COM или EXE. Следует обратить внимание на то, что истории завоевания вирусами России и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе был загрузочный вирус «Brain», и только потом появились файловые вирусы «Vienna» и «Cascade». В России же наоборот, сначала появились файловые вирусы, а годом позже - загрузочные. Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним из первых «откровений» стал вирус «Frodo.4096» - один из первых из известных файловых вирусов-невидимок (стелс). Этот вирус перехватывал INT 21h и, при обращении через DOS к зараженным файлам, изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Но этовируса над MS-DOS. Не прошло и года, как электронные тараканы полезли внутрь ядра DOS (вирус-невидимка «Beast.512»). Идея невидимости продолжала приносить свой плоды и далее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус «Dir_П». Но бороться с невидимками было довольно просто: почистил RAM - и будь спокоен, ищи гада и лечи его на здоровье. Но больше хлопот доставляли самошифрующиеся вирусы, которые иногда встречались в очередных поступлениях в коллекции. Ведь для их идентификации и удаления приходилось писать специальные подпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока... Пока не появились вирусы нового поколения, те, которые носят название полиморфик-вирусы. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов.

7. Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

• среде обитания;
• способу заражения среды обитания;
• воздействию;
• особенностям алгоритма.

В зависимости от среды обитания вирусы можно разделить на:

• сетевые;
• файловые;
• загрузочные;
• файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. По способу заражения вирусы делятся на:

• резидентные;
• нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. По степени воздействия вирусы можно разделить на следующие виды:

• неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
• опасные вирусы, которые могут привести к различным нарушениям в работе компьютера очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритмов выделяют следующие группы вирусов:

8. Профилактика

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастите свой компьютер современными антивирусными программами, например AntiViral Toolkit Pro, Doctor Web, и постоянно возобновляйте их версии
• перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера
• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами
• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты
• всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации
• обязательно делайте архивные копии на дискетах ценной для вас информации
• не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами
• используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей
• проверяйте e-mail даже если письмо пришло от хорошо известного вам человека (это обусловлено не тем что он хочет вам навредить а из-за того что он полный Lamer а его комп заражён).

Так же следует иногда проверять автозагрузку, т.к. именно туда обычно закидывают загрузочные вирусы, но этот метод очень распространён и по этому следует проверять в реестре следующую папку:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

9. Антивирусные программы.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными . Различают следующие виды антивирусных программ:

• программы-детекторы;
• программы-доктора или фаги;
• программы-ревизоры; программы-фильтры;
• программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web, программа AVP Касперского . Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf. Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями COM, EXE; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время. Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Следует отметить, программа - детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы). Например программа AVP Касперского способна обнаружить на 10 Февраля 2000 года 33556 вирусов. Ниже приведено диалоговое окно этой антивирусной программы. Все в ней отличается удобным и понятным интерфейсом. Программа выполнена для операционной системы Windows"95/"98/NT/3.11, что позволяет ей работать параллельно с другими приложениями. Некоторые программы, такие как Dr.Web , могут с помощью эвристического анализа находить модифицированные вирусы. Ниже приведено диалоговое окно антивирусной программы Dr.Web. Программа написана под операционную систему MS DOS. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Наиболее традиционным методом поиска вирусов является сканирование. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами. Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ. Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

10. Заключение.

Компьютерный вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.
В настоящее время известно более 50000 программных вирусов, число которых непрерывно растет. Известны случаи, когда создавались учебные пособия, помогающие в написании вирусов. Основные виды вирусов: загрузочные, файловые, файлово-загрузочные. Наиболее опасный вид вирусов - полиморфные. Из истории компьютерной вирусологии ясно, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы. Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой стороны - с отсутствием средств защиты у операционной системы. Основные пути проникновения вирусов - съемные диски и компьютерные сети. Чтобы этого не случилось, соблюдайте меры по защите. Также для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, называемых антивирусными.
Но некоторые свойства вирусов озадачивают даже специалистов. Еще совсем недавно трудно было себе представить, что вирус может пережить холодную перезагрузку или распространяться через файлы документов. В таких условиях нельзя не придавать значение хотя бы начальному антивирусному образованию пользователей. При всей серьезности проблемы ни один вирус не способен принести столько вреда, сколько начинающий пользователь компьютером.

11. Используемые материалы:

1. Учебник «Информатика», А.П.Алексеев, Москва «Солон-р», 2002 год.
2. Пособие «Microsoft Office», Э.М.Берлинер, Москва ABF, 1997 год.
3. Материалы из Интернет.
4. Левин А. Самоучитель работы на компьютере М,: "НОЛИДЖ" 2000.

Предварительный просмотр:

Чтобы пользоваться предварительным просмотром презентаций создайте себе аккаунт (учетную запись) Google и войдите в него:

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное агентство морского и речного транспорта

Федеральное государственное образовательное учреждение

высшего профессионального образования

"Санкт-Петербургский государственный

университет водных коммуникаций"

Кафедра "Прикладная информатика в экономике"

Р еферат

на тему " Борьба с компьютерными вирусами "

Выполнил Аполлонов А.М.

Проверил преподаватель Мальцева И.И.

Санкт-Петербург 2009

В ведение

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Требования к антивирусным программам достаточно противоречивы. С одной стороны, пользователи хотят иметь надежную, мощную антивирусную защиту. С другой стороны, они хотят, чтобы эта защита не требовала от пользователя много времени и сил. И это вполне естественные требования.

К омпьютерные вирусы

Что такое компьютерный вирус?

Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии. вирус компьютер программа

Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу - какое угодно изменение не- программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.

Однако, позднее злоумышленники добились, что вирусным поведением может обладать не только исполняемый код, содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel.

Некоторое время спустя взломщики создали вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем обычные данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т.д.) специального кода, использующего уязвимости программного обеспечения.

Ныне существует немало разновидностей вирусов, различающихся по способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ: руткитов, бэкдоров (создают "чёрный ход" в систему), кейлоггеров (регистрация активности пользователей), программ-шпионов (крадут пароли от банковских счётов и номера кредитных карт), ботнетов (превращают заражённые компьютеры в станции по рассылке спама или в часть компьютерных сетей, занимающихся спамом и прочей противоправной активностью).

Создание и распространение компьютерных вирусов и вредоносных программ преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены обычным вирусом, он может их только испортить. Заражение подобных файлов делается только Макро-вирусами. Эти вирусы могут заразить даже ваши документы.

Обычным вирусом могут быть заражены (таблица 1):

Виды вирусов Таблица 1

	Характеристика
Исполняемые файлы	Файлы с расширениями имен.com и.exe, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполняемых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те вирусы, которые после своего запуска остаются в памяти резидентно - они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнет свою работу
Загрузчик операционной системы и главная загрузочная запись жесткого диска	Вирусы, поражающие эти области, называются загрузочными или BOOT-вирусами. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентными, т.е. постоянно находится в памяти компьютера. Механизм распространения - заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целиком программу вируса. Часть вируса располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных)
Драйверы устройств	Файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся в них начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS (MSDOS.SYS и IO.SYS) - их заражение также теоретически возможно, но для распространения вируса малоэффективно

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.

Классификация вирусов

Вирусы можно делить на классы по разным признакам. Вот, например, по признаку вероломности:

· вирусы, моментально поражающие компьютер, форматируют жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash-ПЗУ (где находится BIOS) компьютера (вирус "Чернобыль"), другими словами, как можно быстрее наносят непоправимый урон компьютеру. Сюда же можно отнести и результаты обид программистов, пишущих вирусы, на антивирусные программы. Имеются в виду так называемые аллергии на определенные антивирусные программы. Эти вирусы достаточно вероломны. Вот, например, аллергия на Dr.Weber при вызове этой программы, не долго думая, блокирует антивирус, портит все, что находится в директории с антивирусом и C:\WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами.

· вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя, свое присутствие и производят подмену стартовых областей программ на ссылки к месту, где расположено тело вируса. Кроме этого они производят незаметное для пользователя изменение структуры диска, что даст о себе знать, только когда некоторые данные уже будут безнадежно утеряны (например, вирус "OneHalf-3544","Yankey-2C").

По признаку способов передачи и размножения тоже можно провести разделение.

Раньше вирусы в основном поражали только исполняемые файлы (с расширениями.com и.exe). Действительно, ведь вирус это программа и она должна выполняться.

Теперь вирусы отправляют электронной почтой как демонстрационные программки или как картинки, например, если по электронной почте пришел файл "PicturesForYou.jpg", не спешите его смотреть, тем более что он пришел неизвестно откуда. Если посмотреть на название повнимательнее, то окажется, что оно имеет еще 42 пробела и действительное расширение.exe. То есть реально полное имя файла будет таким:

"PicturesForYou.jpg .exe". Теперь любому понятно, что на самом деле несет в себе эта картинка. Это не файл рисунка, который при активизации вызывает просмотрщик рисунков, а наглый чуточку завуалированный вирус, который только и ждет когда его активизируют щелчком мыши или нажатием клавиши. Такой вирус вы сами загружаете себе на компьютер, под оболочкой какой-нибудь картинки, как "Троянского коня". Отсюда и жаргонное название таких вирусов как "Трояны".

На данный момент существуют такие оболочки информационных каналов как Internet Explorer, Outlook Express, Microsoft Office. Сейчас появились немногочисленные классы так называемых "Макро-вирусов". Они содержат скрытые команды для данных оболочек, которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате: .html, .htm - для Internet Explorer, .doc, .xls, .xlw, .txt, .prt, или любой другой - для Microsoft Office и т. д.. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но все же этот вид вирусов заслуживает внимания, ведь с помощью скрытых гиперссылок он способен самостоятельно загрузить из Интернета на ваш компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов. Вот, например, одним из японских студентов разработан именно такой вирус, который подключает небольшой "загрузчик" к любому формату входных данных из Интернета. Далее этот загрузчик самостоятельно скачивает из Интернета с сервера с IP-адресом Babilon5 тела вируса. Этих тел четыре. Каждая из них способна самостоятельно разрушать ваш компьютер, но имеет определенное назначение. Этот вирус по типу является гибридом между макро-вирусами и обычными вирусами. Но надо отметить, что именно гибриды являются наиболее живучими, хитрыми, опасными и многочисленными среди вирусов. Совсем недавно нашумел скандал о программисте, который, как утверждают эксперты, создал и начал распространение макро-вируса, заражавшего текстовые файлы для Microsoft Word. Его вычислили по дате и времени создания исходного документа, которое хранится в невидимых частях.doc файлов. Возможно, что файл был создан другим человеком до того, как к нему был приделан вирус, тогда вопрос о злоумышленнике остается открытым. Но эксперты утверждают, что это именно он.

Например, вирус Win32.HLLM.Klez. один из разновидностей опасного сетевого червя распространяется путем рассылки своих копий по электронной почте. Кроме того, этот червь может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи. Попадая в систему, червь рассылает себя по адресам, найденным в адресной книге Windows, в базе данных ICQ и в локальных файлах. Зараженные письма, рассылаемые данным червем, используют одну из сравнительно давно известных ошибок в системе безопасности Internet Explorer, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запуститься при простом просмотре почты в программах Outlook и Outlook Express.

Попробуем рассмотреть способы маскировок и защит, применяемых вирусами против нас рядовых пользователей и антивирусных программ.

Вероломность - это основной и самый быстрый способ сделать пакость до обнаружения. Вирус "Чернобыль", например, полностью стирает BIOS (стартовую программу, расположенную в микросхеме ПЗУ, обеспечивающую работу компьютера). После такого компьютер вообще ничего не сможет выдать на экран. Но его работа легко блокируется, если внутри компьютера установлен переключатель, запрещающий писать в область ПЗУ. Поэтому это был первый, но и, как я думаю, последний представитель аппаратных вирусов.

Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа - антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.

Хитрые вирусы прячутся не только от нас, но и от антивирусных программ. Эти "хамелеоны" изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как "Dr.Weber", способны с помощью, так называемого эвристического анализа обнаруживать и обезвреживать и подобные вирусы.

"Невидимые" вирусы чтобы предотвратить свое обнаружение применяют так называемый метод "Stelth". Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы могут обнаруживать вирусы - "невидимки" даже на зараженных компьютерах.

Сетевой червь "Randon" появился в марте 2003 года. Распространятся по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows2000 и Windows XP. Для проникновения на компьютер он подключается к локальной сети или IRC-серверу, сканирует находящийся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы "Random" пересылает на нее троянскую программу "Apher", которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя. После этого "Randon" устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл. Для сокрытия присутствия в памяти использует специальную утилиту "HideWindows", которая также является компонентом червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс "Randon" можно обнаруживать только в диспетчере задач Windows. Его побочные эффекты - создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов.

По данным "Лаборатории Касперского", одним из ведущих разработчиков антивирусных программ, представляет обзор вирусной активности за март 2003г. (таблица 2 и рисунок 1)

Двадцатка распространённых вредоносных программ таблица 2

Название	Доля в общем числе вирусных инцидентов (%)
3. I-Worm.Lentin
5. Macro.Word97.Thus
6. I-Worm.Tanatos
8. Worm.Win32.Opasoft
9. I-Worm.Hybris
11. Worm.Win32.Randon
13. Backdoor.Death
14. Win95.Spaces
15. I-Worm.Roron
17. Backdoor.NetDevil
18. Win32.HLLP.Hantaner
Другие вредоносные программы*

*не вошедшие в 20 распространенных

Рисунок 1 Типы вредоносных программ

П рофилактика и борьба с компьютерными вирусами

Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

· Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

· профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

· специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

1. копирование информации - создание копий файлов и системных областей дисков;

2. разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов:

Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы - доктора, или фаги, "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.

Доктора - ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.

Программы - фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы - вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, "эшелонная" оборона. Опишем структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел "просочиться" через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И, наконец, в "стратегическом резерве" находятся архивные копии информации и "эталонные" дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

Программы - детекторы и доктора

В большинстве случаев для обнаружения вируса, заразившего компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения или уничтожения зараженных файлов.

Следует отметить, программа - детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы). Одной из таких программ является AVP Касперского. Все в ней отличается удобным и понятным интерфейсом. Программа выполнена для операционной системы Windows"95/"98/NT, что позволяет ей работать параллельно с другими приложениями. "Лаборатория Касперского" является российским лидером в области разработки систем антивирусной безопасности. Компания предлагает широкий спектр программных продуктов для обеспечения информационной безопасности: антивирусные программы, системы контроля целостности данных, комплексы защиты карманных компьютеров и электронной почты.

В конце 2002 года вышла новая версия 4.29 программ семейства Dr.Web. В сканере Dr. Web для Windows усовершенствован режим проверки стартовых файлов для платформы Windows 2000/XP, оптимизировано использование памяти для проверки архивов в режиме по формату.

Большинство программ - детекторов имеют также и функцию "доктора", т.е. они пытаются вернуть зараженные файлы и области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Профилактика против заражения вирусом

Рассмотрим некоторые меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет.

1. Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.

2. Целесообразно так же скопировать на дискеты служебную информацию вашего диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.

3. Следует устанавливать защиту от записи на архивных дискетах.

4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.

5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, "скачанные" из Интернета.

6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.

7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.

8. Используйте программы - фильтры для раннего обнаружения вирусов.

9. Периодически проверяйте диск программами -детекторами или докторами - детекторами или ревизорами для обнаружения возможных провалов в обороне.

10. Обновляйте базу антивирусных программ.

11. Не допускайте к компьютеру сомнительных пользователей.

З аключение

В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов я вижу в соблюдении профилактических мер предосторожности при работе на компьютере. А так же нужно прибегать к помощи специалистов для борьбы с компьютерным вирусом. Кроме того, даже если вирус все-таки проник на компьютер, это не повод для паники.

Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность. Пользуясь аналогией Касперского, незнание правил дорожного движения. Люди, недавно научившиеся принимать и отправлять почту, демонизируют компьютерные вирусы, чуть ли не представляя их себе в виде невидимых черных червячков, ползающих по проводам. Вот несколько простых правил, соблюдая которые можно постараться избежать заражение вирусами. Первое: не боятся компьютерных вирусов, все они лечатся. Второе: перевести Microsoft Outlook в режим функционирования в зоне ограниченных узлов, что запретит ей автоматическое выполнение некоторых программ - основной принцип размножения компьютерных вирусов. Третье: не открывайте письма от подозрительных адресатов. Четвертое: использовать свежий антивирус.

Б иблиографический список используемой литературы

1. Атака из Internet/И.Д. Медведовский, П.В. Семьянов, Д.Г. Леонов, А.В. Лукацкий - M.: Солон-Р, 2002. - 368 с.

2. Бояринов Д., Интернет скоро умрет? // Новое время, 2003, №5, с.39

3. Джимми У., Лари С.: Википедия

4. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов.- М: Солон-Р, 2002.- 458 с.

Размещено на Allbest.ru

Подобные документы

Что такое компьютерный вирус, история его зарождения. Пути проникновения вирусов в компьютер и механизм распределения таких программ. Признаки заражения компьютера и действия пользователя в данной ситуации. Методы профилактики и борьбы с вирусами.

реферат , добавлен 10.11.2010


Применение антивирусов для эффективного обнаружения вирусов на компьютере и их обезвреживания. Признаки заражения вирусами. Явные проявления троянских программ: изменение настроек браузера, всплывающие сообщения, несанкционированный дозвон в Интернет.

лабораторная работа , добавлен 13.09.2013


Появление компьютерных вирусов, их классификация. Проблема борьбы антивирусных программ с компьютерными вирусами. Проведение сравнительного анализа современных антивирусных средств: Касперского, Panda Antivirus, Nod 32, Dr. Web. Методы поиска вирусов.

курсовая работа , добавлен 27.11.2010


Разновидности компьютерных вирусов. Антивирусные программы. Стандартные программы оперативной системы Windows. Проявление наличия вируса в работе с ПЭВМ. Последствия заражения компьютера вирусами.

контрольная работа , добавлен 28.07.2004


Понятие и структура компьютерного вируса, его разновидности и принцип действия, определение степени опасности для нормальной работы компьютерных устройств. Файловые вирусы в MS DOS. Бутовые (загрузочные) вирусы. Вирусы в операционной системе Windows.

курсовая работа , добавлен 29.11.2010


Семейства и хронология операционных систем: правовая охрана программ и GNU GPL. ОС Microsoft Windows и ОС GNU/Linux. Файловая система, драйверы, вирусы, сетевые черви, троянские программы. Административные меры борьбы с вирусами, антивирусы. Архиваторы.

реферат , добавлен 17.07.2008


Признаки заражения компьютера вирусом. Особенности алгоритма работы. Троянские кони как особый класс вирусов. Методы борьбы с вредоносными программами. Общие сведения о Лаборатории Касперского. Анализ работы антивирусных программ, их разновидности.

курсовая работа , добавлен 07.06.2014


Понятие, признаки, классификация и характеристика вредоносных программ. Разнообразие компьютерных вирусов и классификация антивирусных программ. Способы и общие признаки заражения компьютера вирусом. Коммерциализация индустрии написания вирусов.

курсовая работа , добавлен 24.11.2014


Зарождение компьютерных вирусов. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ. Признаки появления вирусов. Обезвреживание вирусов. Меры профилактики. Классификация вирусов по деструктивным возможностям.

реферат , добавлен 01.12.2006


Определение и типы компьютерных вирусов, принципы их распространения. Методы борьбы с вирусами и средства обнаружения, антивирусные программы, доктора-ревизоры и их применение, программы-фильтры, вакцины в оперативной памяти компьютера и их значение.

Одной из главных причин уничтожения информации в настоящее время является распространение компьютерных вирусов.

Компьютерный вирус – это специальная компьютерная программа, как правило, небольшая по размерам, которая при своем запуске уничтожает или портит данные, хранящиеся на компьютере. Компьютерный вирус может выполнять следующие вредные действия:

· удаление или искажение файлов;

· изменение (порча) таблицы размещения файлов на диске, которая отвечает за целостность данных;

· засорение оперативной памяти и памяти диска пустой информацией;

· замедление работы компьютера или его полная остановка (зависание).

Компьютерный вирус может "приписывать" себя к другим программам, как говорят, "заражать" их. Такое "заражение" приводит к тому, что компьютерные вирусы могут самостоятельно распространяться и размножаться. Вследствие чего, большое число компьютеров может одновременно выйти из строя.

Программа, внутри которой находится вирус, называется "зараженной". Механизм действия зараженной программы следующий. Когда такая программа начинает работать, то в определенный момент управление получает вирус, который выполняет вредные действия, а затем заражает другие программы. После того как вирус выполнит свои вредные действия, он передает управление той программе, в которой находится. И эта программа продолжает работать так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и не зараженной.

Все действия вируса выполняются быстро и незаметно. Поэтому пользователю ПК бывает очень трудно заметить, что в компьютере происходит вредная работа вируса. Однако имеется ряд признаков, по которым можно сделать предположение о заражении компьютера. К ним относятся следующие:

· программы перестают работать или начинают работать неправильно (например, "виснуть", производить неправильные расчеты, терять данные и т.д.);

· на экран выводятся посторонние сообщения, символы, рисунки и т.д.;

· работа на компьютере существенно замедляется или компьютер зависает;

· происходит внезапная потеря данных на диске;

· некоторые файлы оказываются испорченными, или они полностью удаляются т. д.

При появлении таких признаков необходимо провести проверку компьютера на наличие вирусов.

Для того чтобы компьютер заразился вирусом, необходимо, чтобы этот вирус проник в компьютер. Вирус может проникнуть с помощью гибких дискет, которые используются для передачи данных между компьютерами, через локальную вычислительную сеть организации, через другие вычислительные сети (например, через Интернет).

Однако помимо проникновения вируса на компьютер существует еще одно условие заражение компьютера. Это условие заключается в том, чтобы на компьютере хотя бы один раз была выполнена программа, содержащая вирус. Поэтому непосредственное заражение компьютера вирусом может произойти в одном из следующих случаев:

· на компьютере была выполнена зараженная программа;

· компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

· на компьютере была установлена зараженная операционная система;

· на компьютере обрабатывались файлы, содержащие в своем теле зараженные макросы.

При обычном просматривании содержания гибких дискет заражения вирусом компьютера не происходит, даже если файлы на дискете заражены. Заражение компьютера произойдет только в том случае, если с дискеты будет запущена зараженная программа или открыт для просмотра зараженный файл документа (например, документ, созданный в программе Microsoft Word).

Несмотря на возможность заражения компьютера вирусом, надо знать, что вирусом могут заразиться не все файлы компьютера. Вирусной атаке подвергаются следующие компоненты файловой системы компьютера:

· исполнимые файлы, т.е. файлы с расширениями EXE , COM , BAT ;

· загрузочный сектор и главный загрузочный сектор дисков (т.е. сектора магнитных дисков, которые используются для загрузки на компьютере операционной системы);

· драйверы устройств и динамические библиотеки (обычно имеют расширение SYS и DLL) ;

· графические файлы, например, с расширением JPG ;

Текстовые файлы (с расширением TXT), файлы с растровыми рисунками (расширение BMP) и ряд других файлов, как правило, не заражаются компьютерными вирусами.

Наиболее опасны вирусы, которые после своего запуска остаются в оперативной памяти и постоянно заражают файлы компьютера до тех пор, пока он не будет выключен или перезагружен. Также опасны и те вирусы, которые заражают загрузочные сектора дисков. Так как, если будет заражен загрузочный сектор винчестера, то каждый раз при загрузке компьютера этот вирус будет вновь запускаться и заражать новые программы.

Пока неизвестны вирусы, способные выводить из строя аппаратную часть компьютера, но существуют вирусы, которые могут изменить пароль на запуск компьютера и тем самым не дать возможность приступить к работе.

Классификация компьютерных вирусов

Можно выделить три основные группы вирусов:

· файловые вирусы;

· загрузочные вирусы;

· комбинированные файлово-загрузочные вирусы.

Файловые вирусы записывают свой код в тело исполняемого (командного) файла и, соответственно, запускаются при запуске самой программы.

К файловым вирусам также можно отнести макрокомандные вирусы , которые распространяются с документами офисных приложений, таких как Microsoft Word или Microsoft Excel. Это происходит потому, что документы офисных приложений содержат в себе не только текст, таблицы, графические изображения и т.д., но и макрокоманды - программы, которые позволяют выполнять определенные действия, работая с документом. Эти макрокоманды и подвергаются атаке вирусов.

Механизм распространения макрокомандных вирусов следующий. Например, в текстовый файл с расширением DOC записывается одна или несколько вирусных макрокоманд. Когда пользователь начинает работать с данным файлом, то в определенный момент запускается макрокоманда, содержащая вирус. При этом вирус получает управление и заражает другие документы.

Загрузочные вирусы активизируются и распространяются в момент загрузки операционной системы. Объектом атаки загрузочных вирусов обычно являются загрузочная запись на дискете или главная загрузочная запись на винчестере.

Работа загрузочного вируса выглядит так. При загрузке компьютера с зараженного диска управление получает вирус, и затем загрузка операционной системы продолжается под контролем вируса, что затрудняет его обнаружение антивирусными программами. После загрузки операционной системы вирус начинает контролировать все обращения к дискам и дискетам. Как только пользователь вставляет дискету и обращается к ней, вирус заражает ее.

Файлово-загрузочные вирусы наиболее опасны и совершенны. Они используют методы распространения, характерные и для файловых, и для загрузочных вирусов. То есть при своей работе они заражают как файлы, так и загрузочные записи и активизируются либо при запуске файла, либо при загрузке с зараженного диска.

Среди вирусов можно также выделить следующие виды:

· простые вирусы;

· полиморфные вирусы;

· стелс-вирусы.

Простые вирусы представляют собой вирусы, обнаруживаемые по их коду, который они записывают в заражаемый файл. Антивирусные программы знают этот код и, проверяя файлы, определяют их зараженность по этому коду. Проблем с обнаружением таких вирусов нет.

Однако многие вирусы используют алгоритмы шифрования своего кода. Сложность обнаружения таких вирусов заключается в том, что при каждом новом заражении они изменяют свои коды. Но, так как процедура шифрования вируса все же известна, то его код все равно можно вычислить. Поэтому вслед за шифрующимися вирусами появились вирусы-мутанты или полиморфные вирусы .

От простых и шифрующихся вирусов они отличаются тем, что полностью изменяют процедуру расшифровки кода при создании каждой новой особи вируса, поэтому выделить их код невозможно и многие антивирусные программы не могут обнаружить такие вирусы. Т.е. каждый раз, когда вирус запускается, он создает аналогичный вирус, но уже с другим кодом, который и заражает файлы компьютера. Проблема распознавания таких вирусов довольно сложна, и полностью надежного решения пока не получила.

В процессе проверки компьютера антивирусные программы считывают данные с жестких дисков и находят зараженные файлы. Стелс-вирусы после своего запуска оставляют в оперативной памяти компьютера специальные модули, перехва­тывающие обращения программ к дискам компьютера. Если такой модуль обнаруживает, что некоторая программа пытается прочитать и проверить зараженный файл, то он на ходу подменяет читаемые данные и таким образом остается незамеченным, обманывая антивирусные программы.

Чтобы бороться с такими вирусами надо, при подозрении на наличие стелс-вирусов на компьютере, загрузится с системной дискеты, и провести диагностику компьютера, запустив антивирусную программу с этой дискеты.

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

Ш общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

Ш профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

Ш специализированные программы для защиты от вирусов.

Ш Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

Ш копирование информации - создание копий файлов и системных областей дисков;

Ш разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan фирмы McAfeeAssociates и AidstestД.Н.Лозинского позволяют обнаруживать около 9000 вирусов, но всего их более двадцати тысяч! Некоторые программы-детекторы, например NortonAntiVirus (см. приложение 4 рис. 4.) или AVSP фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мнение невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

Некоторые детекторы (скажем ADinf фирмы "Диалог-Наука") умеют ловить "невидимые" вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится AVSP фирмы "Диалог-МГУ".

Программы-ревизорыимеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.

Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы. Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах.

Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

Доктора-ревизоры

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е доктора-ревизоры программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.

Программы-фильтры

Существуют также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны

компьютер вирус антивирус

Тема. Компьютерные вирусы

1. Классификация компьютерных вирусов

1.1. Файловые вирусы

1.2. Загрузочные вирусы

2. Методы и средства борьбы с вирусами

3. Профилактика заражения вирусами

«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения в компьютерных системах. Вирусам свойственно изменение и уничтожение ПО или данных, хранящихся в вычислительных системах. Помимо этого, в процессе распространения вирусы могут себя модифицировать.

На сегодняшний день в мире насчитывается свыше 40 тысяч зарегистрированных компьютерных вирусов.

Компьютерные вирусы (КВ) классифицируются по следующим признакам:

Ê по среде обитания;

Ê по способу заражения;

Ê по степени опасности деструктивных (вредительских) воздействий;

Ê по алгоритму функционирования.

По среде обитания вирусы делятся на:

F сетевые;

F файловые;

F загрузочные;

F комбинированные.

Сетевые вирусы распространены как элементы компьютерных сетей.

Файловые – размещаются в исполняемых файлах.

Загрузочные – в загрузочных секторах внешних ЗУ (boot-секторах).

Комбинированные – размещаются в нескольких средах обитания. Такие вирусы размещаются как в загрузочных секторах на магнитных дисках, так и в теле загрузочных файлов.

По способу заражения среды обитания КВ делятся на:

F резидентные;

F нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из сети, загрузочного сектора, файла в оперативную память ЭВМ.

Нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, считается нерезидентным. Вредительские действия КВ зависят от целей и квалификации их создателей.

По степени опасности для информационных ресурсов пользователя КВ подразделяются на: безвредные; опасные; очень опасные .

Безвредные – не приносящие ущерб ресурсам компьютерных систем. Результатом действия таких вирусов является вывод на экран невинных текстов, картинок, исполнение музыкальных фрагментов и т.п. Но при всей безобидности такие вирусы приводят к расходу ресурсов системы, снижая эффективность ее функционирования. Помимо этого, при модернизации операционной системы или аппаратных средств вирусы, созданные ранее, могут привести к нарушениям штатного алгоритма работы системы.

Опасные – вызывающие существенное снижение эффективности компьютерной системы, но не приводящие к нарушению целостности и конфиденциальности информации. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи.

Очень опасные – вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, блокирование доступа к информации, отказ аппаратных средств. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, шифруют данные и т.д.

Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных ЗУ.

В последнее время наблюдается воздействие на психику человека-оператора ЭВМ с помощью подбора видеоизображения с определенной частотой (каждый 25-й кадр). Такие встроенные кадры наносят серьезный ущерб психике человека.

Согласно особенностям алгоритма функционирования вирусы можно разделить на два класса:

1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, которые, в свою очередь, делятся на две группы:

· вирусы-«спутники» (companion);

· вирусы-«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия – в создании копий исполняемых файлов.

Например. В MS DOS такие вирусы создают копии для файлов с расширением.EZE. Копия остается с тем же именем, а расширение изменяется на.COM. При запуске с общим именем операционная система загружает первым файл с расширением.COM , являющийся программой-вирусом. Файл-вирус запускает затем файл с расширением.EZE.

Вирусы-«черви» не изменяют файлов и не записываются в загрузочные секторы дисков. Они попадают в рабочую станцию по сети и рассылаются далее по другим абонентам сети. Одни вирусы-«черви» создают рабочие копии вируса на диске, другие – размещаются только в оперативной памяти ЭВМ.

2) вирусы, изменяющие среду обитания при распространении, делятся на:

• студенческие;
• «стелс» - вирусы (вирусы-невидимки);
• полиморфные.

Студенческие – нерезидентные, содержат ошибки, которые легко обнаружить и удалить.

«Стелс» - вирус – резидентный, маскируется под программы ОС, может перемещаться в памяти, активизируется при возникновении прерываний, выполняет определенные действия, в том числе и по маскировке, и только затем управление передаётся на программы ОС, обрабатывающие эти прерывания. Вирусы-невидимки способны противодействовать резидентным антивирусным средствам.

Полиморфные – не имеют постоянных опознавательных групп – сигнатур (двоичная последовательность или последовательность символов), однозначно идентифицирующих зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов с тем, чтобы избежать многократного заражения одних и тех же объектов, которые могут повысить вероятность обнаружения вируса.

«Стелс» - вирусы и полиморфные создаются квалифицированными специалистами, которые хорошо знают работу аппаратных средств и операционной системы и владеют навыками с машиноориентированными системами программирования.

Удобство работы с известными вирусами предоставляют каталоги вирусов, где содержатся сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие деструктивной функции и ошибки.

Файловые вирусы – могут внедряться только в исполняемые файлы: командные файлы (состоящие из команд ОС), саморазархивирующиеся файлы, пользовательские и системные программы, документы (таблицы), имеющие макрокоманды. Вирус может внедряться в файлы следующих типов: командные (BAT), загружаемые драйверы (SYS), программы в машинных кодах (EZE, COM), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS).

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.

Заголовок вируса

В начало файла вирус внедряется одним из трех способов:

1. начало файла переписывается в конец, а вирус занимает освободившееся место;

2. считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла;

3. вирус записывается в начало файла без сохранения содержимого, что приводит к неработоспособности файла.

В середину файла вирус внедряется следующими способами: файл «раздвигается» и в освободившееся место записывается вирус; а также вирус внедряется в середину файла без сохранения участка файла, на место которого поместился вирус. Например, вирус “ Mutant ” применяет метод сжатия отдельных участков файла, при этом первоначальная длина файла после внедрения вируса не изменяется.

Внедрение вируса в конец файла наиболее распространено. Как и в случае внедрения вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса.

Особое место среди файловых вирусов занимают макровирусы, представляющие собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др. (редакторы MS Word, MS Office, MS Excel, использующие макроязыки Word Basic, Visual Basic).

Загрузочные вирусы заражают загрузочные (Boot) сектора гибких дисков и Boot – сектора или Master Boot Record (MBR) жестких дисков.

Заголовок вируса Тело вируса

Загрузочные вирусы являются резидентными. Заражение происходит при загрузке ОС с дисков. Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в ОП, заражает загрузочные сектора всех гибких дисков, а не только системные диски. Если диск был заражен, то этого достаточно для заражения ЭВМ. Чаще всего это происходит при перезагрузке ОС после «зависания» или отказов ЭВМ.

Методы и средства борьбы с вирусами

Антивирусные средства применяются для решения таких задач, как:

F обнаружение вирусов в компьютерных системах;

F блокирование работы программ-вирусов;

F устранение последствий программ-вирусов.

При обнаружении вируса необходимо сразу прекратить работу программы –вируса, чтобы минимизировать ущерб от его воздействия. Следует заметить, что не существует антивирусных средств, которые гарантировали бы обнаружение всех возможных вирусов. Для борьбы с вирусами используются программные, аппаратно-программные средства, которые применяются в определенной последовательности и комбинации. Существуют методы обнаружения и методы удаления вирусов.

К методам обнаружения вирусов относятся:

ü сканирование – самый простой метод обнаружения ошибок. Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Самой известной программой-вирусом в России является Aidstest Дмитрия Лозинского;

ü обнаружение изменений – осуществляется программами-ревизорами, которые определяют и запоминают характеристики всех областей на дисках, где обычно размещаются вирусы. Программы-ревизоры запоминают в специальных файлах области главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, контролируют объем установленной оперативной памяти и т.д.

Достоинство – возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Программы-ревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор Adinf , разработанная Д.Ю.Мостовым, работает с диском непосредственно по секторам через BIOS.

Недостаток – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы обнаруживаются только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы подвергнуты частым изменениям.

ü эвристический анализ – для обнаружения вирусов используется не так давно. Сущность эвристического анализа – в проверке возможных сред обитания вирусов и выявлении в них команд таких, как команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. При их обнаружении эвристические анализаторы выдают сообщение о возможном заражении. Такой анализатор имеется в антивирусной программе Doktor Web .

ü использование резидентных сторожей - основан на применении программ, постоянно находящихся в ОП ЭВМ. При выполнении какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентным сторожем пользователю выдается сообщение. Недостаток – выдача большого процента ложных тревог, что отрицательно сказывается на работе пользователя. Примером данного метода является программа Vsafe , входящая в состав MS DOS.

ü вакцинирование программ – это создание специального модуля для контроля ее целостности. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и выдает об этом сообщение. Данный метод обнаруживает все вирусы, за исключением «стелс»-вирусов.

ü аппаратно-программная защита – самая надежная защита от вирусов. Для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускаются. Следовательно, установить защиту можно на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

Преимущества аппаратно-программных антивирусных средств перед программными следующие:

e работают постоянно;

e обнаруживают все вирусы, независимо от механизма их действия;

e блокируют запрещенные действия, вызванные работой вируса или неквалифицированным пользователем.

Недостаток – зависимость от аппаратных средств ПЭВМ, так как их изменение ведет к необходимости замены контроллера.

Примером аппаратно-программной защиты является комплекс Sheriff .