Программные продукты антивирусной защиты

Почтовые черви - черви, распространяющиеся в формате сообщений электронной почты;

IRC-черви - черви, распространяющиеся по каналам IRC (Internet Relay Chat);

P2P-черви - черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей;

IM-черви - черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger - ICQ, MSN Messenger, AIM и др.).Пример: Net-Worm.Win32.Sasser - это Классические сетевые черви, использующие уязвимость в службе LSASS Microsoft Windows. При размножении, он запускает FTP-службу на TCP-порту 5554, выбирая IP-адрес для атаки и отсылая запрос на порт 445 по этому адресу, для проверки запуска службы LSASS. При ответе атакуемого компьютера на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS. При успешном выполнении запроса на удаленном компьютере запускается командная оболочка на TCP-порту 9996, через которую червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.

IRC-Worm.Win32.Golember.a - IRC-червь, который при запуске сохраняет себя в каталоге Windows под именем trlmsn.exe и добавляет в раздел автозапуска реестра Windows параметр со строкой запуска этого файла. Так же он сохраняет на диск свою копию в виде архива Janey2002.zip и файл-изображение Janey.jpg. Затем червь подключается к произвольным IRC-каналам под различными именами и начинает слать определенные текстовые строки, имитируя активность обычного пользователя. Параллельно всем пользователям этих каналов отсылается заархивированная копия червя.

IM-черви редко пересылают зараженные файлы непосредственно между клиентами. Вместо этого они рассылают ссылки на зараженные веб-страницы. Червь IM-Worm.Win32.Kelvir.k посылает через MSN Messenger сообщения, содержащие текст "its you" и ссылку http://www.malignancy.us/ [removed]/pictures.php?email= [email]по указанному в которой адресу расположен файл червя.

Способы активации. На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

- для активации необходимо активное участие пользователя;

- для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия.

Пассивное участие пользователя, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Активация сетевого червя без участия пользователя означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. В итоге, эпидемии, вызванные активными червями, существеннее влияют на работу сети в целом, однако случаются значительно реже, чем эпидемии пассивных сетевых червей. Обязательной мерой защиты является своевременная установка заплат безопасности. Особенно уязвимыми для этого типа червей являются операционные системы семейства Microsoft Windows NT/2000/XP/2003.

Активное участие пользователя в активации червя означает, что пользователь был введен в заблуждение методами социальной инженерии. Основным фактором служит форма подачи инфицированного сообщения: оно может имитировать письмо от знакомого человека (включая электронный адрес, если знакомый уже заражен), служебное сообщение от почтовой системы или же что-либо подобное. Пользователь не отличает обычное письмо от зараженного и производит запуск автоматически.

От таких червей защититься заплатами невозможно. Не поможет и внесение сигнатуры сетевого червя в вирусную базу данных, т.к. разработчикам вируса достаточно изменить исполняемый файл, чтобы антивирус его не обнаруживал, и незначительно поменять текст сообщения, используя, в том числе и технологии спам-рассылок, применяемые для обхода фильтров.

В результате, эпидемии, вызванные пассивными сетевыми червями, могут быть гораздо продолжительнее и порождать целые семейства однотипных сетевых червей.

Поиск "жертв". Поиск компьютера-жертвы полностью базируется на используемых протоколах и приложениях. Почтовый червь, производит сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров. P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Подготовка копий для распространения. Часто среди червей встречаются упрощенные реализации метаморфизма. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Это обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.

Аналогично, черви могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла - исполняемый модуль может быть приложен как есть или в заархивированном виде. Все это нельзя считать мета- или полиморфизмом, но определенной долей изменчивости черви, безусловно, обладают.

Трояны. Троян (троянский конь) - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. У троянов отсутствует механизм создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В основном троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Жизненный цикл. Три стадии:

· проникновение на компьютер;

· активация;

· выполнение заложенных функций.

Троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.

Способы проникновения. Существует два способа проникновения: маскировка и кооперация с вирусами и червями.

Маскировка - троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернета и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере, автоматически инициирует загрузку и запуск трояна.

Внедрение злоумышленником троянского кода в код другого приложения усложняет распознавание трояна, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.

Использование вредоносного скрипта, загружающего и запускающего троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна.

Кооперация с вирусами и червями - троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.

При кооперации червей с вирусами, червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.

Пример: Троян SpamTool.Win32.Small.b использующий backdoor-функционал червей семейства Bagle, собирал и отсылал на определенный адрес адреса электронной почты, имевшиеся в файлах на зараженном компьютере.

Червь Email-Worm.Win32.Klez.h при заражении компьютера запускал на нем вирус Virus.Win32.Elkern.c, который сам по себе, кроме заражения и связанных с ошибками в коде вредоносных проявлений, никаких действий не выполняет, т. е. не является "усилением" червя в каком бы то ни было смысле.

Активация. Приемы те же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.

Выполняемые функции. Трояны делятся на типы по характеру выполняемых ими вредоносных действий:

- клавиатурные шпионы - трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно, таким способом злоумышленник пытается узнать пароли или другую конфиденциальную информацию. Пример: Trojan-Spy.Win32.Small.b, например, в бесконечном цикле считывал коды нажимаемых клавиш и сохранял их в файле C:\SYS.

Trojan-Spy.Win32.Agent.fa отслеживает открытые окна Internet Explorer и сохраняет информацию с посещаемых пользователем сайтов, ввод клавиатуры в специально созданный файл servms.dll в системном каталоге Windows.

Современные программы-шпионы оптимизированы для сбора информации, передаваемой пользователем в Интернет, т.к. среди этих данных встречаются логины и пароли к банковским счетам, PIN-коды кредитных карт и прочая конфиденциальная информация, относящаяся к финансовой деятельности пользователя;

- похитители паролей - трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями. Пример: Trojan-PSW.Win32.LdPinch.kw - собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ - мессенджеров, почтовых клиентов, программ дозвона. Часто эти данные оказываются слабо защищены, что позволяет трояну их получить и отправить злоумышленнику по электронной почте;

- утилиты удаленного управления - трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Троянские утилиты удаленного управления никак не выдают своего реального назначения (в отличии от утилит специального назначения), так что пользователь и не подозревает о том, что его компьютер под контролем злоумышленника. Наиболее популярная утилита удаленного управления - Back Orifice.

- люки (backdoor) - трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. Обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный. Пример: Email-Worm.Win32.Bagle.at - использует порт 81 для получения удаленных команд или загрузки троянов, расширяющих функционал червя.

Backdoor.win32.Wootbot.gen использует IRC-канал для получения команд от "хозяина" на загрузку и запуск, на выполнение других программ, сканирование других компьютеров на наличие уязвимостей и устанавливать себя на компьютеры через обнаруженные уязвимости;

- анонимные smtp-сервера и прокси - трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами. Пример: Trojan-Proxy.Win32.Mitglieder - распространяется с различными версиями червей Bagle. Троян запускается червем, открывает на компьютере порт и отправляет автору вируса информацию об IP-адресе зараженного компьютера. После этого компьютер может использоваться для рассылки спама;

- утилиты дозвона - сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в Интернет через дорогие почтовые службы. Данные трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Интернетом. Пример: Trojan.Win32.Dialer.a - при запуске осуществляет только дозвон в Интернет через платные почтовые службы, и больше никаких других действий не производит.

- модификаторы настроек браузера - трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п. Пример: Trojan-Clicker.JS.Pretty - обычно содержится в html-страницах. Он открывает дополнительные окна с определенными веб-страницами и обновляет их с заданным интервалом;

- логические бомбы - троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных (Virus.Win9x.CIH, Macro.Word97.Thus).

Ущерб от вредоносных программ. Черви и вирусы могут осуществлять все те же действия, что и трояны. За счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:

1. Перегрузка каналов связи - свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по Интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя. В ряде случаев, пользование услугами Интернет во время эпидемии становится затруднительным. Примеры: Net-Worm.Win32.Slammer;

2. DDoS атаки - благодаря массовости, черви могут эффективно использоваться для реализации распределенных атак на отказ в обслуживании (DDoS атак). В разгар эпидемии, когда зараженными являются миллионы и даже десятки миллионов компьютеров, обращение всех инфицированных систем к определенному Интернет ресурсу приводит к полному блокированию этого ресурса. Примеры: Net-Worm.Win32.CodeRed.a - не совсем удачная атака на www.whitehouse.gov, Email-Worm.Win32.Mydoom.a - удачная атака на www.sco.com;

3. Потеря данных - более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя. Примеры: Virus.Win9x.CIH - удаление стартовых секторов дисков и содержимого Flash BIOS, Macro.Word97.Thus - удаление всех файлов на диске C:, Email-Worm.Win32.Mydoom.e - удаление файлов с определенными расширениями в зависимости от показателя счетчика случайных чисел;

4. Нарушение работы ПО - также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе. Примеры: Net-Worm.Win32.Sasser.a - перезагрузка зараженного компьютера;

5. Загрузка ресурсов компьютера - интенсивное использование ресурсов компьютера вредоносными программами ведет к снижению производительности как системы в целом, так и отдельных приложений. Примеры: в разной степени - любые вредоносные программы.

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.

Угрозы безопасности информации. Общее число вирусов по состоянию на сегодня превосходит 198000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список.

Классификация угроз по результату их влияния на информацию, а именно - нарушение конфиденциальности, целостности и доступности.

Угроза нарушения конфиденциальности:

- кража информации и ее распространение с помощью штатных средств связи либо скрытых каналов передачи: Email-Worm.Win32.Sircam - рассылал вместе с вирусными копиями произвольные документы, найденные на зараженном компьютере;

- кража паролей доступа, ключей шифрования и пр.: любые трояны, крадущие пароли, Trojan-PSW.Win32.LdPinch.gen;

- удаленное управление: Backdoor.Win32.NetBus, Email-Worm.Win32.Bagle (backdoor-функциональность).

Угроза нарушения целостности:

- модификация без уничтожения (изменение информации): любой паразитирующий вирус;

- модификация посредством уничтожения либо шифрации (удаление некоторых типов документов): Virus.DOS.OneHalf - шифрование содержимого диска, Virus.Win32.Gpcode.f - шифрует файлы с определенными расширениями, после чего самоуничтожается, оставляя рядом с зашифрованными файлами координаты для связи по вопросам расшифровки файлов;

- модификация путем низкоуровневого уничтожения носителя (форматирование носителя, уничтожение таблиц распределения файлов): Virus.MSWord.Melissa.w - 25 декабря форматирует диск C:.

Угроза нарушения доступности:

- загрузка каналов передачи данных большим числом пакетов: Net-Worm.Win32.Slammer - непрерывная рассылка инфицированных пакетов в бесконечном цикле;

- любая деятельность, результатом которой является невозможность доступа к информации; различные звуковые и визуальные эффекты: Email-Worm.Win32.Bagle.p - блокирование доступа к сайтам антивирусных компаний;

- вывод компьютера из строя путем уничтожения либо порчи критических составляющих (уничтожение Flash BIOS): Virus.Win9x.CIH - порча Flash BIOS.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности. В связи с этим при проектировании комплексных системантивирусной защиты, и даже в более общем случае - комплексных системы защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности, обрабатываемой на них информации и по вероятности заражения этих узлов вирусами.

2. Практическая часть

Для защиты своего компьютера я использую антивирус Kaspersky Internet Security.

Лаборатория Касперского известна на рынке антивирусных программ уже 15 лет. Подобная цифра говорит о широкой популярности, мощном потенциале и серьезных традициях компании. Хотя данный производитель является отечественным (центральный офис в Москве), его услугами пользуются в более чем 200 странах и территориях мира.

Компания развивается стабильно и динамично, предлагая антивирусные продукты, созданные как для домашних, так и для рабочих условий. Лаборатория Касперского не перестает укреплять свои рыночные позиции, предоставляя пользователем высококачественный продукт от лучших специалистов. По официальным данным, глобальный оборот компании возрос на 14 % только в период с 2010 по 2011 годы. В основе такой популярности - огромный опыт в сфере IT-технологий, который доступен каждому пользователю персонального компьютера или мобильных устройств.

Постоянно поддерживая имидж марки, специалисты из Лаборатории Касперского заботятся о конкурентоспособности продукции. Именно потому современные версии антивируса Касперского (6.0 и 7.0) располагают всеми необходимыми возможностями для обеспечения полной безопасности компьютера. Здесь представлен их полный список:

1. Общая защита от всех видов Интернет-угроз;

2. Полноценная антивирусная защита:

3. Проверка по сигнатурным базам;

4. Эвристический анализатор;

5. Поведенческий блокиратор.

6. Обследование файлов, интернет-трафика и почты в режиме реального времени;

7. Личный сетевой экран с системой IDS/IPS;

8. Предупреждение утечек конфиденциальной информации;

9. Родительский контроль;

10. Защита от фишинга и спама;

11. Автообновление баз.

Официальное мнение компании о самой себе, безусловно, исключительно позитивное. По словам генерального директора Лаборатории Касперского, он и его команда специалистов призваны не просто обеспечить полную защиту цифрового мира каждого пользователя, но и спасти мир как таковой. Однако источником правдивых фактов скорее будут выступать именно пользователи. И, конечно, как и в любом другом случае, мнения об антивирусе делятся.

Среди негативных комментариев можно выделить некомпетентность антивирусного мониторинга, во время которого за вирусы принимаются обычные файлы; чрезмерную перегрузку ОС; навязчиво частые обновления. Позитивные мнения пользователей все же превышают числом отрицательные. Многим пользователям нравится качество защиты и вариативность функций программы, стиль оформления и удобство в использовании.

Kaspersky Internet Security для всех устройств - единое комплексное решение для защиты любых устройств на платформах Windows®, Android™ и Mac OS.

Простой способ защитить все устройства:

· блокирование любых интернет-угроз;

· безопасные онлайн-платежи;

· защита общения в интернете и SMS;

· родительский контроль.

Антивирус Касперского - универсальное решение для защиты компьютера от широкого спектра вредоносных программ: вирусов, троянских программ, червей, spyware-компонентов, руткитов и т.д. Программа в работе использует не только сигнатурный анализ, но также проактивные методы защиты - эвристическое детектирование и применение поведенческих блокираторов. Все это в комплексе позволяет выявлять и обезвреживать как известные malware-угрозы, так и новые, пока еще неизвестные. Она отличается удобным интерфейсом, относительно проста в настройке и имеет расширенную систему помощи.

Возможности программы. Защита компьютера от таких современных информационных угроз, как:

· вирусы, троянские программы, черви, шпионские, рекламные программы и др.

· новые быстро распространяющиеся и неизвестные угрозы, руткиты, буткиты и прочие изощренные угрозы;

· бот-неты и другие незаконные способы скрытого удаленного управления компьютерами пользователей.

В Антивирусе Касперского реализованы новейшие технологии защиты, позволяющие обеспечить безопасность и стабильную работу компьютера:

1. Усовершенствованная Защита персональных данных, включающая модернизированную безопасную Виртуальную клавиатуру;

2. Система мгновенного обнаружения угроз, моментально блокирующая новое вредоносное ПО;

3. Модуль Проверка ссылок, предупреждающий о зараженных или опасных веб-сайтах;

4. Проактивная защита нового поколения от неизвестных угроз.

Антивирус Касперского включает в себя некоторые дополнительные функции защиты для более удобной и безопасной работы:

Ш Защита от вирусов, мошенничества и других угроз.

Ш Блокирование опасных сайтов и приложений.

Ш Безопасность финансовых операций и общения в интернете.

Ш Защита ваших конфиденциальных данных.

Ш Модуль Родительский контроль.

Ш Виртуальная клавиатура для безопасного ввода логинов, паролей и номеров кредитных карт на веб-страницах.

Ш Специальный Игровой профиль для временного отключения обновлений, проверки по расписанию и уведомлений.

Ш Проверка операционной системы и установленных программ на наличие уязвимостей.

Ш Настройка операционной системы и интернет-браузера для безопасной работы в интернете.

Ш Восстановление работоспособности системы после вирусной атаки.

Ш Инструменты создания Диска аварийного восстановления системы.

Ш Удаление временных файлов интернет-браузера.

А также в антивирус встроена защита в режиме реального времени:

· Проверка файлов, веб-страниц, почтовых и ICQ-сообщений.

· Блокирование ссылок на зараженные и фишинговые веб-сайты.

· Проактивная защита от неизвестных угроз, основанная на анализе поведения программ.

· Самозащита антивируса от попыток выключения со стороны вредоносного ПО.

· Регулярные и экстренные обновления - всегда актуальная защита компьютера.

Для того чтобы проверить файл на вирусы мне нужно открыть данный мне архив.

Нажимала вирусы, всплыло окно.

Я нажала обзор и локальный диск С.

Открыла выделенную папку.

Нашла папку с названием своего антивирусника и открыла.

Открыла значок с названием avp.exe.

У меня всплыло изначальное окно с заполненными строками и я нажала Ок.

Ввела пароль.

И программа начала искать вирусы.

Далее нажимала исправить.

Антивирусник все исправил, и я посмотрела отсчет.

Размещено на Allbest.ru