Лекция компьютерные вирусы и способы борьбы с ними
Антивирусные средства. Компьютерные вирусы. Методы защиты программных средств и данных от компьютерных вирусов. Действия при заражении вирусом. Профилактика заражения вирусом.
Вирус – это специально написанная небольшая по размерам (от 200 до 5000 байт), программа которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:
- по среде обитания вируса;
- по способу заражения среды обитания;
- по деструктивным возможностям;
- по особенностям алгоритма вируса.
распространяются по компьютерной сети
внедряются в выполняемые файлы
внедряются в загрузочный сектор диска(Boot.сектор)
находятся в памяти, активны до выключения компьютера
не заражают память, являются активными ограниченное время
практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
уменьшают свободную память, создают звуковые, графические и прочие эффекты
могут привести к серьёзным сбоям в работе
могут привести к потере программ или системных данных
Особенности алгоритма вируса
вирусы не изменяющие файлы, создают для ехе – файлов файлы-спутники с расширением .соm
распространяются по сети, рассылают свои копии, вычисляя сетевые адреса
изменяют содержимое дисковых секторов или файлов
примитив, содержат большое количество ошибок
«стелс» - вирусы (невидимки)
Перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
Не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
Пишутся не в машинных кодах, а на WORDBASIC, живут в документах
Признаки появления вирусов:
- Общие средства защиты информации, которые полезны также как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
- Профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- Специальные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две разновидности этих средств::
- копирование информации - создание копий файлов и системных областей дисков;
- разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Антивирусными программами называются специальные программы, которые позволяют обнаруживать и уничтожать вирусы.
- программы-детекторы
- программы-доктора или фаги
- программы- ревизоры
- программы – фильтры
- программы- вакцины или иммунизаторы
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в ОЗУ, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Для того, чтобы не подвергать компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:
Обращаем Ваше внимание, что в соответствии с Федеральным законом N 273-ФЗ «Об образовании в Российской Федерации» в организациях, осуществляющих образовательную деятельность, организовывается обучение и воспитание обучающихся с ОВЗ как совместно с другими обучающимися, так и в отдельных классах или группах.
Рабочие листы и материалы для учителей и воспитателей
Более 2 500 дидактических материалов для школьного и домашнего обучения
Столичный центр образовательных технологий г. Москва
Получите квалификацию учитель математики за 2 месяца
от 3 170 руб. 1900 руб.
Количество часов 300 ч. / 600 ч.
Успеть записаться со скидкой
Форма обучения дистанционная
- Онлайн
формат - Диплом
гособразца - Помощь в трудоустройстве
Видеолекции для
профессионалов
- Свидетельства для портфолио
- Вечный доступ за 120 рублей
- 311 видеолекции для каждого
ЛЕКЦИЯ 5. ВИРУСЫ И БОРЬБА С НИМИ
Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Вирусы можно разделить на классы по следующим признакам:
По особенностям алгоритма можно выделить следующие группы вирусов:
· вирусы-“черви ” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.
· “ паразитические ” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”.
· “ стелс ”- вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы.
· “ полиморфик ”- вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
· “ макро-вирусы ” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word.
Основные симптомы вирусного поражения следующие:
· Замедление работы некоторых программ.
· Увеличение размеров файлов (особенно выполняемых).
· Появление не существовавших ранее “странных” файлов.
· Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).
· Внезапно возникающие разнообразные видео и звуковые эффекты.
В ходе работы AVP сканирует:
· Оперативную память (DOS, XMS, EMS).
· Файлы, включая архивные и упакованные.
· Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).
Основные особенности AVP:
· Детектирование и удаление огромного числа самых разнообразных вирусов, в том числе:
* полиморфных или самошифрующихся вирусов;
* стелс-вирусов или вирусов-невидимок;
* новых вирусов для Windows 3.XX и Windows 95;
* макро вирусов, заражающих документы Word и таблицы Excel.
· Сканирование внутри упакованных файлов (модуль Unpacking Engine).
· Сканирование внутри архивных файлов (модуль Extracting Engine).
· Сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках.
· Эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ вирусов.
· Поиск в режиме избыточного сканирования.
· Проверка объектов на наличие в них изменений.
· “AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом.
· Удобный пользовательский интерфейс.
· Создание, сохранение и загрузка большого количества различных настроек.
· Механизм проверки целостности антивирусной системы.
· Мощная система помощи.
Перед тем, как начать проверку и/или лечение, Вы можете установить во вкладке “Действия” флажки “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов). При этом Вам станет доступно поле для ввода имени папки. По умолчанию имя папки для зараженных объектов - “Infected”, для подозрительных объектов - “Suspicious”. Если Вы хотите изменить имена этих папок, то введите новое имя в строке ввода, предварительно удалив старое. Находиться эти папки будут в папке, где лежит AVP. Указав в строке ввода кроме имени папок еще и путь, Вы можете изменить расположение этих папок. Тем самым AVP сохранит зараженные и/или подозрительные объекты в указанных Вами папках.
Во вкладке “Область” отметьте нужные диски и/или папки. Для этого два раза щелкните на нужном объекте левой кнопкой мыши или подведите курсор к нужному объекту и нажмите клавишу . Чтобы быстрее отметить диски, во вкладке “Область” нужно поставить соответствующие флажки “Локальные диски”, и/или “Сетевые диски”, и/или “Флоппи дисководы”. Например, если поставить флажок “Локальные диски”, то будут отмечены все локальные диски Вашего компьютера, на котором установлен AVP.
Если Вы хотите добавить в список папку, щелкните по кнопке “Добавить папку”. Перед Вами появится стандартное окно Windows 95, в котором с помощью мыши или клавиатуры, нужно выбрать папку, которую Вы хотите добавить в область для сканирования.
Во вкладке “Объекты” отметьте флажками типы объектов, которые Вы хотите просканировать: “Память”, и/или “Сектора”, и/или “Файлы”, и/или “Упакованные объекты”, и/или “Архивы”.
Область” объекты для сканирования.
Во вкладке “Объекты” установите тип файлов, который будет тестироваться. Для надежности лучше проверить все файлы, для этого выберите “мышью” или клавишами управления курсором радиокнопку с надписью “Все файлы”.
При выборе режима во вкладке “Действия” лучше всего выбрать радиокнопку “Запрос на лечение”. В этом случае, при обнаружении очередного инфицированного объекта, на экране будет появляться диалоговое окно “Зараженный объект”, в котором можно задать действия с этим объектом.
Если Вы установите переключатели “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов), то эти объекты будут копироваться в отдельные папки. Это может быть полезным, если Вы предварительно не создали резервные копии.
Во вкладке “Настройки” Вы можете установить дополнительные режимы для поиска вирусов: “Предупреждения” (рекомендуется включить), и/или “Анализатор кода” (рекомендуется включить), и/или “Избыточное сканирование”, а также указать дополнительные опции: “Отчет о чистых объектах”, и/или “Отчет об упакованных объектах”, и/или “Звуковые эффекты”, и/или “Слежение за отчетом”. Отчет о работе AVP можно записать в файл отчета. Имя файла задайте рядом в поле ввода (по умолчанию - имя файла “Report.txt”).
Антивирусные программы семейства Dr.Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы.
В основном окне программы задаются объекты тестирования и действия, которые необходимо осуществлять над ними. После завершения проверки в главном окне отображаются результаты работы программы или статистика всех проведенных проверок за данный сеанс работы . Кроме этого, из главного окна доступны все дополнительные функции и настройки программы через систему меню и кнопки быстрого доступа.
Для проверки объектов на наличие вирусов необходимо выбрать устройства или их часть (каталоги, файлы), которые будет проверять Dr.Web. Это может быть произведено несколькими способами:
Панель выбора объектов для проверки, находящаяся в центральной части основного окна, отображает древовидную структуру имеющихся в системе устройств хранения информации:
Вы можете выбрать любое устройство левой кнопкой мышки. После выбора устройства его иконка приобретет новый вид:
Для проверки какой-либо отдельной папки (каталога) необходимо открыть структуру папок (каталогов). Для этого нужно щелкнуть левой кнопкой мышки по значку слева от иконки устройства. Откроется дерево папок (каталогов) устройства и теперь можно выбрать одну или несколько папок (каталогов) с помощью щелчка левой кнопки мышки:
/AL - проверка всех файлов на заданном устройстве или в заданном каталоге
/AR[N] - проверка файлов, находящихся внутри архивов. Обеспечивается проверка (без лечения) архивов, созданных архиваторами ARJ, PKZIP, RAR. Дополнительный параметр N блокирует печать имени программы-архиватора после имени архивного файла
/CU[RDMP-] - лечение файлов и системных областей дисков, удаление найденных вирусов. Вы можете указать дополнительные параметры:
"-" - только выводить отчет,
M - перемещать (по умолчанию, в подкаталог INFECTED. ),
P - перед действием выводить запрос
/EX - проверка файлов с расширениями, стандартными для исполняемых модулей, документов и таблиц MS Office, (т.е. только с расширениями COM, EXE, SYS, BAT, CMD, DRV, BIN, DLL, OV?, BOO, PRG, VXD, 386, SCR, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VBS, JS*, INF, A. ZIP, R. PP?, HLP)
/FM - проверка файлов по внутреннему формату исполняемых модулей.
Независимо от расширения проверяются файлы, имеющие внутреннюю структуру исполняемых программных модулей, а также "макросодержащих" документов MS Word и электронных таблиц MS Excel.
Обращаем Ваше внимание, что в соответствии с Федеральным законом N 273-ФЗ «Об образовании в Российской Федерации» в организациях, осуществляющих образовательную деятельность, организовывается обучение и воспитание обучающихся с ОВЗ как совместно с другими обучающимися, так и в отдельных классах или группах.
Рабочие листы и материалы для учителей и воспитателей
Более 2 500 дидактических материалов для школьного и домашнего обучения
Столичный центр образовательных технологий г. Москва
Получите квалификацию учитель математики за 2 месяца
от 3 170 руб. 1900 руб.
Количество часов 300 ч. / 600 ч.
Успеть записаться со скидкой
Форма обучения дистанционная
- Онлайн
формат - Диплом
гособразца - Помощь в трудоустройстве
Видеолекции для
профессионалов
- Свидетельства для портфолио
- Вечный доступ за 120 рублей
- 311 видеолекции для каждого
Лекция на тему:
«Компьютерные вирусы и борьба с ними»
3.1.Компьютерный вирус
Для того, чтобы проиллюстрировать, что могут вытворять компьютерные вирусы, представьте себе следующие ситуации, которые, вполне возможно, могут произойти и с Вами при работе на ПК.
Вам предложили отредактировать текстовый документ, созданный программой MS WORD и сохраненный на дискете. Вы открываете его, но вдруг обнаруживаете, что программа MS WORD ведет себя как-то ненормально — не реагирует при выборе некоторых пунктов меню (например, меню Файл пункт Сохранить как…), не откликается на нажатие «горячих» клавиш ( Ctrl + C , Ctrl + V ). Заподозрив что-то неладное с этим документом, Вы закрываете программу MS WORD , вытаскиваете дискету.
Затем Вам понадобилось создать новый текстовый документ, но, открыв программу MS WORD , Вы видите, что проблемы остались. Ваш текстовый редактор никаким образом не хочет работать нормально.
Invalid system disk (Системный диск поврежден).
Это значит, что некоторые системные файлы на Вашем винчестере(жестком диске) повреждены или вообще отсутствуют. В некоторых случаях, Ваш компьютер вообще не реагирует на включение питания, т.е. поврежденным оказалось BIOS компьютера.
Все, Ваш компьютер — мертв! Катастрофа!
Вы заключили договор с провайдером на подключение к сети Интернет с почасовой оплатой. Работаете в Интернет в течение одного-двух часов в день. В конце месяца Вам приходит счет от провайдера, где фигурирует огромная сумма — оказывается, Вы проводили в Интернете каждый день по пять-шесть часов. Это значит, что кто-то узнал Ваше «Имя пользователя» и «Пароль» для подключения к сети Интернет. Но Вы никому «Имя пользователя» и «Пароль» не сообщали, на Вашем компьютере никто не работал. Тем не менее, Вашими параметрами для входа в сеть кто-то благополучно пользовался, а платить Вам.
Все описанные выше случаи — это результат работы компьютерных вирусов на Вашем компьютере.
Что же это такое: компьютерный вирус?
Компьютерный вирус — это небольшая рукотворная программа, которая копирует себя в другие программы, заражая их таким образом, что может вызвать какие-либо проблемы в работе ПК и даже привести к потере информации.
Программа, инфицированная (зараженная) вирусом может сразу, при запуске, приступить к разрушающим действиям или подождать какого-либо события, например, определенной даты или времени. Так как вирусы способны быстро распространяться среди программ, то размер разрушений может быть огромным.
Как правило, вирус попадает на Ваш компьютер с какой-нибудь программой или документом. Например, Ваш знакомый дал Вам интересную игру на дискете или «пиратском» компакт-диске. Вы копируете ее себе на компьютер, запускаете (возможно, запускаете ее прямо с CD или дискеты, не копируя на компьютер), и вирус активизировался: начал заражать другие программы и приступил к разрушающим воздействиям или притаился, дожидаясь своего часа.
В зависимости от того, какие именно программы инфицируются, вирусы можно разделить на два типа:
Файловые вирусы заражают программы на жестком диске и дискетах. Они копируют себя в исполняемые файлы (файлы с расширением *. com или *. exe ), в командные файлы (*. bat ). К такому типу вирусов относятся и так называемые макро-вирусы, которые живут в текстовых документах ( MS WORD ) или электронных таблицах ( MS EXCEL ).В последнее время все чаще стали макро-вирусы, способные внедряться внесколько приложений сразу (например, " Nriplicate " - макро-вирус, одновременно поражающий документы MS WORD , MS EXCEL и MS POWER POINT . Когда вы запускаете зараженную программу или открываете зараженный документ, вирус начинает действовать.
Вирус « Tr 97», результат работы которого описан в первой ситуации, относится к файловым вирусам, а точнее, к макро-вирусам. Он живет в документе, который Вам предложили редактировать, и заразил Ваш компьютер после открытия этого документа. Этот вирус копирует себя в файл-шаблон « Normal . dot », который является основой для всех создаваемых Вами документов, и который всегда открывается при запуске текстового редактора MS WORD .
Загрузочные вирусы заражают системные файлы Вашего винчестера. После попадания такого вируса на Ваш компьютер, он копирует себя в системные файлы и всегда при включении компьютера начинает действовать.
Знаменитый вирус « Win 95. CIN », созданный тайваньским студентом весной 1998 года, заражал системные файлы компьютеров и ждал своего часа. 26 апреля 1999 года (в день памяти Чернобыльской трагедии) этот вирус вывел из строя сотни тысяч компьютеров по всему миру. Данный вирус имеет несколько модификации, которые могут привести к последствиям, описанным во второй ситуации.
А вдруг такой вирус живет на Вашем компьютере и ждет своего часа?
Кроме того, в последнее время очень широкое распространение получили вирусы, которые используют Интернет-соединения. Их называют Троянскими конями. Из истории Вы помните, что во время Троянской войны древние греки долго и безрезультатно осаждали город Троя. Так и не захватив город, греки пошли на хитрость — отступив от города, они оставили у его стен огромного деревянного коня. Наивные троянцы затащили этот "подарок" к себе в город, а ночью из коня вылезли солдаты и захватили Трою.
На Вашем компьютере тоже может появиться такой «подарочек», который при подключении Вашего компьютера к сети Интернет, незаметно для Вас, начинает скачивать какие-либо данные в «нужное место». Обычно злоумышленников интересуют хранящиеся на Вашем компьютере пароли.
Результат действия такого «Троянского коня» описан в третей ситуации. Прочитав Ваше «Имя пользователя» и «пароль» вирус отправил их по нужному адресу.
Самым знаменитым "Троянским конем" является программа « Back Oriface ». Работая на Вашем компьютере, она позволяет управлять им удаленно — посредством Интернет-соединения: скачивать нужные файлы, запускать программы, заставить Ваш компьютер перестать откликаться на нажатие клавиш клавиатуры и т. д., и т.п.
3.2.Способы борьбы с компьютерными вирусами
Существует два метода борьбы с компьютерными вирусами:
Организационные методы направлены на предотвращение заражения компьютерным вирусом.
Вот несколько советов, следуя которым Вы защитите свой компьютер от вирусов.
1. Внимательно следите за происхождением всех новых программ и документов на Вашем компьютере. Например, нельзя доверять таким источникам как «пиратский» компакт - диск с программным обеспечением. Известно, что «знаменитый» вирус « Win 95. CIN » распространялся именно на таких компакт дисках.
2. Не вставляйте в Ваш компьютер дискеты с неизвестным содержимым.
4. Установите в программе MS WORD защиту от использования макросов. Для это сделайте следующее:
- Откройте программу MS WORD и в меню Сервис выберите пункт "Параметры"(рис. 5.3.1.),
- В открывшемся одноименном окне перейдите на вкладку Общие,
- Поставьте галочку в параметре защита от вирусов в макросах.
- найдите этот файл (« C :\ Programm Files \Шаблоны\»),
- щелкните правой кнопкой мыши по этому файлу и в контекстном меню выберите команду Свойства (рис. 5.3.2.),
- установите в атрибутах файла флажок только для чтения.
6. Включите опцию "Virus Warning" в BIOS Setup. Для этого необходимо сделать следующее:
Press Del to run Setup
(Нажмите клавишу Del для запуска программы Setup ),
- пока горит эта надпись, нажмите нужную клавишу, и, когда загрузится разноцветное меню, выберите в нем пункт " BIOS features Setup ",
- в открывшемся окне в строке « Virus Warning » установите — « Enabled ».
Теперь при попытке несанкционированного изменения системных файлов винчестера будет появляться предупреждение.
(К сожалению, существуют методы, позволяющие записывать информацию в системные файлы в обход BIOS . Таким образом, стопроцентной защиты от загрузочных вирусов данный прием не обеспечивает. Кроме того, при установке новой операционной системы WINDOWS необходимо опцию Virus Warning отключить).
7. При работе в сети Интернет не записывайте и не открывайте программы с неизвестных подозрительных страниц. Легко можно загрузить себе "Троянского коня".
Технические методы направлены на обнаружение, блокирование и удаление вирусов.
Данные методы предусматривает использование специальных программ — антивирусов.
Наиболее известны и надежны так называемые «сканеры» — программы, предназначенные для поиска и излечения известных вирусов, например, DrWeb , AVP или Norton Antivirus . Некоторые «сканеры» способны анализировать код программы с целью отыскания еще неизвестных вирусов ( DrWeb и AVP ).
Большую пользу могут принести и так называемые «мониторы», которые постоянно работают на Вашем компьютере и постоянно отслеживают и блокируют все «вирусоподобные» действия программ. К этому классу относятся программа SplDer Guard , входящая в состав антивирусного пакета DrWeb и программа AVP Inspector .
Безусловно, эффективная защита от вирусов — в совместном применении организационных и технических методов.
В таблице 5.3.1. дается сравнительный анализ трех самых популярных программ-антивирусов.
Сравнительный анализ самых популярных антивирусных программ.
(автор: Игорь Данилов,
фирма "Диалог Наука")
Обладает удобным пользовательским интерфейсом. Пользователь может указать программе тестировать, как весь диск, так и отдельные подкаталоги или группы файлов. Содержит мощный механизм обнаружения новых вирусов, способный излечивать некоторые просто организованные "новинки". Набор излечиваемых вирусов хорошо ориентирован на отечественную действительность. Может находить и удалять сложные самомодифицирующиеся вирусы-мутанты, которые при размножении модифицируют себя. Обновление вирусной базы происходит в среднем раз в месяц. Новая версия выходит несколько раз в год.
Может неправильно распознавать якобы зараженную "новинкой" программу. Количество излечиваемых вирусов (около 25000). Тестирование винчестера занимает большой промежуток времени и практически всю оперативную память.
(Лаборатория Евгения Касперского)
Обладает удобным интерфейсом. Отличается большим количеством излечиваемых вирусов (более 30000). Обновление вирусных баз происходит несколько раз в месяц, обновление версий — несколько раз в год.
Неуверенно обнаруживает новые вирусы. Невысокая скорость тестирования винчестера.
Мониторит работу операционной системы WINDOWS начиная с загрузки и до выключения компьютера. Вирусная база — более 40000. Способен отслеживать "подозрительные" изменения в программно-аппаратной конфигурации компьютера. Обновление вирусных баз — несколько раз в месяц.
Отсутствует русский интерфейс. Иногда ошибочно обнаруживает новые вирусы. Для отдельных вирусов вместо "лечения" неоправданно предлагает "удаление".
Следует отметить, что информация, приводимая в таблице 5.3.1 по объемам вирусных баз, известных той или иной антивирусной программе, весьма условна. Это прежде всего связано с различными подходами, связанными с подсчетами этого количества вирусов.
Какой антивирус лучше?
Антивирусы постоянно тестируются и сравниваются по различным формальным критериям. По результатам этих сравнений на первом месте оказывается то одна, то другая антивирусная программа. Вместе с тем , последние пять тестирований выявили несомненного лидера. Им оказались: сканер Doctor Web и резидентный сторож SpIDer Guard.
(Страничку в Интернете с информацией о февральском тестировании антивирусных программ, опубликованной в одном из самых авторитетных международных журналов « Virus Bulletin »,читайте ниже.)
Следует заметить, что ни в коем случае не следует пользовать устаревшими (более чем на полгода) или малоизвестными антивирусами. В лучшем случае они просто ничего не найдут, в худшем — испортят информацию на винчестере лучше самого опасного вируса.
Самый правильный и цивилизованный в этом случае способ ваших действий — оформить годовую подписку, например, на сканер Doctor Web и резидентный сторож SpIDer Guard.
Ниже приведена статья опубликованная на сайте производителя программы DrWeb ( www . dialognauka . ru ).
______________________________________
D octo r Web против вирусов — 100:0!
В февральском номере авторитетного международного журнала «Virus Bulletin» опубликованы результаты очередного тестирования антивирусных программ со всего мира (на этот раз под операционной системой WINDOWS M e ). Отечественные программы-сканер Doctor Web и резидентный сторож SpIDer Guard — в очередной раз (пятый!) получили престижную награду VB100%.
Награда "Virus Bulletin 100%" присуждается программам, которые в паре (сканер и сторож) определяют 100% вирусов из коллекции "In the Wild" (т.е. вирусов, реально встречающихся в мире на компьютерах пользователей).
Более того, как и в предыдущем тестировании в ноябре 2000 г. для операционной системы WINDOWS NT, сканер Doctor Web и в этот раз показал стопроцентный результат во всех рассматриваемых категориях вирусов — "In the Wild" (файловые и загрузочные), макрокомандные, полиморфные, стандартные. Ниже приведен фрагмент таблицы, опубликованной в Virus Bulletin , с добавлением столбца совокупных результатов по всем категориям вирусов.
Результаты международных тестов Virus Bulletin за последние два года убедительно свидетельствуют о высоком мастерстве наших разработчиков, высокой стабильности и надежности отечественной программы Doctor Web.
Данное занятие проводится для целей: дать понятие “компьютерный вирус”, “антивирусная программа”; рассмотреть различные классификации вирусов; изучить методы защиты от компьютерных вирусов; познакомиться с различными антивирусными программами. .
Просмотр содержимого документа
«Лекция по теме: Компьютерные вирусы и антивирусные программы.»
Опорный конспект по теме «Вирусы и антивирусные программы»
Компьютерный вирус – специально созданная небольшая программа, способная к саморазмножению, засорению компьютера и выполнению других нежелательных действий.
Первый прототип вируса появился еще в 1971г..
Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain (англ. «мозг») «заражал» дискеты персональных компьютеров.
Признаки заражения компьютера вирусом:
1. Общее замедление работы компьютера и уменьшение размера свободной оперативной памяти;
2. Некоторые программы перестают работать или появляются различные ошибки в программах;
4. Размер некоторых исполнимых файлов и время их создания изменяются;
5. Некоторые файлы и диски оказываются испорченными;
6. Компьютер перестает загружаться с жесткого диска.
Классификация вирусов
По среде обитания:
ФАЙЛОВЫЕ ВИРУСЫ - внедряются в программы и активизируются при их запуске.
МАКРОВИРУСЫ - Заражают файлы документов, например текстовых.
СЕТЕВЫЕ ВИРУСЫ - могут передавать по компьютерным сетям свой программный код и запускать его на компьютерах, подключённых к этой сети.
ЗАГРУЗОЧНЫЕ ВИРУСЫ - записывает свой код в загрузочный сектор диска и активизируется после загрузки компьютера.
По способу заражения:
РЕЗИДЕНТНЫЕ ВИРУСЫ - это вирусы, которые находятся в памяти ПК и являются активными вплоть до выключения компьютера или его перезагрузки.
НЕ РЕЗИДЕНТНЫЕ ВИРУСЫ - не заражают память компьютера и сохраняют активность ограниченное время.
По особенности алгоритма работы:
РЕПЛИКАТОРЫ (Черви) - вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы.
СТЕЛС-ВИРУСЫ обманывают антивирусные программы в результате остаются незамеченными. Они временно лечат зараженные файлы, или «подставляют» вместо себя незараженные участки информации.
По особенности алгоритма работы:
ПОЛИМОРФНЫЕ ВИРУСЫ - это достаточно труднообнаружимые вирусы, не содержащие ни одного постоянного участка кода.
ТРОЯНСКИЕ ПРОГРАММЫ - маскируются под какие-нибудь полезные программы и осуществляют различные несанкционированные пользователем действия.
По деструктивным особенностям вирусы можно разделить на:
Безвредные - никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
Неопасные - влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
Опасные вирусы - которые могут привести к серьезным сбоям в работе компьютера;
Очень опасные - могут привести к потере программ, уничтожить данные, стереть системную информацию.
Программы-фильтры - располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда, и сообщают о них пользователю.
Программы-детекторы позволяют обнаружить файлы, зараженные вирусом. Основаны на поиске участка кода, принадлежащего вирусу.
Программы-доктора (или фаги) "лечат" зараженные программы или диски, уничтожая тело вируса. При этом в ряде случаев ваша информация может быть утеряна.
Калачеевский аграрный техникум
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему уже написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек-компьютер». Как пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются поверхностными. Что же такое компьютерный вирус?
Компьютерные вирусы, их анализ и разработка методов обнаружения и лечения.
Компьютерный вирус – это специально написанная программа, обязательным (необходимым) свойством которого является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
- среда обитания;
- операционная система (ОС);
- особенности алгоритма работы;
- деструктивные возможности.
по среде обитания вирусы можно разделить на:
- файловые;
- загрузочные;
- макро;
- сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди особенностей алгоритма работы вирусов выделяются следующие пункты:
- резидентность;
- использование стелс-алгоритмов;
- самошифрование и полиморфичность;
- использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС.
Использование стелс - алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус «ЗАРАЗА»), защитить от обнаружения свою резидентную копию (вирусы «ТРУО», «Trout2»)? затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.
По деструктивным возможностям вирусы можно разделить на:
- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные, в алгоритм работы которых, заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус «DenZuk» довольно корректно работает с 360К дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие «СОМ или ЕХЕ» не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее. Загрузочные вирусы; Макровирусы; Полиморфик-вирусы; Прочие «вредные программы»; Резидентные вирусы; Сетевые вирусы; Стелс-вирусы; Файловые вирусы; IRC-черви.
Методы обнаружения и удаления компьютерных вирусов
При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем (наряду с ошибками в программном обеспечении) и неумелыми действиями самого оператора ПЭВМ, могут быть проникшие в систему компьютерные вирусы. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска, или, приписываясь к файлам, производят различные нежелательные действия, которые, зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.
Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.
- Анализ алгоритма вируса
- Антивирусные программы
- Восстановление пораженных объектов
- Обнаружение неизвестного вируса
- Профилактика заражения компьютера
С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинагоры.
Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также ВООТ-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
К последней группе относятся самые антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
Все эти программы универсальные и перспективные, сочетающие функции антивирусного сканера, резидентного сторожа и доктора.
В качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.
Читайте также: