Программные продукты антивирусной защиты

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

"Курский государственный университет"

Кафедра МПИиТ

Отчет

по лабораторной работе №1

Направление подготовки: 080200 - Менеджмент

Профиль подготовки: "Производственный менеджмент"

Квалификация (степень) Бакалавр

Факультет экономики и менеджмента

Очная форма обучения

Выполнила: студентка 22 группы

Тарасова О.Г.

Проверил: кандидат педагогических

наук, доцент кафедры МПИиТ

Кондратов Р.Ю.

Курск-2013

1. Основные теоретические сведения

Цель работы: целью лабораторной работы является освоение программных продуктов AVZ, AVP("Антивирус Касперского"), Dr. Web, ADinf, Avast и пр.

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационных систем. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль.

Массовое применение персональных компьютеров связано с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

С каждым днем вирусы становятся все более изощренными, что приводит к существенному изменению профиля угроз. Но и рынок антивирусного программного обеспечения не стоит на месте, предлагая множество продуктов. Их пользователи, представляя проблему лишь в общих чертах, нередко упускают важные нюансы и в итоге получают иллюзию защиты вместо самой защиты.

Несмотря на все возрастающие усилия по созданию технологий защиты данных их уязвимость в современных условиях не только не уменьшается, но и постоянно возрастает. Поэтому актуальность проблем, связанных с защитой информации все более усиливается.

Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Например, конфиденциальность данных, которая обеспечивается применением различных методов и средств. Перечень аналогичных задач по защите информации может быть продолжен. Интенсивное развитие современных информационных технологий, и в особенности сетевых технологий, создает для этого все предпосылки.

Защита информации - комплекс мероприятий, направленных на обеспечение целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

На сегодняшний день сформулировано два базовых принципа по защите информации:

- целостность данных - защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;

- конфиденциальность информации.

Защита от сбоев, ведущих к потере информации, ведется в направлениях:

- повышения надежности отдельных элементов и систем, осуществляющих ввод, хранение, обработку и передачу данных, дублирования и резервирования отдельных элементов и систем, использования различных, в том числе автономных, источников питания;

- повышения уровня квалификации пользователей, защиты от непреднамеренных и преднамеренных действий, ведущих к выходу из строя аппаратуры, уничтожению или изменению (модификации) программного обеспечения и защищаемой информации.

Защита от неавторизованного создания или уничтожения данных обеспечивается физической защитой информации, разграничением и ограничением доступа к элементам защищаемой информации, закрытием защищаемой информации в процессе непосредственной ее обработки, разработкой программно-аппаратных комплексов, устройств и специализированного программного обеспечения для предупреждения несанкционированного доступа к защищаемой информации.

Среди мер, направленных на защиту информации основными являются технические, организационные и правовые.

К техническим мерам можно отнести: защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и так далее.

К организационным мерам относятся: охрана вычислительного центра (кабинетов информатики); заключение договора на обслуживание компьютерной техники с солидной, имеющей хорошую репутацию организацией; исключение возможности работы на компьютерной технике посторонних, случайных лиц и так далее.

К правовым мерам относятся разработка норм, устанавливающих ответственность за вывод из строя компьютерной техники и уничтожение (изменение) программного обеспечения, общественный контроль над разработчиками и пользователями компьютерных систем и программ.

Следует подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. В то же время свести риск потерь к минимуму возможно, но лишь при комплексном подходе к защите информации.

В настоящее время компьютер прочно вошел в повседневную жизнь. Его возможности используются на работе, при проведении досуга, в быту и других сферах жизни человека. Количество информации, которую люди доверяют своему "электронному другу", с каждым днем растет, поэтому рано или поздно каждый задается вопросом: "Как обеспечить надежную сохранность данных?"

Сегодня невозможно встретить пользователя персонального компьютера, который не слышал бы о компьютерных вирусах. В Интернете такие вредоносные программы существуют в огромном количестве. Самое неприятное, что многие распространители вирусов успешно применяют в своей практике передовые достижения IT-индустрии. В результате то, что должно служить на благо пользователей, в конечном итоге может обернуться для них большими проблемами.

Вирус - это вредоносная программа, проникающая на компьютер без ведома пользователя (хотя, возможно, при невольном его участии) и выполняющая определенные действия деструктивной направленности. Вирусы - едва ли не главные враги компьютера. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска или приписываясь к файлам производят различные нежелательные действия, которые, зачастую, имеют катастрофические последствия. Еще пять лет назад казалось, что со владычеством вирусов покончено - со смертью DOS и DOS-совместимых программ неминуемо должны были исчезнуть и паразитирующие на них вирусы. Ведь если вирус под DOS, заражающий исполняемые файлы *.com и *.exe-файлы, может написать каждый, кто хоть немного разбирается в программировании, то создать полноценный вирус для Windows гораздо труднее. Однако вирусы остались, хотя и несколько видоизменились. Известные вирусы можно разделить на следующие группы: файловые вирусы, сетевые вирусы ("черви"), загрузочные вирусы, макровирусы, троянские кони. Сегодня самой распространенной группой вирусов стали макровирусы, заражающие не программы, а документы, созданные в Microsoft Word и Microsoft Excel.

Самыми популярными и эффективными видами антивирусных программ являются:

1. Антивирусные сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой недостаточно велика, то используются другие методы. К достоинствам сканеров относится их универсальность, к недостаткам-размеры антивирусных баз, которые сканерам приходится переносить за собой, и относительно небольшая скорость поиска вирусов.

2. CRC-сканеры (программы-ревизоры). Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов системных секторов. Эти CRC-суммы затем сохраняются в БД антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие "антистелс"-алгоритмы, являются довольно сильным оружием против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их проявления на компьютере. Однако у этого типа антивирусов есть недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах, поскольку в их базах данных отсутствует информация об этих файлах.

3. Мониторы (или программы сторожа). Антивирусные мониторы - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным относятся вызовы на открытие для записи и выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты их размножения. К достоинствам мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда известный вирус постоянно появляется. К недостаткам относится существование путей обхода защиты монитора и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ. Существует несколько более универсальных аппаратных мониторов, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные мониторы крайне непопулярными на фоне остальных типов антивирусной защиты.

4. Иммунизаторы (или программы вакцины). Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение.

Второй тип иммунизации защищает систему от поражения вирусом какого-либо определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса, при запуске вирус натыкается на нее и считает, что система уже заражена.

5. Программы-доктора (фаги). Программы-доктора не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют и файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

6. Программы-детекторы. Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти, на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они не способны обнаруживать све известные вирусы.

Детектор позволяет обнаруживать несколько вирусов, называют полидетектором.

Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает "ложное срабатывание" защиты.

Это не самый эффективный способ защиты компьютера, так как некоторые вирусы вообще не проверяют, заражена система или нет, причем способы проверки у разных вирусов могут существенно отличаться. В настоящее время данный тип программ практически не используется.

Сегодня на отечественном рынке представлено достаточное количество различных антивирусных программ. Некоторые из антивирусных программ распространяются бесплатно, другие-на платной основе. Следует отметить, что эффективность платных антивирусных программ существенно выше, чем бесплатных, поэтому для надежной защиты компьютера (особенно при частом использовании Интернета, а также при работе в локальной сети) рекомендуется установить платную антивирусную программу.

Иногда антивирусные программы могут выдавать ложные сообщения об опасности, принимая за вирусы программы, которые на самом деле таковыми не являются. В подобных случаях лучше всего обратиться за разъяснениями к разработчику антивирусной программы. На самом деле ложные срабатывания антивирусных программ возможны и даже нередки. Во-первых, многие вполне нормальные утилиты и программы в неумелых руках могут стать опасными-повредить операционную систему, снизить уровень безопасности и т.п. Во-вторых, антивирусами нередко блокируются программы для взлома и восстановления паролей, программы для взлома других программ, для увеличения срока действия триальных версий и т.п.

Список некоторых антивирусных программ распространённых в России:

1. Eset NOD32 (Словакия). NOD 32 Antivirus System от Eset Software обеспечивает хорошо сбалансированную безупречную защиту персональных компьютеров и корпоративных систем, работающих на платформах Microsoft Windows 95/98/ME/NT/2000/2003/XP, UNIX/Linux, Novell, MS DOS, а также для почтовых серверов Microsoft Exchange Server, Lotus Domino и других. Главным преимуществом NOD32 является его быстрая работа, невероятное низкое потребление системных ресурсов и не раз доказанная способность ловить 100 % вирусов.

2. Norman Virus Control (Норвегия). Разработанная компанией Symantec программа Norton Virus Control ™ 2004 позволяет предотвратить попадание ненужных сообщений в почтовый ящик пользователя. Программа, совместимая с любым почтовым клиентом POP3, производит многоуровневую фильтрацию входящих сообщений электронной почты, выявляя и помечая "макулатурные" письма; при этом вся нужная корреспонденция доставляется без задержки. Кроме того, Norton Virus Control отсекает рекламные заголовки и всплывающие окна, делая прогулку по Интернету куда более приятной.

3. Kaspersky Anti-Virus Personal (Россия). Антивирус Касперского® Personal Pro является последним технологическим достижением "Лаборатории Касперского" в области защиты домашнего компьютера от вирусных угроз. Помимо обычных антивирусных функций, в Антивирус Касперского® Personal Pro встроены уникальные технологические компоненты, позволяющие пользователю отслеживать все происходящие на компьютере изменения и контролировать поведение документов в формате MS Office, обеспечивая эти документы дополнительным уровнем безопасности. Антивирус Касперского® Personal Pro представляет собой уникальный набор компонентов, некоторые из которых были ранее были доступны только для корпоративных пользователей программных продуктов компании. Теперь все эти средства антивирусной борьбы доступны для домашнего использования.

4. Avast! 4 Home Edition (Россия). Основные характеристики Avast!: Высокий уровень выявления вирусов, троянов и червей. Резидентный (в режиме реального времени) и обычный сканер. Сканирование архивов. Проверка входной и исходной электронной почты. Глубокая интеграция в систему. Проверить тот или иной файл можно непосредственно из проводника Windows, щелкнув по нему правой кнопкой мыши и выбрав надпись "Сканировать...". Карантин Avast! изолирован от операционной системы, что обеспечивает большую безопасность работы. Ни один файл, сохраняемый в карантине, не может быть запущен.

5. McAfee VirusScan Enterprise (США). McAfee Anti-Spyware Enterprise - это простое в установке, управлении и мониторинге средство, специально разработанное в соответствии с уникальными требованиями компаний любого размера. Данный продукт поддерживается одной из ведущих антивирусных исследовательских организаций в мире - McAfee® AVERTTM, и обеспечивает всестороннюю защиту от шпионского ПО.

6. DoctorWeb (Россия). В последнее время стремительно растет популярность антивирусной программы - Doctor Web, которая относится к классу детекторов - докторов, но в отличие от многих других антивирусных порограмм имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы.

Управление режимами осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H). Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), поддерживает работу с программно-аппаратным комплексом Sheriff (ключ /Z).

Но, конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается ключем /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr.Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.

Важной функцией является контроль заражения тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там.

Тестирование винчестера Dr.Web-ом занимает много времени, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты.

Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

7. Panda (Испания). Panda Antivirus Platinum 7 - это инновационное антивирусное решение, отлично адаптированное к потребностям небольших организаций и профессионалов. Программа защищает компьютер и от вирусов, и от хакеров. Благодаря таким встроенным функциям, как межсетевой экран и блокиратор скриптов, Platinum 7 гарантирует защиту от вирусов, хакеров и других опасностей, связанных с сетью Интернет, в рамках единого и простого в использовании продукта.

8. Naomi 3.2.90. Прежде всего, эта программа предназначается для родителей, которые хотят ограничить своим детям доступ к непристойным интернет-ресурсам. Кроме того, рекомендуется применять Naomi в учебных учреждениях. При своей работе утилита контролирует содержимое, загружаемое из интернета, и запрещает доступ к различным порно-сайтам, а также сайтам, содержащим насилие и пропаганду терроризма, азартные игры и т.д. Такая фильтрация осуществляется по ссылкам и ключевым словам (поддерживается 10 языков), отображаемым на веб-странице. Программа не нуждается ни в каких настройках, можно только задать пароль, чтобы было невозможно отключить фильтрацию интернет-контента без ввода соответствующего пароля. При обнаружении сайта непристойного содержания программа отключает (закрывает) окно браузера.

9. Stop! 5.0 Scanner. Антивирус Stop! 5.0 Scanner - исключительно простой в эксплуатации антивирус для домашних пользователей. Современный, эффективный антивирусный продукт, способный обнаружить и удалить все известные типы троянских программ, интернет-червей и вредоносных программ. Anti-Spyware Total Protection - защита не только от вирусов и червей. Speed Scan Technology - сверхбыстрое сканирование. Rapidly Live Update - обновление антивируса каждый час. Сканирование архивов и почтовых баз. Анализатор кода, обнаруживающий новые вирусы. Простой и удобный интерфейс.

10. Symantec Norton Antivirus (США). Приложение Norton AntiVirus - также очень популярная в настоящее время антивирусная программа. Ее разработчиком является всемирно известная фирма Symantec. По сравнению с программами "Антивирус Касперского Personal" и Dr.Web для отечественного пользователей этот антивирус обладает одним существенным недостаткам - он не поддерживает русский язык. Некоторые пытаются применить к нем различного рода русификаторы, и иногда это приносит определенный успех.

Разработчиками предусмотрены разные конфигурации программы: для домашнего и офисного применения. Средняя стоимость "домашней" версии составляет около $50.

Процесс инсталляции этого антивируса несложен и доступен даже начинающему пользователю. Необходимо учитывать, что после завершения установки требуется перезагрузить компьютер.

Norton Antiviгus имеет приятный и эргономичный интерфейс. По мнению многих пользователей, он намного современнее, чем интерфейсы других аналогичных программ. К несомненным достоинствам программы следует отнести возможность автоматического обновления антивирусных баз без участия пользователя. Разумеется, необходимое условие - наличие действующего подключения к Интернету. В данной программе реализована очень мощная функция проверки электронной почты. При этом поддерживается работа с наиболее популярными почтовыми программами - Outlook Express, Microsoft Outlook, The Ваt! др. Использование Noгton AntiVirus практически полностью исключает возможность приема и отправки электронных сообщений зараженных вирусами. Для запуска процесса сканирования компьютера (или выбранных объектов) предназначена кнопка Scan Now (Сканировать сейчас), которая расположена в правом нижнем углу окна программы.

К недостаткам рассматриваемого антивируса можно отнести то, что процесс сканирования компьютера (или указанных объектов) требует слишком много ресурсов компьютера, в результате чего заметно замедляется его быстродействие или работа вообще становится невозможной. Однако высокое качество сканирования с лихвой компенсирует этот недостаток.

Обнаруженные в процессе сканирования вирусы и зараженные файлы помещаются в специальную папку. После этого пользователь может досконально с ними разобраться и в зависимости от полученного результата удалить файлы или вернуть их на прежнее место.

11. Aidstest (Россия). Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем, следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например, при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.

Недостатки программы Aidstest:

· не распознает полиморфные вирусы;

· не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы;

· не умеет проверять и лечить файлы в архивах;

· не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа EXEPACK, DIET, PKLITE и т.д.

Достоинства Aidstest:

· легка в использовании;

· работает очень быстро;

· распознает значительную часть вирусов;

· хорошо интегрирована с программой-ревизором Adinf;

· работает практически на любом компьютере.

12. AVSP. Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки). При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта. В состав пакета AVSP входит также резидентный драйвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы. Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное. Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы. Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.

13. ADINF (Россия). ADinf относится к классу программ-ревизоров. Семейство программ ADinf - это ревизоры дисков, предназначенные для работы на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000. Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе "портретов" (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не придумано.

Особенно следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно разбирает структуру файловой системы, что позволяет ему обнаруживать так называемые вирусы-невидимки (стелс-вирусы).

Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информации на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.

Итак, программа Adinf:

- имеет высокую скорость работы;

- способна с успехом противостоять вирусам, находящимся в памяти;

- позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;

- может обрабатывать до 32000 файлов на каждом диске;

- в отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;

- в отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается;

- ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;

- при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось множество вирусов, "охотящихся" за антивирусами.

Например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень", в том числе и за ADinf.

Компьютерный вирус - это специально написанная, как правило, небольшая по размерам программа. Она может записывать (внедрять) свои копии (возможно, измененные) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д. Причем эти копии сохраняют возможность к "размножению".

Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или объект, содержащий вирус - зараженным.

Компьютерные вирусы являются программами, которые могут "размножаться" и скрытно внедрять свои копии в файлы, загрузочные секторы дисков и документы.

Обязательным свойством компьютерного вируса является способность к размножению (самокопированию) и незаметному для пользователя внедрению в файлы, загрузочные секторы дисков и документы. Название "вирус" по отношению к компьютерным программам пришло из биологии именно по признаку способности к саморазмножению.

Стадии развития вируса:

* скрытый этап - действие вируса не проявляется и остается незамеченным;

* лавинообразное размножение, но его действия пока не активизированы;

* активные действия - выполняются вредные действия, заложенные его автором.

Активизация вируса может быть связана с различными событиями:

- наступлением определённой даты или дня недели;

- запуском программы;

- открытием документа и т.д.

Очередным этапом развития вирусов считается 1987 год.

К этому моменту получили широкое распространения сравнительно дешёвые компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами.

Именно в 1987 вспыхнули сразу три крупные эпидемии компьютерных вирусов. защита информация антивирусная программа

Первая эпидемия была вызвана вирусом BRAIN (также известен как Пакистанский вирус) - первый вирус, созданный для IBM PC-совместимых ПК. Он был разработан братьями Амджатом и Базитом Алви в 1986 и был обнаружен летом 1987.

Программа должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил только в США более 18 тысяч компьютеров и сотни компьютеров по всему миру. Вирус Brain являлся также и первым стелс-вирусом - при попытке чтения заражённого сектора он "подставлял" его незаражённый оригинал.

Вторая эпидемия, берущая начало в Лехайском университете (США), разразилась в ноябре. В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов. За время эпидемии вирусом было заражено около четырёх тысяч компьютеров.

Третья вирусная эпидемия разразилась перед самым Новым годом, 30 декабря. Её вызвал вирус, обнаруженный в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принёс, он быстро распространился по всему миру.

В пятницу 13 мая 1988 сразу несколько фирм и университетов нескольких стран мира "познакомились" с вирусом Jerusalem - в этот день вирус уничтожал файлы при их запуске.

В ноябре 1988 году Роберт Моррис младший создает Червь Морриса, который инфицировал подключенные к Интернету компьютеры VAX, DEC и Sun под управлением ОС BSD. Червь Морриса стал первым сетевым червем, успешно распространившемся "in-the-wild".

Проблема вирусов начинает принимать глобальный размах.

1990 год выходит первый полиморфный вирус - Chameleon.

1992 год. Вирус Michelangelo порождает волну публикаций в западных СМИ, предсказывающих катастрофу 6-го марта. Ожидалось, что вирус повредит информацию на миллионах компьютеров, но его последствия оказались минимальными.

1992 год известен как год появления первых конструкторов вирусов, а также готовых полиморфных модулей и модулей шифрования. Начиная с этого момента, каждый программист мог легко добавить функции шифрования к своему вирусу.

В начальный период существования вредоносных программ были популярны вирусы-шутки, которые мешали работе пользователей. Деструктивные особи практически не встречались. Например, такие программы просили дополнительной памяти ("пирожка" и т. п.), и экран блокировался, пока пользователь не вводил с клавиатуры нужное слово (иногда его нужно было угадать). Или, например, вирус, который выводил на экран сообщение вроде: "Нажмите одновременно L + A + M + E + R + F1 + Alt". Пользователь нажимал, после чего появлялось сообщение о том, что таблица разделов стерта с жесткого диска и загружена в оперативную память и если пользователь отпустит хотя бы одну клавишу, то со своей информацией он может проститься, а если просидит так ровно час, то все будет в порядке. Через час оказывалось, что это была шутка. Ничего себе шуточки…

Массовое распространение персональных компьютеров привело к появлению людей, которых интересовал не сам процесс создания вируса, а результат, наносимый вредоносной программой. Изменились и шутки: вирусы начали реально форматировать диски, стирать или кодировать важную информацию. Некоторые приложения использовали недостатки оборудования и портили его, например выстраивали лучи монитора в одну точку, прожигая его (надежность устройств в то время оставляла желать лучшего), или ломали жесткие диски, гоняя считывающую головку по определенному алгоритму.

На сегодня в мире вирусов наметилась явная коммерциализация: данные в большинстве случаев не уничтожают, а пытаются украсть. Например, популярность онлайн-игр привела к появлению вирусов, специализирующихся на краже паролей к учетным записям игроков, так как виртуальные ценности, заработанные в игре, можно продать за реальные деньги.

В настоящее время известно более 50000 программных вирусов.

Вирусы можно разделить на классы по следующим признакам:

а) по среде обитания вируса;

б) по способу заражения среды обитания;

в) по деструктивным возможностям;

г) по особенностям алгоритма вируса.

а) по среде обитания вирусы можно разделить на:

· сетевые;

· файловые;

· загрузочные.

Жизненный цикл. Из-за особенности вирусов в способности к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.

Сам процесс размножения может быть условно разделен на несколько стадий:

- проникновение на компьютер;

- активация вируса;

- поиск объектов для заражения;

- подготовка вирусных копий;

- внедрение вирусных копий.

Проникновение. Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), и в отличие от червей, никак не влияют на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения, и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.

Активация. Для активации вируса необходимо, чтобы зараженный объект получил управление. Здесь деление вирусов происходит по типам объектов, которые могут быть заражены:

Загрузочные вирусы - вирусы, заражающие загрузочные сектора постоянных и сменных носителей.

Пример: Virus.Boot.Snow.a - вредоносная программа записывающая свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. Получив управление, вирус остается в памяти компьютера (резидентность) и перехватывает прерывания INT 10h, 1Ch и 13h. Возможные проявления вируса - на экране компьютера начинает падать снег.

Virus.Boot.DiskFiller - вирус, который также заражает MBR винчестера или загрузочные сектора дискет, остается в памяти и перехватывает прерывания - INT 13h, 1Ch и 21h. При заражении дискеты, вирус форматирует дополнительную дорожку с номером 40 или 80 (в зависимости от объема дискеты он может иметь 40 либо 80 дорожек с номерами 0-39 или 0-79 соответственно), на которую и записывает свой код, добавляя в загрузочный сектор лишь небольшой фрагмент - головную часть вируса.

При заражении винчестера Virus.Boot.DiskFiller располагает свой код непосредственно за MBR, а в самом MBR меняет ссылку на активный загрузочный сектор, указывая адрес сектора, где он расположен.

Файловые вирусы - вирусы, заражающие файлы. В зависимости от среды в которой выполняется код, их можно разделить:

Собственно файловые вирусы - те, которые непосредственно работают с ресурсами операционной системы. Пример: Virus.VBS.Sling (Visual Basic Script) - вирус, который при запуске ищет файлы с расширениями.VBS или.VBE заражая их. 16-го июня или июля вирус при запуске удаляет все файлы с расширениями.VBS и.VBE, включая самого себя.

Virus.WinHLP.Pluma.a - вирус, заражающий файлы помощи Windows. При открытии зараженного файла помощи выполняется вирусный скрипт, который используя нетривиальный метод (по сути, уязвимость в обработке скриптов) запускает на выполнение уже как обычный файл Windows определенную строку кода, содержащуюся в скрипте. Запущенный код производит поиск файлов справки на диске и внедряет в их область System скрипт автозапуска.

Макровирусы - вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office. Пример: Macro.Word97.Thus - один из наиболее разрушительных макровирусов, который содержит три процедуры Document_Open, Document_Close и Document_New, для подмены стандартных макросов, выполняющихся при открытии, закрытии и создании документа, тем самым обеспечивая заражение других документов.

13 декабря срабатывает деструктивная функция вируса - он удаляет все файлы на диске C:, включая каталоги и подкаталоги. Macro.Word97.Thus.aa кроме указанных действий при открытии каждого зараженного документа выбирает на локальном диске случайный файл и шифрует первые 32 байта этого файла, постепенно приводя систему в неработоспособное состояние. Существуют вредоносные программы ориентированные и на другие типы документов: Macro.Visio.Radiant заражает файлы известной программы для построения диаграмм - Visio, Virus.Acad.Pobresito - документы AutoCAD, Macro.AmiPro.Green - документы популярного раньше текстового процессора Ami Pro.

Скрипт-вирусы - вирусы, исполняемые в среде определенной командной оболочки: раньше - bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH).Пример: Virus.VBS.Sling (Visual Basic Script) - вирус, который при запуске ищет файлы с расширениями.VBS или.VBE заражая их. 16-го июня или июля вирус при запуске удаляет все файлы с расширениями.VBS и.VBE, включая самого себя. Virus.WinHLP.Pluma.a - вирус, заражающий файлы помощи Windows. При открытии зараженного файла помощи выполняется вирусный скрипт, который используя нетривиальный метод (по сути, уязвимость в обработке скриптов) запускает на выполнение уже как обычный файл Windows определенную строку кода, содержащуюся в скрипте. Запущенный код производит поиск файлов справки на диске и внедряет в их область System скрипт автозапуска.

Вирусы, рассчитанные для работы в среде определенной ОС или приложения - неработоспособные в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов - Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97.

Поиск объектов для заражения. На данной стадии встречается два способа поведения вирусов.

1. Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).

Пример: Обычно при освоении новой платформы сначала появляются вирусы именно этого типа. Так было при появлении вирусов под DOS, под Windows 9x, под Windows NT, под Linux.

Virus.Multi.Pelf.2132 - представителей мультиплатформенных вирусов, способный заражать как PE-файлы, так и файлы в формате ELF (формат исполняемых файлов под Linux). При запуске вирус производит в текущем (под обеими операционными системами) и вышестоящих каталогах (под Windows) файлов заражаемых форматов (PE и ELF), определяя действительный формат файла по его структуре. После заражения найденных файлов вирус завершает работу и возвращает управление запущенному файлу.

2. Получив управление и оставшись в памяти, вирус производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняетсяПример: Virus.DOS.Anarchy.6093 - мультиплатформенный вирус, способный заражать DOS COM- и EXE-файлы, а также документы Microsoft Word 6/7. Вирус может активироваться при запуске как в среде DOS, так и в среде Windows 95. После запуска вирус перехватывает прерывание INT 21h, а в среде Windows дополнительно вносит изменения в драйвер VMM32.VXD (Virtual Memory Manager) с целью перехвата обращений к файлам. В файловом варианте вирус является полиморфным, и в любом варианте обладает stealth-функциональностью.

Практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений MS Office, являются вирусами второго типа. И напротив, скрипт-вирусы являются вирусами первого типа.

Stealth-вирусы - вирусы, которые находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Так эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств операционной системы. Набольшее распространение Stealth-вирусы получили во времена DOS.

Подготовка вирусных копий. Сигнатура вируса - информация, позволяющая однозначно определить наличие данного вируса в файле или ином коде. Примерами сигнатур являются уникальная последовательность байт, присутствующая в данном вирусе и не встречающаяся в других программах; контрольная сумма такой последовательности.

При создании копий для маскировки могут применяться следующие технологии:

шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом;

метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

Сочетание этих двух технологий приводит к появлению следующих типов вирусов.

шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора;

метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий;

полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора, также может быть зашифрована. Полиморфные вирусы можно делить на классы по уровню полиморфизма.

Пик популярности полиморфных вирусов пришелся на времена DOS, тем не менее, и позднее полиморфизм использовался во множестве вирусов, продолжает использоваться полиморфизм и сегодня.

Пример: Email-Worm.Win32.Bagle.p - является полиморфным вирусом.

Virus.Win32.Etap - один из наиболее сложных и относительно поздних полиморфных вирусов. Заражая файла, вирус перестраивает и шифрует собственный код, записывает его в одну из секций заражаемого файла, после чего ищет в коде файла вызов функции ExitProcess и заменяет его на вызов вирусного кода. Таким образом, вирус получает управление не перед выполнением исходного кода зараженного файла, а после него.

Внедрение. Внедрение вирусных копий осуществляется двумя разными методами:

- внедрение вирусного кода непосредственно в заражаемый объект;

- замена объекта на вирусную копию. Замещаемый объект, как правило, переименовывается.

Вирусы преимущественно используют первый метод. Второй метод намного чаще используется червями и троянами, а точнее троянскими компонентами червей, т.к. трояны сами по себе не распространяются.

Пример: Email-Worm.Win32.Stator.a - Один из немногих почтовых червей, распространяющихся по почтовой книге The Bat!, заражая некоторые файлы Windows по принципу вируса-компаньона. В основном этими файлами являются: mplayer.exe, winhlp32.exe, notepad.exe, control.exe, scanregw.exe. При заражении файлы переименовываются в расширение.VXD, а вирус создает свои копии под оригинальными именами заражаемых файлов. После получения управления вирус запускает соответствующий переименованный оригинальный файл.

Черви. Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Жизненный цикл. Жизненный цикл червей можно разделить на определенные стадии:

· проникновение в систему;

· активация;

· поиск "жертв";

· подготовка копий;

· распространение копий.

Проникновение в систему. На данном этапе черви делятся по типам используемых протоколов:

Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip;