Защита от компьютерных вирусов
Компьютерные вирусы - программы, выполняющие в системе не предусмотренные пользователем действия, тенденции их "развития", классификация, источники распространения угроз, признаки заражения. Современные антивирусные программы, технологии XXI века.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | реферат |
| Язык | русский |
| Дата добавления | 24.08.2010 |
| Размер файла | 622,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
28
Федеральное агентство по образованию РФ
Казанский государственный архитектурно-строительный университет
Кафедра прикладной математики
Реферат на тему:
Защита от компьютерных вирусов
Казань 2009
План реферата:
Глава 1: Что такое компьютерные вирусы?
Глава 2: Классификация компьютерных вирусов
Глава 3: Источники распространения угроз
Глава 4: Признаки заражения
Глава 5: Действия при заражении вирусом
Глава 6: Методы защиты от компьютерных вирусов:
Часть 1. Антивирусные программы. Современные требования к антивирусной программе
Часть 2. Профилактика заражения
Глава 7: Вирусные технологии XXI века
Глава 1: Что такое компьютерные вирусы?
Компьютерный вирус можно определить как программу, предназначенную выполнять в системе не предусмотренные пользователем действия и способную к размножению. Это означает, что загруженный в память компьютера вирус создаёт новый экземпляр своего собственного программного кода, а иногда и изменяет его для маскировки. В зависимости от алгоритма вирус присоединяет полученный экземпляр кода к определённым файлам на компьютере и на дискетах, инфицируя все возможные файлы, и передаётся на другие компьютеры посредством заражённых съёмных носителей информации, через Интернет и электронную почту.
Вирусные программы - довольно новое явление. Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. В США первая публикация появилась в 1984 году, это была разработка концепции Фреда Коэна, сотрудника Лехайского университета (США), представленная на конференции по компьютерной безопасности. Безусловно, вирусы существовали и до 1984 года, но их распространение было невелико и практически незаметно из-за различных и несовместимых операционных систем и отсутствия сети Интернет.
Растущая совместимость компьютеров и их связь в локальные и глобальные сети, создание персональных компьютеров и приближение их к человеку, который является не системным программистом, а просто пользователем, - всё это ускорило и расширило распространение вирусов.
Количество вирусов увеличивается с каждым днем. Все это подтверждается статистикой и реальной жизнью. В 1990 году было известно примерно 500 вирусов, в 1992 - 3000, в 1994 - 5000, в 1996 - 9000, в 1999 - 30000, в 2001 - более 50000. Это дает право утверждать, что в наше время, когда число компьютеров на душу населения в мире постоянно растет, возрастает и угроза нашествия компьютерных вирусов. Не остается в стороне от этого явления и Россия, которая исторически была в лидерах по производству компьютерных вирусов и сейчас не отстает от других стран в этом аспекте.
Компьютерные вирусы - это просто программы, но люди, создающие их, придают им способность внедряться в другие программы, создавать свои копии и при определённых условиях блокировать работу, повреждать компьютерные системы или хранящиеся в них данные. Из-за большой скорости работы компьютеров вирус может размножиться в огромном количестве экземпляров за считанные секунды. Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.
Увеличение числа компьютерных вирусов по всему миру связано, прежде всего, с тем, что любой человек, имеющий дома компьютер, немного изучив программирование, может попрактиковаться в написании вируса. Причем существует легальная и нелегальная литература, которая может помочь ему в этом, специальные программные инструменты для написания вирусов и даже различные генераторы мутации, позволяющие из простого вируса, созданного студентом-первокурсником, создать сложный экземпляр, на анализ которого у специалиста уйдет много времени. Если же у такого «программиста» есть возможность выхода в компьютерную сеть, то за очень короткое время вирус легко может оказаться не только у его соседа, но и у большого количества людей в разных регионах, пользующихся услугами этой сети. Например, в начале 1989 г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.
Говоря о тенденциях «развития» компьютерных вирусов, нельзя не сказать о том, что все чаще встречаются сложные вирусы, не только способные обходить традиционную защиту и использовать особые механизмы заражения и маскировки, но и случайным образом изменять собственный код. Такие вирусы тщательно продуманы и отлажены, используют недокументированные способы проникновения в системные области и написаны профессиональными программистами, часто очень талантливыми. Подобные вирусы вполне могут быть использованы как оружие и запущены в сети крупных государственных и коммерческих структур с целью дестабилизации их работы путем вывода из строя локальной или глобальной сети. Восстановление потерянных в результате данных будет невозможно или займет слишком много времени. Кадры из фантастических фильмов, где одно государство выигрывает войну у другого не многочисленной армией, вооруженной сверхмощным оружием, а хакером-одиночкой, сумевшим внедрить вирус во вражескую компьютерную сеть и тем самым вывести ее из строя, не так уж и далеки от истины.
Хотя в целом вирусные атаки случаются не очень часто, общее число вирусов слишком велико, а ущерб от «хулиганских» действий вируса в системе может оказаться значительным. К тому же вирус может проникнуть в компьютер не только вместе с пиратскими копиями программного обеспечения или с BBS, WWW и т.д., но даже с дистрибутивных дисков! Известны многочисленные случаи заражения компьютеров при их ремонте, поскольку специалисты по ремонту вычислительной техники очень редко следят за чистотой используемых ими программных продуктов.
Более того, существуют вирусы, которые «подделываются» под антивирусные программы. Например, недавно появилось новое семейство вирусов Anti-AVP, каждый из которых разработан против антивирусного сканера AVP и заражает систему вместо того, чтобы лечить. Так что будьте бдительны и не переписывайте программы у знакомых! Даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, может иметь ошибки, в результате которых будут испорчены данные на Вашем компьютере.
Глава 2: Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
· среда обитания;
· операционная система (OC);
· особенности алгоритма работы;
· деструктивные возможности.
По среде обитания вирусы можно классифицировать на:
· файловые;
· загрузочные;
· макро;
· сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Вирус в зараженных выполняемых файлах (например, файлы с расширениями имя.СОМ и ЕХЕ, а также оверлейные файлы, загружаемые при выполнении других программ) начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно. Эти вирусы могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.
Загрузочные вирусы (или бутовые) записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Такой вирус начинает свою работу при начальной загрузке операционной системы и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения -- заражение загрузочных записей вставляемых в компьютер дискет. Как правило, такие вирусы состоят из двух частей, поскольку загрузочная запись и главная загрузочная запись имеют небольшой размер и в них трудно разместить целиком программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затерта при записи данных на диск).
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Среди особенностей алгоритма работы вирусов выделяются следующие пункты:
· резидентность;
· использование стелс-алгоритмов;
· самошифрование и полиморфичность;
· использование нестандартных приемов.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.
Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Один из первых файловых стелс-вирусов - вирус "Frodo", первый загрузочный стелс-вирус - "Brain". Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или "троянские" программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
По деструктивным возможностям вирусы можно разделить на:
· безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
· неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
· очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
Черви (Worms)
Данная категория вредоносных программ для распространения использует в основном уязвимости операционных систем. Название этого класса было дано исходя из способности червей "переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Также благодаря этому многие черви обладают достаточно высокой скоростью распространения.
Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Вирусы (Viruses)
Программы, которые заражают другие программы - добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом - заражение.
Троянские программы (Trojans)
Программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.
В последнее время наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали черви. Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных выше классов.
Программы-рекламы (Adware)
Программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе, изменяют различные параметры браузера (стартовые и поисковые страницы, уровни безопасности и т.д.), а также создают неконтролируемый пользователем трафик. Все это может привести как к нарушению политики безопасности, так и к прямым финансовым потерям.
Программы-шпионы (Spyware)
Программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является:
· отслеживание действий пользователя на компьютере;
· сбор информации о содержания жесткого диска; в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере;
· сбор информации о качестве связи, способе подключения, скорости модема и т.д.
Потенциально опасные приложения (Riskware)
Программное обеспечение, которое не имеет какой-либо вредоносной функции, но может быть использовано злоумышленниками в качестве вспомогательных компонентов вредоносной программы, поскольку содержит бреши и ошибки. При некоторых условиях наличие таких программ на компьютере подвергает ваши данные риску. К таким программам относятся, например, некоторые утилиты удаленного администрирования, программы автоматического переключения раскладки клавиатуры, IRC-клиенты, FTP-сервера, всевозможные утилиты для остановки процессов или скрытия их работы.
Еще одним видом вредоносных программ, являющимся пограничным для таких программ как Adware, Spyware и Riskware, являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Наверняка вы встречались с подобными программами, если при запросе одного адреса веб-сайта открывался совсем другой.
Программы-шутки (Jokes)
Программное обеспечение, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска (хотя никакого форматирования на самом деле не происходит), обнаруживают вирусы в незараженных файлах и т.д.
Программы-маскировщики (Rootkit)
Утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Программы-маскировщики модифицируют операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.
Прочие опасные программы
Программы, созданные для организации DoS-атак на удаленные сервера, взлома других компьютеров, а также являющиеся частью среды разработки вредоносного программного обеспечения. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов, сканеры уязвимостей, программы для взлома паролей, прочие виды программ для взлома сетевых ресурсов или проникновения в атакуемую систему.
Глава 3: Источники распространения угроз
Развитие современных компьютерных технологий и средств связи дает возможность злоумышленникам использовать различные источники распространения угроз. Рассмотрим их подробнее:
Интернет
Глобальная сеть Интернет уникальна тем, что не является чьей-то собственностью и не имеет территориальных границ. Это во многом способствует развитию многочисленных веб-ресурсов и обмену информацией. Сейчас любой человек может получить доступ к данным, хранящимся в интернете, или создать свой собственный веб-ресурс.
Однако эти же особенности глобальной сети предоставляют злоумышленникам возможность совершения преступлений в интернете, при этом затрудняя их обнаружение и наказание.
Злоумышленники размещают вирусы и другие вредоносные программы на веб-ресурсах, "маскируют" их под полезное и бесплатное программное обеспечение. Кроме того, скрипты, автоматически запускаемые при открытии веб-страницы, могут выполнять вредоносные действия на вашем компьютере, включая изменение системного реестра, кражу личных данных и установку вредоносного программного обеспечения.
Используя сетевые технологии, злоумышленники реализуют атаки на удаленные частные компьютеры и сервера компаний. Результатом таких атак может являться выведение ресурса из строя, получение полного доступа к ресурсу, а, следовательно, к информации, хранящемся на нем, использование ресурса как части зомби-сети.
В связи с появлением кредитных карт, электронных денег и возможностью их использования через интернет (интернет-магазины, аукционы, персональные страницы банков и т.д.) интернет-мошенничество стало одним из наиболее распространенных преступлений.
Интранет
Интранет - это внутренняя сеть, специально разработанная для управления информацией внутри компании или, например, частной домашней сети. Интранет является единым пространством для хранения, обмена и доступа к информации для всех компьютеров сети. Поэтому, если какой-либо из компьютеров сети заражен, остальные компьютеры подвергаются огромному риску заражения. Во избежание возникновения таких ситуаций необходимо защищать не только периметр сети, но и каждый отдельный компьютер.
Электронная почта
Наличие почтовых приложений практически на каждом компьютере, а также то, что вредоносные программы полностью используют содержимое электронных адресных книг для выявления новых жертв, обеспечивает благоприятные условия для распространения вредоносных программ. Пользователь зараженного компьютера, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Нередки случаи, когда зараженный файл-документ по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.
Помимо угрозы проникновения вредоносных программ существуют проблема внешней нежелательной почты рекламного характера (спама). Не являясь источником прямой угрозы, нежелательная корреспонденция увеличивает нагрузку на почтовые сервера, создает дополнительный трафик, засоряет почтовый ящик пользователя, ведет к потере рабочего времени и тем самым наносит значительный финансовый урон.
Также важно отметить, что злоумышленники стали использовать так называемые спамерские технологии массового распространения и методы социального инжиниринга, чтобы заставить пользователя открыть письмо, перейти по ссылке из письма на некий интернет-ресурс и т.п. Из этого следует, что возможности фильтрации спама важны не только сами по себе, но и для противодействия некоторым новым видам интернет-мошенничества (например, фишингу), а также распространению вредоносных программ.
Съемные носители информации
Съемные носители - дискеты, CD-диски, флеш-карты - широко используются для хранения и передачи информации.
При запуске файла, содержащего вредоносный код, со съемного носителя вы можете повредить данные, хранящиеся на вашем компьютере, а также распространить вирус на другие диски компьютера или компьютеры сети.
Глава 4: Признаки заражения
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное. К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры. Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, формируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера. Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными. Есть ряд признаков, свидетельствующих о заражении компьютера. Если вы замечаете, что с компьютером происходят "странные" вещи, а именно:
· на экран выводятся непредусмотренные сообщения, изображения либо воспроизводятся непредусмотренные звуковые сигналы;
· неожиданно открывается и закрывается лоток CD/DVD-ROM-устройства;
· произвольно, без вашего участия, на вашем компьютере запускаются какие-либо программы;
· на экран выводятся предупреждения о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы никак не инициировали такое ее поведение,
то, с большой степенью вероятности, можно предположить, что ваш компьютер поражен вирусом.
Кроме того, есть некоторые характерные признаки поражения вирусом через почту:
· друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
· в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
· частые зависания и сбои в работе компьютера;
· прекращение работы или неправильная работа ранее успешно функционировавших программ;
· невозможность загрузки операционной системы;
· исчезновение файлов и каталогов или искажение их содержимого;
· изменение даты и времени модификации файлов;
· изменение размеров файлов;
· неожиданное значительное увеличение количества файлов на диске;
· существенное уменьшение размера свободной оперативной памяти;
· частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
· веб-браузер (например, Microsoft Internet Explorer) "зависает" или ведет себя неожиданным образом (например, окно программы невозможно закрыть).
Глава 5: Действия при заражении вирусом
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать следующие правила:
· Не паникуйте! Не поддаваться панике - золотое правило, которое может избавить вас от потери важных данных и лишних переживаний. Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потери части файлов, но к повторному заражению компьютера.
· Отключите компьютер от интернета и локальной сети, если он к ней был подключен, чтобы вирус не продолжал своих разрушительных действий.
· Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Microsoft Windows, который вы создавали при установке операционной системы на компьютер.
· Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флеш-карту и пр.).
· Установите антивирусную программу, если вы этого еще не сделали.
· Обновите антивирусные базы программы. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет-кафе, с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета.
· Выполните полную проверку компьютера на вирусы.
· Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, воспользуйтесь услугами специалиста с достаточной квалификацией.
Глава 6: Методы защиты от компьютерных вирусов.
Часть 1. Антивирусные программы
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
· программы-детекторы;
· программы-доктора или фаги;
· программы-ревизоры;
· программы-фильтры;
· программы-вакцины или иммунизаторы.
Программы-детекторы
Осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины
Не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры
Относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или "сторожа"
Представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
Такими действиями могут являться:
· попытки коррекции файлов с расширениями COM, EXE;
· изменение атрибутов файла;
· прямая запись на диск по абсолютному адресу;
· запись в загрузочные сектора диска;
· загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость"(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.
Вакцины или иммунизаторы
Резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Современные требования к антивирусной программе
Основная задача антивирусной программы - наиболее полно и надежно определять присутствие вируса, а также корректно лечить зараженные объекты, удаляя из них тело вируса и восстанавливая объект в первоначальном виде.
Немаловажную роль играет наличие большой антивирусной базы. Чем больше вирусов «знает» антивирусная программа, тем лучше. С ростом компьютерных сетей и вовлечения большого числа организаций и частных лиц в Internet, вирусы перестают разделяться на российские и иностранные. Вирусы не знают границ, не признают таможен и могут оказаться в любом компьютере. Нельзя отгородиться от всего информационного мира железным занавесом и считать себя в безопасности. Нет никакой гарантии, что вирус, написанный в далекой Австралии, не уничтожит ценную информацию и не принесет огромные убытки именно Вам, живущему за океаном.
Следует отметить, что большая антивирусная база - это также залог удачного восстановления зараженного объекта в первоначальном виде, основанный на индивидуальном подходе к каждому вирусу и его тщательному анализу. Третья задача антивирусного сканера - быстрое реагирование на новые вирусы путем частого выпуска новых версий или обновлений антивирусных баз.
Следующий критерий - наличие мощного эвристического механизма для борьбы с еще неизвестными программе вирусами. Не вдаваясь в подробности работы такого механизма, отметим, что по характерным для вирусов участкам кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Любой подобный механизм, конечно, может давать ложные срабатывания. Однако процент таких отказов должен быть минимален, и именно он прежде всего определяет качество эвристики. Как показал опыт работы, в любом случае в таких вопросах лучше немного перестраховаться.
Важная особенность антивирусного сканера - возможность проверки архивных и упакованных файлов. В настоящее время большинство разработчиков программного обеспечения применяют те или иные программы упаковки исполняемых модулей. Делается это для того, чтобы программы больших размеров занимали на жестком диске меньше места.
Вирусы хорошо приспособились к этому. Есть вирусы, которые могут распаковать файл, заразить его и запаковать снова (впрочем, запаковать уже зараженный файл тоже вполне возможно). Основная проблема состоит в том, что количество программ упаковки велико. К тому же один упаковщик может иметь разные версии. Таким образом, если антивирусная программа не умеет проверять упакованные объекты, то эффективность ее использования значительно снижается.
Теперь обратимся к архивным файлам. Многие пользователи персональных компьютеров используют программы-архиваторы для сжатия редко используемых файлов и программ. Если по неосторожности или злому умыслу в архив проберется вирус, то он может затаиться там надолго, пролежать несколько лет, и потом, когда вам понадобятся старые файлы, выберется оттуда и нанесет вред.
Возможность проверки файлов «на лету» также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100%-й гарантией от заражения вирусом. В комплект антивирусной программы должна входить резидентная антивирусная программа, которая постоянно находясь в оперативной памяти, контролирует операции обращения к файлам и секторам и запрещает доступ к объекту, если в нем обнаружен вирус.
Важным требованием также является существование версий антивируса под большинство популярных платформ (DOS, Windows 95, Windows 98, Windows NT, Novell NetWare, OS/2 и т.д.). Во-первых, только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. А во-вторых, если Вы одновременно используете различные платформы (скажем, Novell NetWare для сетей и DOS, Windows для рабочих станций), то лучше всего использовать для разных платформ антивирусные программы одного производителя. Это связано с тем, что порой антивирусы могут конфликтовать между собой и определять друг друга как вирус.
Часть 2. Профилактика заражения
Никакие самые надежные и разумные меры не смогут обеспечить стопроцентную защиту от компьютерных вирусов и троянских программ, но, выработав для себя ряд правил, вы существенно снизите вероятность вирусной атаки и степень возможного ущерба.
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и потери каких-либо данных.
Ниже перечислены основные правила безопасности, выполнение которых позволит вам избегать вирусных атак.
Правило № 1: защитите ваш компьютер с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:
· Безотлагательно установите антивирусную программу.
· Регулярно обновляйте антивирусные базы, входящие в состав программы.
Правило № 2: будьте осторожны при записи новых данных на компьютер:
· Проверяйте на присутствие вирусов все съёмные диски (дискеты, CD-диски, флеш-карты и пр.) перед их использованием.
· При переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
· Периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты;
· Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации;
· Не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;
· Осторожно обращайтесь с почтовыми сообщениями. Не запускайте никаких файлов, пришедших по почте, если вы не уверены, что они действительно должны были прийти к вам, даже если они отправлены вашими знакомыми.
· Внимательно относитесь к информации, получаемой из интернета. Если с какого-либо веб-сайта вам предлагается установить новую программу, обратите внимание на наличие у нее сертификата безопасности.
· Если вы копируете из интернета или локальной сети исполняемый файл, обязательно проверьте его с помощью антивирусной программы.
· Внимательно относитесь к выбору посещаемых вами интернет-ресурсов. Некоторые из сайтов заражены опасными скрипт-вирусами или интернет-червями.
Правило № 3: с недоверием относитесь к вирусным мистификациям - программам-шуткам, письмам об угрозах заражения.
Правило № 4: пользуйтесь сервисом Windows Update и регулярно устанавливайте обновления операционной системы Microsoft Windows.
Правило №5: покупайте дистрибутивные копии программного обеспечения у официальных продавцов.
Правило № 6: ограничьте круг людей, допущенных к работе на вашем компьютере.
Правило № 7: уменьшите риск неприятных последствий возможного заражения:
· Своевременно делайте резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флеш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте.
· Обязательно создайте диск аварийного восстановления, с которого при необходимости можно будет загрузиться, используя "чистую" операционную систему.
Правило № 8: регулярно просматривайте список установленных программ на вашем компьютере. Для этого вы можете воспользоваться пунктом Установка/удаление программ в Панели инструментов или просто просмотреть содержимое каталога Program Files, каталога автозагрузки. Таким образом, вы можете обнаружить программное обеспечение, которое было установлено на компьютер без вашего ведома, пока вы, например, пользовались интернетом или устанавливали некоторую программу. Наверняка некоторые из них могут оказаться потенциально опасными программами.
Глава 7: Вирусные технологии XXI века
Массовое распространение компьютерных вирусов, а также активное обсуждение в прессе планов информационной войны с привлечением хакеров для подавления вражеских систем управления и передачи данных привели к тому, что вопрос о создании средств противодействия и защиты приобретает новое качество. По мнению ряда зарубежных экспертов, государство, проигравшее в информационной войне, будет отброшено в своем развитии на многие десятилетия.
Сегодня уже ясно, что традиционные методы построения систем защиты информации не принесут желаемого результата. Надо искать принципиально новые подходы к решению этой проблемы.
Уже разработан ряд алгоритмов, позволяющих писать вирусы, которые принципиально нельзя обнаружить ни одним из существующих способов. Многие отмечают, что самомодифицирующийся произвольным образом код получить просто невозможно, по крайней мере - для архитектуры Intel [2]. В любом случае, есть жесткие рамки, которые позволяют одну и ту же операцию реализовать ограниченным числом способов. Способы эти известны заранее, что, в принципе, позволяет перечислить все ключевые фрагменты вирусов, а значит - безошибочно их распознать.
Однако если предположить, что архитектура процессора может быть произвольной, или даже динамически синтезируемой в процессе выполнения, как это сделано в работе [2], то достаточно написать эмулятор соответствующего процессора - некоторую виртуальную машину, которая будет выполнять код вируса, построенный на определенных принципах. Важно, что реализация виртуальной машины может быть произвольной. Сегодня можно найти программные эмуляторы многих популярных в 1980-е годы машин: от «Спектрума», до БК-0010. Учитывать надо и то, что эмуляторы можно генерировать автоматически.
Как отмечается в [2], вирус, написанный на виртуальной машине, требует очень много времени для анализа традиционными методами. Значит, нужны средства автоматической борьбы с такого рода деструктивными программами. Вопрос лишь в том, на каких принципах должна базироваться такая антивирусная система? Ответ оказывается удивительно простым: на принципах иммунной системы человека. Действительно, в нашем организме функционирует превосходная система, способная бороться с миллиардами болезнетворных антигенов. А уж ей-то по плечу и не такие «полиморфики»!
Искусственная иммунная система ISC фирмы IBM
Одним из успешных проектов использования изложенной выше теоретической концепции является создание компанией IBM иммунной системы киберпространства (Immune System for Cyberspace, ISC), действующий макет которой был продемонстрирован еще в октябре 1997 года на проходившей в Сан-Франциско конференции «Virus Bulletin'97».
Антивирусная технология IBM построена на основе модели иммунной системы человека. Несмотря на получение нескольких патентов, непосредственно касающихся ISC, работа пока не завершена.
Есть и другое подтверждение актуальности этого направления работ: в 1999 году американская корпорация RAND, известная как мозговой центр ряда силовых ведомств Америки, провела исследование, результатом которого стали рекомендации по выбору технологий, способных обеспечить необходимый уровень информационной безопасности национальной информационной инфраструктуры и оборонительной информационной инфраструктуры Министерства обороны США. В качестве самых перспективных технологий создания систем защиты информации нового поколения были выбраны именно технологии формирования искусственной иммунной системы.
Очевидно, что создать систему защиты информации компьютерной сети по прямому подобию иммунной системы человека практически невозможно, да в этом и нет необходимости. Однако тот факт, что иммунная система достигла совершенства в борьбе с болезнетворными и чужеродными антигенами, говорит о том, что многие принципы, сформировавшие иммунную систему, весьма эффективны и могут быть использованы с тем допущением, что работать они будут не с биохимическими антигенами, а с антигенами программными, то есть информационными.
Наряду с этим последние достижения в области создания многоагентных интеллектуальных систем позволяют надеяться, что в ближайшее время искусственная иммунная система будет создана и ее эффективность не опустится ниже эффективности ее природного прототипа.
Подобные документы
Кто и почему пишет вирусы. Компьютерные вирусы, их свойства, классификация. Пути проникновения вирусов в компьютер, механизм распределения вирусных программ. Методы защиты от компьютерных вирусов. Антивирусные программы: Doctor Web, Microsoft Antivirus.
реферат [45,2 K], добавлен 27.09.2008Разновидности компьютерных вирусов. Антивирусные программы. Стандартные программы оперативной системы Windows. Проявление наличия вируса в работе с ПЭВМ. Последствия заражения компьютера вирусами.
контрольная работа [27,9 K], добавлен 28.07.2004История появления компьютерных вирусов. Принцип работы вируса и его основные источники. Ранние признаки заражения компьютера. Признаки активной фазы вируса. Защита от компьютерных вирусов. Ответственность за компьютерные преступления –внедрение вирусов.
презентация [43,8 K], добавлен 10.10.2011Представление о "привычках" компьютерных вирусов и ориентация в методах противодействия им. Файловые, загрузочные и комбинированные вирусы. Простые, полиморфные и стелс-вирусы. Антивирусные программы: сканирование, детектирование и удаление вирусов.
реферат [25,1 K], добавлен 27.02.2009Определение и типы компьютерных вирусов, принципы их распространения. Методы борьбы с вирусами и средства обнаружения, антивирусные программы, доктора-ревизоры и их применение, программы-фильтры, вакцины в оперативной памяти компьютера и их значение.
дипломная работа [45,2 K], добавлен 07.05.2012Самовоспроводящиеся компьютерные программы. Классификация компьютерных вирусов. Основные группы: загрузочные, файловые, сетевые, скриптовые и сетевые черви. Хакерские утилиты и прочие вредоносные программы. Основные каналы распространения вирусов.
презентация [527,7 K], добавлен 11.01.2011Понятие компьютерного вируса. Его появление в работе на компьютерах. Разновидности компьютерных вирусов: невидимые, самомодифицирующиеся. Защита от них. Антивирусные программы. Вакцины. Программы - детекторы, ревизоры, фильтры. Действия при заражении.
реферат [13,8 K], добавлен 21.06.2008Вирус – компьютерная программа, способная к саморазмножению. Вирусы класифицируются по среде обитания, способу заражения, масштабу воздействия, особенностям алгоритма. Проникновение вирусов в систему. Защита компьютера от вируса. Антивирусные программы.
творческая работа [287,3 K], добавлен 26.02.2009Определение, история создания и развития компьютерных вирусов; способы их распространения и борьбы с ними. Классификация вирусов по среде обитания, деструктивным возможностям и особенностям алгоритма работы; резидентные и нерезидентные программы.
контрольная работа [37,9 K], добавлен 27.04.2014Понятие компьютерного вируса, причины и последствия его активизации. Признаки появления вирусов. Стоимость нанесенного вреда. Хакерские утилиты и прочие вредоносные программы. Параметры, которым должны отвечать антивирусные программы, их классификация.
презентация [1,3 M], добавлен 17.02.2014
