Компьютерные вирусы и защита от компьютерных вирусов. Блокировка операций как защита от вредоносных программ
Борьба с вирусами
Компью́терный ви́рус - разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. Они приводят к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Бывает, форматируют весь жесткий диск на компьютере. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы(портят файлы или таблицу размещения файлов (FAT) на диске, "засоряют" оперативную память). Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.
Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (глава 28, статья 273).
Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.Первыми известными собственно вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты - CHK4BOMB и BOMBSQAD авторства Анди Хопкинса (англ. Andy Hopkins). В начале 1985 года Ги Вонг (англ. Gee Wong) написал программу DPROTECT - первый резидентный антивирус.
Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения.
Обычным вирусом могут быть заражены следующие виды файлов:
Исполняемые файлы , т.е. файлы с расширениями имен.com и.exe, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполняемых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те вирусы, которые после своего запуска остаются в памяти резидентно - они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.
Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными или BOOT-вирусами. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения - заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целиком программу вируса. Часть вируса располагается в другом участке диска. например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных на диск).
Драйверы устройств , т.е. файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся в них начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS (MSDOS.SYS и IO.SYS) - их заражение также теоретически возможно, но для распространения вируса малоэффективно.
Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.
Классификация
Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Изначально вирусы распространялись на дискетах и других носителях, а сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.
Принято разделять вирусы:
по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).
По признаку вероломности:
вирусы, моментально поражающие компьютер, форматируют жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash-ПЗУ (где находится BIOS) компьютера (вирус "Чернобыль "), другими словами, как можно быстрее наносят непоправимый урон компьютеру. Сюда же можно отнести и результаты обид программистов, пишущих вирусы, на антивирусные программы. Имеются в виду так называемые аллергии на определенные антивирусные программы. Эти вирусы достаточно вероломны. Вот например, аллергия на Dr.Weber при вызове этой программы, не долго думая блокирует антивирус, портит все, что находится в директории с антивирусом и C:\WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами.
вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя, свое присутствие и производят подмену стартовых областей программ на ссылки к месту где расположено тело вируса. Кроме этого они производят незаметное для пользователя изменение структуры диска, что даст о себе знать только когда некоторые данные уже будут безнадежно утеряны (вирус "OneHalf -3544 ","Yankey -2 C ").
Признаки заражения
Существует ряд признаков, которые могут сопутствовать заражению вирусом: появление на экране непредусмотренных сообщений и запросов, изображений и звуковых сигналов; самопроизвольный запуск программ без участия пользователя; попытки неизвестных программ подключиться к Интернету без ведома пользователя и т. п. О поражении вирусом через почту может свидетельствовать то, что друзья и знакомые пользователя говорят о сообщениях от него, которые он не отправлял; наличие в почтовом ящике большого количества сообщений без обратного адреса и заголовков.
Среди косвенных признаков можно назвать частые зависания и сбои в работе компьютера, замедленная (по сравнению с изначальным поведением) работа компьютера при запуске программ, невозможность загрузки операционной системы, исчезновение файлов и каталогов или искажение их содержимого, частое обращение к жёсткому диску (часто мигает лампочка на системном блоке), браузер Internet Explorer «зависает» или ведёт себя неожиданным образом (например, окно программы невозможно закрыть). Но основной причиной для подобных симптомов являются всё же не вирусы, а сбои в аппаратном обеспечении, конфликты между программами и баги («жучки», дефекты) в них.
Механизм распространения
Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды - например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.).
Каналы
Дискеты .
Флеш-накопители (флешки). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ.
Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта.
Интернет и локальные сети (черви). Черви - вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют уязвимости (ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код) в программном обеспечении операционных систем..
Способы маскировок и защит, применяемых вирусами
Вероломность - вирус моментально производит непоправимые действия/
Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способны самостоятельно находить друг друга и собираться для регенерации тела вируса.
Есть вирусы, которые прячутся и от антивирусных программ. Эти "хамелеоны" изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла), и используя команды процессора.
"Невидимые " вирусы применяют так называемый метод, заключающийся в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде.
Также получили распространение вирусы, изменяющую файловую систему на диске. Эти вирусы обычно называются DIR . Такие вирусы прячут свое тело в некоторый участок диска (обычно в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех.com- и.exe- файлов, содержащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога.
Профилактика и лечение
В настоящий момент существует множество антивирусных программ, но нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:
Не работать под привилегированными учётными записями без крайней необходимости.
Не запускать незнакомые программы из сомнительных источников.
Стараться блокировать возможность несанкционированного изменения системных файлов.
Отключать потенциально опасный функционал системы (например autorun носителей в MS Windows, сокрытие файлов, их расширений и пр.).
Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
Пользоваться только доверенными дистрибутивами.
Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания.
Выполнять регулярные обновления часто используемых программ, особенно, обеспечивающих безопасность системы.
Для защиты от вирусов можно использовать:
Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Специализированные программы для защиты от вирусов:
Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы - доктора , или фаги, "лечат" зараженные программы или диски, восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.
Доктора - ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
Программы - фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Программы - вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными.
Стратегия защиты от вирусов
Наилучшей стратегией защиты от вирусов является многоуровневая, "эшелонная" оборона.
Средствам разведки в "обороне" от вирусов соответствуют программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов. Они смотрят, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения или уничтожения зараженных файлов. Программа - детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы), некоторые могут с помощью эвристического анализа находить модифицированные вирусы.
На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел "просочиться" через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.
Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
И наконец, в "стратегическом резерве" находятся архивные копии информации и "эталонные" дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.
Действия при заражении вирусом
Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только после перезагрузки компьютера с защищенной от записи "эталонной" дискеты с операционной системой. При этом следует пользоваться исполняемыми файлами находящимися только на защищенных от записи "эталонных" дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке ОС или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
Если вирус уже успел заразить или испортить какие-то файлы на дисках компьютера:
1. Перезагрузить
ОС с заранее подготовленной эталонной
дискеты. Эта дискета должна быть защищена
от записи. Перезагрузку нельзя выполнять, используя комбинацию клавиш
,
так как некоторые вирусы способны
анализировать это прерывание клавиатуры
и продолжать работать. Они могут
сымитировать перезагрузку компьютера,
а могут ответить жестоким образом. Для
перезагрузки нужно использовать кнопку
"RESET"
на системном блоке или вообще перезапустить
питание.
2. Проверить правильность конфигурации компьютера при начальной загрузке компьютера.
3. Запустить программу - детектор для определения типа вируса и зараженных файлов.
4. Поочередно обезвредить все диски, которые могли подвергнуться заражению. Если жесткий диск разделен на несколько логических дисков, то при перезагрузке с дискеты будет виден только логический диск, с которого стартует ОС. Необходимо прежде всего очистить от заражения его, а затем, перегрузившись с жесткого диска, заняться его остальными разделами.
5. Когда известно, что вирусов типа DIR на диске нет или они успешно вылечены можно проверить целостность файловой системы и поверхности диска программой NDD или ChkDsk. Если повреждения FAT (файловой системы) значительные, то целесообразно попробовать сделать копии необходимой информации, после чего отформатировать диск. При незначительных повреждениях можно попробовать восстановить диск, также применяя программу DiskEdit из комплекса Norton Utilities.
6. Если до заражения использовалась программа - ревизор, можно запустить ее для диагностики изменений в файлах. Можно проверить архивные копии на наличие вируса.
7. Удалить с диска все файлы, которые были изменены и имеют копии на других дисках. Нельзя оставлять на диске.exe и.com файлы, которые были изменены. Оставлять их можно только в исключительных случаях.
8. Если обрабатываемый диск системный, то его систему стоит обновить с "эталонной" дискеты командой SYS.
9. Файлы, которые доктор не смог восстановить, уничтожить.
10. С помощью архивных копий восстановить файлы, размещавшиеся на диске.
Если имеется хорошая программа - фильтр, целесообразно некоторое время поработать с ней.
Профилактика против заражения вирусом
Обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.
Скопировать на дискеты служебную информацию диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера).
Установить защиту от записи на архивных дискетах.
Не заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров.
Все данные, поступающие извне, проверять на вирусы, особенно файлы, "скачанные" из Интернета.
Подготовить восстанавливающий пакет на дискетах с защитой от записи.
На время обычной работы, не связанной с восстановлением компьютера, отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
Использовать программы - фильтры для раннего обнаружения вирусов.
Проверять диск программами - детекторами или докторами - детекторами или ревизорами для обнаружения возможных провалов в обороне.
Обновлять базу антивирусных программ.
Не допускать к компьютеру сомнительных пользователей (разграничение доступа).
Вступление
Вредоносная программа - компьютерная программа или переносной
код, предназначенный для реализации угроз информации, хранящейся в
компьютерной системе, либо для скрытого нецелевого использования
ресурсов системы, либо иного воздействия, препятствующего нормальному
функционированию компьютерной системы.
К вредоносному программному обеспечению относятся сетевые черви,
классические файловые вирусы, троянские программы, хакерские утилиты и
прочие программы, наносящие заведомый вред компьютеру, на котором они
запускаются на выполнение, или другим компьютерам в сети.
Независимо от типа, вредоносные программы способны наносить
значительный ущерб, реализуя любые угрозы информации - угрозы
нарушения целостности, конфиденциальности, доступности.
Местом глобального распространения вредоносных программ является,
конечно же, Internet.
Интернет, без сомнения, вещь в наше время нужная, для кого-то просто
необходимая. За небольшой отрезок времени можно найти нужную
информацию, ознакомиться с последними новостями, а также пообщаться с
множеством людей и все это не выходя из дома, офиса и т.д. Но не забывайте,
что по этой "толстой трубе" хакеры легко могут влезть в ваш компьютер и
получить доступ к вашей личной информации.
Хотя поставщики аппаратного и программного обеспечения, а также
официальные лица в правительстве принимают позы защитников личной
информации, в которую постороннее вторжение недопустимо, имеются
серьезные основания опасаться, что наши путешествия по Internet не
останутся без внимания чьих-то "внимательных" глаз, анонимность и
безопасность не гарантируется. Хакеры могут легко читать послания по
электронной почте, а Web-серверы протоколируют все и вся, включая даже
перечень просматриваемых Web-страниц.
В современном Интернет в среднем каждое тридцатое письмо заражено
почтовым червем, около 70% всей корреспонденции - нежелательна. С
ростом сети Интернет увеличивается количество потенциальных жертв
вирусописателей, выход новых операционных систем влечет за собой
расширение спектра возможных путей проникновения в систему и вариантов
возможной вредоносной нагрузки для вирусов. Современный пользователь
компьютера не может чувствовать себя в безопасности перед угрозой стать
объектом чей-то злой шутки - например, уничтожения информации на
винчестере - результатов долгой и кропотливой работы, или кражи пароля на
почтовую систему. Точно так же неприятно обнаружить себя жертвой
Кроме уже ставших привычными краж номеров кредитных карт, участились
случаи воровства персональных данных игроков различных онлайновых игр -
Ultima Online, Legend of Mir, Lineage, Gamania. В России также
зафиксированы случаи с игрой "Бойцовский клуб", где реальная стоимость
некоторых предметов на аукционах достигает тысяч долларов США. Развитие
получили и вирусные технологии для мобильных устройств. В качестве пути
проникновения используются не только Bluetooth-устройства, но и обычные
MMS-сообщения (червь ComWar).
Однако позднее злоумышленники добились, что вирусным поведением
может обладать не только исполняемый код, содержащий машинный код
процессора. Были написаны вирусы на языке пакетных файлов. Потом
появились макровирусы, внедряющиеся через макросы в документы таких
программ, как Microsoft Word и Excel.
Некоторое время спустя взломщики создали вирусы, использующие
уязвимости в популярном программном обеспечении (например, Adobe
Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем
обычные данные. Вирусы стали распространяться посредством внедрения в
последовательности данных (например, картинки, тексты, и т.д.)
специального кода, использующего уязвимости программного обеспечения.
2.2 Троян
2.2.1 Вредоносное воздействие
Троянская программа (также - троян, троянец, троянский конь, трой)
- вредоносная программа, проникающая на компьютер под видом безвредной
Кодека, скринсейвера, хакерского ПО и т.д.
"Троянские кони" не имеют собственного механизма распространения,
и этим отличаются от вирусов, которые распространяются, прикрепляя себя
к безобидному ПО или документам, и "червей", которые копируют себя по
сети. Впрочем, троянская программа может нести вирусное тело - тогда
запустивший троянца превращается в очаг "заразы".
Троянские программы крайне просты в написании: простейшие из них
состоят из нескольких десятков строк кода на Visual Basic или C++.
Название "троянская программа" происходит от названия "троянский
конь" - деревянный конь, по легенде, подаренный древними греками жителям
Трои, внутри которого прятались воины, впоследствии открывшие
завоевателям ворота города. Такое название, прежде всего, отражает
скрытность и потенциальное коварство истинных замыслов разработчика
программы.
Троянская программа, будучи запущенной на компьютере, может:
мешать работе пользователя (в шутку, по ошибке или для достижения
каких-либо других целей);
шпионить за пользователем;
использовать ресурсы компьютера для какой-либо незаконной (а иногда
и наносящей прямой ущерб) деятельности и т.д.
2.2.2 Маскировка троянской программы
Для того, чтобы спровоцировать пользователя запустить троянца, файл
программы (его название, иконку программы) называют служебным именем,
маскируют под другую программу (например, установки другой программы),
файл другого типа или просто дают привлекательное для запуска название,
иконку и т.п. Злоумышленник может перекомпилировать существующую
программу, добавив к её исходному коду вредоносный, а потом выдавать за
оригинал или подменять его.
Чтобы успешно выполнять эти функции, троянец может в той или иной
степени имитировать (или даже полноценно заменять) задачу или файл
данных, под которые она маскируется (программа установки, прикладная
программа, игра, прикладной документ, картинка). Схожие вредоносные и
маскировочные функции также используются компьютерными вирусами, но
в отличие от них, троянские программы не умеют распространяться
самостоятельно.
2.2.3 Распространение
Троянские программы помещаются злоумышленником на открытые
ресурсы (файл-серверы, открытые для записи накопители самого
компьютера), носители информации или присылаются с помощью служб
обмена сообщениями (например, электронной почтой) из расчета на их
запуск на конкретном, входящем в определенный круг или произвольном
"целевом" компьютере.
Иногда использование троянов является лишь частью спланированной
многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в
том числе, третьи).
2.2.4 Методы удаления
Трояны обладают множеством видов и форм, поэтому не существует
абсолютно надёжной защиты от них.
Для обнаружения и удаления троянов необходимо использовать
антивирусные программы. Если антивирус сообщает, что при обнаружении
трояна он не может удалить его, то можно попробовать выполнить загрузку
ОС с альтернативного источника и повторить проверку антивирусом. Если
троян обнаружен в системе, то его можно также удалить вручную
Чрезвычайно важно для обнаружения троянов и другого вредоносного
ПО, регулярно обновлять антивирусную базу данных установленного на
компьютере антивируса, так как ежедневно появляется множество новых
вредоносных программ.
2.3 Шпионское программное обеспечение
2.3.1 Определение
Spyware (шпионское программное обеспечение) - программа, которая
скрытным образом устанавливается на компьютер с целью полного или
частичного контроля за работой компьютера и пользователя без согласия
последнего.
В настоящий момент существует множество определений и толкований
термина spyware. Организация "Anti-Spyware Coalition", в которой состоят
многие крупные производители антишпионского и антивирусного
программного обеспечения, определяет его как мониторинговый
программный продукт, установленный и применяемый без должного
Создатели spyware могут совершать мошенничество на телефонных
линиях с помощью программ типа "диалер". Диалер может перенастроить
модем для дозвона на дорогостоящие телефонные номера вместо обычного
ISP. Соединение с этими не вызывающими доверия номерами идёт по
международным или межконтинентальным тарифам, следствием чего
являются непомерно высокие суммы в телефонных счетах. Диалер не
эффективен на компьютерах без модема или не подсоединённых к
телефонной линии.
2.3.6 Методы лечения и предотвращения
Если угроза со стороны spyware становится более чем назойливой,
существует ряд методов для борьбы с ними. Среди них программы,
разработанные для удаления или блокирования внедрения spyware, также как
и различные советы пользователю, направленные на снижение вероятности
попадания spyware в систему.
Тем не менее, spyware остаётся дорогостоящей проблемой. Когда
значительное число элементов spyware инфицировало ОС, единственным
средством остаётся сохранение файлов данных пользователя и полная
переустановка ОС.
2.3.7 Антиspyware программы
Программы, такие как Ad-Aware (бесплатно для некоммерческого
использования, дополнительные услуги платные) от Lavasoft и Spyware
Doctor от PC Tools (бесплатное сканирование, удаление spyware платное)
стремительно завоевали популярность как эффективные инструменты
удаления и, в некоторых случаях, препятствия внедрению spyware. В 2004
году Microsoft приобрела GIANT AntiSpyware, переименовав её в Windows
AntiSpyware beta и выпустив её как бесплатную загрузку для
зарегистрированных пользователей Windows XP и Windows Server 2003. В
2006 году Microsoft переименовал бета-версию в Windows Defender который
был выпущен для бесплатной загрузки (для зарегистрированных
пользователей) с октября 2006 года и включён как стандартный инструмент в
2.4 Сетевые черви
Сетевой червь - разновидность самовоспроизводящихся компьютерных
программ, распространяющихся в локальных и глобальных компьютерных
сетях. Червь является самостоятельной программой.
2.4.1 История
Одни из первых экспериментов по использованию компьютерных
червей в распределённых вычислениях были проведены в исследовательском
центре Xerox в Пало Альто Джоном Шочем (John Shoch) и Йоном Хуппом
(Jon Hupp) в 1978. Термин возник под влиянием научно-фантастических
романов Дэвида Герролда "Когда ХАРЛИ исполнился год" и Джона Браннера
"На ударной волне"
Одним из наиболее известных компьютерных червей является "Червь
Морриса", написанный Робертом Моррисом (Robert Morris) младшим,
который был в то время студентом Корнельского Университета.
заразил большое количество компьютеров, подключённых к интернету.
2.4.2 Механизмы распространения
Черви могут использовать различные механизмы ("векторы")
распространения. Некоторые черви требуют определенного действия
пользователя для распространения (например, открытия инфицированного
сообщения в клиенте электронной почты). Другие черви могут
распространяться автономно, выбирая и атакуя компьютеры в полностью
автоматическом режиме. Иногда встречаются черви с целым набором
различных векторов распространения, стратегий выбора жертвы, и даже
эксплойтов под различные операционные системы.
2.4.3 Структура
Часто выделяют так называемые ОЗУ-резидентные черви, которые
могут инфицировать работающую программу и находиться в ОЗУ, при этом
не затрагивая жёсткие диски. От таких червей можно избавиться
перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви
состоят в основном из "инфекционной" части: эксплойта (шелл-кода) и
небольшой полезной нагрузки (самого тела червя), которая размещается
целиком в ОЗУ. Специфика таких червей заключается в том, что они не
загружаются через загрузчик как все обычные исполняемые файлы, а значит,
могут рассчитывать только на те динамические библиотеки, которые уже
были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования
памяти сохраняют код на жёстком диске и принимают меры для
последующего запуска этого кода (например, путём прописывания
соответствующих ключей в реестре Windows). От таких червей можно
избавиться только при помощи антивируса или подобных инструментов.
Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит
небольшую полезную нагрузку, которая загружается в ОЗУ и может
"догрузить" по сети непосредственно само тело червя в виде отдельного
файла. Для этого некоторые черви могут содержать в инфекционной части
простой TFTP-клиент. Загружаемое таким способом тело червя (обычно
отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование
и распространение уже с инфицированной системы, а также может содержать
более серьёзную, полноценную полезную нагрузку, целью которой может
быть, например, нанесение какого-либо вреда (например, DoS-атаки).
Большинство почтовых червей распространяются как один файл. Им не
нужна отдельная "инфекционная" часть, так как обычно пользователь-жертва
при помощи почтового клиента добровольно скачивает и запускает червя
2.5 Руткиты
2.5.1 Определение
Руткит (Rootkit) - программа или набор программ, использующих
технологии сокрытия системных объектов (файлов, процессов, драйверов,
сервисов, ключей реестра, открытых портов, соединений и пр) посредством
обхода механизмов системы.
Термин руткит исторически пришел из мира Unix, где под этим
термином понимается набор утилит, которые хакер устанавливает на
взломанном им компьютере после получения первоначального доступа. Это,
как правило, хакерский инструментарий (снифферы, сканеры) и троянские
программы, замещающие основные утилиты Unix. Руткит позволяет хакеру
закрепиться во взломанной системе и скрыть следы своей деятельности.
В системе Windows под термином руткит принято считать программу,
которая внедряется в систему и перехватывает системные функции, или
производит замену системных библиотек. Перехват и модификация
низкоуровневых API функций в первую очередь позволяет такой программе
достаточно качественно маскировать свое присутствие в системе, защищая ее
от обнаружения пользователем и антивирусным ПО. Кроме того, многие
руткиты могут маскировать присутствие в системе любых описанных в его
конфигурации процессов, папок и файлов на диске, ключей в реестре.
Многие руткиты устанавливают в систему свои драйверы и сервисы (они
естественно также являются "невидимыми").
В последнее время угроза руткитов становится все более актуальной,
т.к разработчики вирусов, троянских программ и шпионского программного
обеспечения начинают встраивать руткит-технологии в свои вредоносные
программы. Одним из классических примеров может служить троянская
программа Trojan-Spy. Win32. Qukart, которая маскирует свое присутствие в
системе при помощи руткит-технологии. Ее RootKit-механизм прекрасно
работает в Windows 95, 98, ME, 2000 и XP.
2.5.2 Классификация руткитов
Условно все руткит-технологии можно разделить на две категории:
Руткиты работающие в режиме пользователя (user-mode)
Руткиты работающие в режиме ядра (kernel-mode)
пользовательского режима, вторая - на установке в систему драйвера,
осуществляющего перехват функций уровня ядра.
Также, руткиты можно классифицировать по принципу действия и по
постоянству существования. По принципу действия:
2.5.3 Изменяющие алгоритмы выполнения системных функций
Изменяющие системные структуры данных
3. Признаки заражения компьютера вирусом. Действия при обнаружении
заражения
Присутствие вирусов на компьютере обнаружить сложно, потому что
они маскируются среди обычных файлов. В данной статье наиболее подробно
описаны признаки заражения компьютера, а также способы восстановления
данных после вирусной атаки и меры по предотвращению их поражения
вредоносными программами.
Признаки заражения:
вывод на экран непредусмотренных сообщений или изображений;
подача непредусмотренных звуковых сигналов;
неожиданное открытие и закрытие лотка CD-ROM-устройства;
произвольный, без вашего участия, запуск на компьютере каких-либо
программ;
при наличии на вашем компьютере межсетевого экрана, появление
предупреждений о попытке какой-либо из программ вашего компьютера
выйти в интернет, хотя вы это никак не инициировали.
Если вы замечаете, что с компьютером происходит подобное то, с
большой степенью вероятности, можно предположить, что ваш компьютер
поражен вирусом.
Кроме того, есть некоторые характерные признаки поражения
вирусом через электронную почту:
друзья или знакомые говорят вам о сообщениях от вас, которые вы не
отправляли;
в вашем почтовом ящике находится большое количество сообщений без
обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются
присутствием вирусов. Иногда они могут быть следствием других причин.
Например, в случае с почтой зараженные сообщения могут рассылаться с
вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
частые зависания и сбои в работе компьютера;
медленная работа компьютера при запуске программ;
невозможность загрузки операционной системы;
исчезновение файлов и каталогов или искажение их содержимого;
частое обращение к жесткому диску (часто мигает лампочка на
системном блоке);
интернет-браузер "зависает" или ведет себя неожиданным образом
(например, окно программы невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в
аппаратном или программном обеспечении. Несмотря на то, что подобные
симптомы с малой вероятностью свидетельствуют о заражении, при их
установленной на нем антивирусной программой
Действия при обнаружении заражения:
Отключите компьютер от интернета (от локальной сети).
Если симптом заражения состоит в том, что вы не можете загрузиться с
жесткого диска компьютера (компьютер выдает ошибку, когда вы его
включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска
аварийной загрузки Windows, который вы создавали при установке
операционной системы на компьютер.
Прежде чем предпринимать какие-либо действия, сохраните результаты
вашей работы на внешний носитель (дискету, CD-диск, флэш-накопитель и
Установите антивирус, если на вашем компьютере не установлено
никаких антивирусных программ.
Получите последние обновления антивирусных баз. Если это возможно,
для их получения выходите в интернет не со своего компьютера, а с
незараженного компьютера друзей, интернет-кафе, с работы. Лучше
воспользоваться другим компьютером, поскольку при подключении к
интернету с зараженного компьютера есть вероятность отправки вирусом
важной информации злоумышленникам или распространения вируса по
адресам вашей адресной книги. Именно поэтому при подозрении на
заражение лучше всего сразу отключиться от интернета.
Запустите полную проверку компьютера.
4. Методы защиты от вредоносных программ
Стопроцентной защиты от всех вредоносных программ не существует:
от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы
снизить риск потерь от воздействия вредоносных программ, рекомендуется:
использовать современные операционные системы, имеющие
серьёзный уровень защиты от вредоносных программ;
своевременно устанавливать патчи; если существует режим
автоматического обновления, включить его;
постоянно работать на персональном компьютере исключительно под
правами пользователя, а не администратора, что не позволит большинству
вредоносных программ инсталлироваться на персональном компьютере;
использовать специализированные программные продукты, которые
для противодействия вредоносным программам используют так называемые
эвристические (поведенческие) анализаторы, то есть не требующие наличия
сигнатурной базы;
использовать антивирусные программные продукты известных
производителей, с автоматическим обновлением сигнатурных баз;
использовать персональный Firewall, контролирующий выход в сеть
Интернет с персонального компьютера на основании политик, которые
устанавливает сам пользователь;
ограничить физический доступ к компьютеру посторонних лиц;
использовать внешние носители информации только от проверенных
источников;
не открывать компьютерные файлы, полученные от ненадёжных
источников;
отключить автозапуск со сменных носителей, что не позволит
запускаться кодам, которые находятся на нем без ведома пользователя (для
Windows необходимо gpedit. msc->Административные шаблоны
(Конфигурация пользователя) - >Система->Отключить автозапуск->Включен
"на всех дисководах").
5. Классификация антивирусных программ
5.1 Виды антивирусных программ
Евгений Касперский в 1992 году использовал следующую
классификацию антивирусов в зависимости от их принципа действия
(определяющего функциональность):
Сканеры (устаревший вариант - "полифаги") - определяют наличие
вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы)
вирусов. Их эффективность определяется актуальностью вирусной базы и
наличием эвристического анализатора (см.: Эвристическое сканирование).
Ревизоры (класс, близкий к IDS) - запоминают состояние файловой
системы, что делает в дальнейшем возможным анализ изменений.
Сторожа (мониторы) - отслеживают потенциально опасные операции,
выдавая пользователю соответствующий запрос на разрешение/запрещение
операции.
Вакцины - изменяют прививаемый файл таким образом, чтобы вирус,
против которого делается прививка, уже считал файл заражённым. В
современных (2007 год) условиях, когда количество возможных вирусов
измеряется сотнями тысяч, этот подход неприменим.
Современные антивирусы сочетают все вышесказанные функции.
Антивирусы так же можно разделить на:
Продукты для домашних пользователей:
Собственно антивирусы;
Комбинированные продукты (например, к классическому антивирусу
добавлен антиспам, файрвол, антируткит и т.д.);
Корпоративные продукты:
Серверные антивирусы;
Антивирусы на рабочих станциях ("endpoint").
5.2 Современные антивирусные средства защиты и их основные
Назад
Вперёд
Внимание! Предварительный просмотр слайдов используется исключительно в ознакомительных целях и может не давать представления о всех возможностях презентации. Если вас заинтересовала данная работа, пожалуйста, загрузите полную версию.
Цель: дать понятие “компьютерный вирус”, “антивирусная программа”; рассмотреть различные классификации вирусов; изучить методы защиты от компьютерных вирусов; познакомиться с различными антивирусными программами.
Задачи:
- Обучающие:
- познакомить учащихся с историей возникновения вирусов;
- сформировать знания о видах вирусов;
- способствовать овладению знаниями о способах защиты компьютера от вирусов.
- Развивающие:
- способствовать развитию логического мышления, культуры речи;
- развивать умение обобщать и синтезировать знания;
- планировать свою деятельность.
- Воспитательные:
- воспитывать внимание, бережливое отношение к компьютерной технике и программному обеспечению;
- воспитывать умение работать в группе – взаимодействовать для выработки общего решения в совместной деятельности, умение слушать партнера, формулировать и аргументировать свое мнение.
ХОД УРОКА
I. Организационный момент
Приветствие. Проверка отсутствующих.
II. История компьютерных вирусов
Теоретические основы создания компьютерных вирусов были заложены в 40-х годах прошлого столетия американским ученым Джоном фон Нейманом , который также известен как автор базовых принципов работы современного компьютера. Впервые же термин вирус в отношении компьютерных программ применил Фред Коэн . Это случилось 3 ноября 1983 года на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США), где был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом. Для ее отладки потребовалось 8 часов компьютерного времени на машине VAX 11/750 под управлением операционной системы Unix и ровно через неделю, 10 ноября состоялась первая демонстрация.
Первый известный вирус был написан для компьютера Univac 1108 (конец 1960-х – начало 1970-х годов). Он назывался Pervading Animal и фактически представлял собой игру, написанную с ошибкой – с помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Ошибка заключалась в том, что при добавлении новых вопросов модифицированная игра записывалась поверх старой версии плюс копировалась в другие директории. Следовательно через некоторое время диск становился переполненным. Поскольку Pervading Animal не был настоящим вирусом, он не содержал процедуры самораспространения и передавался исключительно через пользователей, желающих по собственной воле переписать программу.
В 1969 году в США была создана первая глобальная компьютерная сеть, прародитель современной Интернет, ARPANET (Advanced Research Projects Agency Network). Она объединяла четыре ведущие научные центра США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус, умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением "I"M THE CREEPER: CATCH ME IF YOU CAN". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper . По сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.
В 1984 году вышли в свет первые антивирусные программы – CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс. Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование, выполняемые через BIOS На то время они были очень эффективны и быстро завоевали популярность.
Первую настоящую глобальную эпидемию вызвал в 1986 году вирус Brain . Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain – умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора (так называемая стелс-технология). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.
В 1987 году был написан первый по-настоящему вредоносный вирус – Lehigh . Он вызвал эпидемию в Лехайском университете (США), где в то время работал Фред Коэн. Lehigh заражал только системные файлы COMMAND.COM и был запрограммирован на удаление всей информации на инфицированном диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.
OneHalf , очень сложный вирус, обнаруженный в июне 1994 года, вызвал глобальную эпидемию во всем мире, в том числе в России. Он заражал загрузочные сектора дисков и COM/EXE-файлы, увеличивая их размер на 3544, 3577 или 3518 байта, в зависимости от модификации. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету – следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение "Dis is one half. Press any key to continue...", выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. Популярности этого вируса в России поспособствовала компания Доктор Веб, которая выпустила новую версию своего антивируса, анонсировав его как средство от OneHalf. Однако на практике после лечения загрузочных секторов от этого вируса, Dr.Web забывал расшифровать информацию на диске и восстановить ее было уже невозможно.
В августе 1995 появился Concept – первый вирус, поражавший документы Microsoft Word.
В современном Интернет в среднем каждое тридцатое письмо заражено почтовым червем, около 70% всей корреспонденции – нежелательна. С ростом сети Интернет увеличивается количество потенциальных жертв вирусописателей, выход новых операционных систем влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов. Современный пользователь компьютера не может чувствовать себя в безопасности перед угрозой стать объектом чей-то злой шутки – например, уничтожения информации на винчестере – результатов долгой и кропотливой работы, или кражи пароля на почтовую систему. Точно так же неприятно обнаружить себя жертвой массовой рассылки конфиденциальных файлов или ссылки на порно-сайт. Поэтому при выявлении антивирусным комплексом вируса можно однозначно сказать, что это – вредоносная программа.
Цель данной темы состоит в изложении основ антивирусной защиты, которая за последние десятилетия не отставала в развитии от эволюции вредоносных программ. За это время были разработаны эффективные методики построения комплексов антивирусной безопасности, позволяющие снизить вероятность заражения компьютера каким-либо вирусом или другой вредоносной программой практически до нуля. Однако стопроцентную безопасность не может гарантировать никто. Поэтому для сведения возможности заражения к минимуму необходимо четко понимать принципы работы антивирусного программного обеспечения и неукоснительно следовать всем правилам и рекомендациям.
III. Компьютерные вирусы
Компью?терный ви?рус -
вид
вредоносного программного обеспечения,
способный создавать копии самого себя и
внедряться в код других программ, системные
области памяти, загрузочные секторы, а так же
распространять свои копии по разнообразным
каналам связи, с целью нарушения работы
программно-аппаратных комплексов, удаления
файлов, приведения в негодность структур
размещения данных, блокирования работы
пользователей или же приведение в негодность
аппаратных комплексов компьютера.
или
Компьютерный вирус
– это небольшая
программа, написанная программистом высокой
квалификации, способная к саморазмножению и
выполнению разных деструктивных действий.
Существует очень много разных вирусов. Условно
их можно классифицировать следующим образом:
1) загрузочные вирусы
или BOOT-вирусы
заражают boot-секторы дисков. Очень опасные, могут
привести к полной потере всей информации,
хранящейся на диске;
2) файловые вирусы
заражают файлы.
Делятся на:
- вирусы, заражающие программы (файлы с расширением.EXE и.COM);
- макровирусы вирусы , заражающие файлы данных, например, документы Word или рабочие книги Excel;
- вирусы-спутники используют имена других файлов;
- вирусы семейства DIR искажают системную информацию о файловых структурах;
3) загрузочно-файловые вирусы
способные поражать как код boot-секторов, так и код
файлов;
4) вирусы-невидимки
или STEALTH-вирусы
фальсифицируют информацию прочитанную из диска
так, что программа, какой предназначена эта
информация получает неверные данные. Эта
технология, которую, иногда, так и называют
Stealth-технологией, может использоваться как в
BOOT-вирусах, так и в файловых вирусах;
5) ретровирусы
заражают антивирусные
программы, стараясь уничтожить их или сделать
нетрудоспособными;
6) вирусы-черви
снабжают небольшие
сообщения электронной почты, так называемым
заголовком, который по своей сути есть Web-адресом
местонахождения самого вируса. При попытке
прочитать такое сообщение вирус начинает
считывать через глобальную сеть Internet свое "тело"
и после загрузки начинает деструктивное
действие. Очень опасные, так как обнаружить их
очень тяжело, в связи с тем, что зараженный файл
фактически не содержит кода вируса.
7) скрипт-вирусы
заражают локальный
компьютер при их передаче по Всемирной паутине с
серверов Интернета в браузер локального
компьютера.
Практически все загрузочные и файловые вирусы резидентны, т.е. они находятся в оперативной памяти компьютера, и в процессе работы пользователя могут осуществлять опасные действия. Макро-вирусы являются ограниченно резидентными, т.е. они находятся в оперативной памяти и заражают документы, пока открыто приложение.
Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.
Основные ранние признаки заражения компьютера вирусом:
- уменьшение объема свободной оперативной памяти;
- замедление загрузки и работы компьютера;
- непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов;
- ошибки при загрузке операционной системы;
- невозможность сохранять файлы в нужных каталогах;
- непонятные системные сообщения, музыкальные и визуальные эффекты и т.д.
Признаки активной фазы вируса:
- исчезновение файлов;
- форматирование жесткого диска;
- невозможность загрузки файлов или операционной системы.
К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус – это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус. Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.
Различают такие типы антивирусных программ:
1) программы-детекторы
: предназначены
для нахождения зараженных файлов одним из
известных вирусов. Некоторые
программы-детекторы могут также лечить файлы от
вирусов или уничтожать зараженные файлы.
Существуют специализированные, то есть
предназначенные для борьбы с одним вирусом
детекторы и полифаги, которые могут бороться с
многими вирусами;
2) программы-лекари
: предназначены для
лечения зараженных дисков и программ. Лечение
программы состоит в изъятии из зараженной
программы тела вируса. Также могут быть как
полифагами, так и специализированными;
3) программы-ревизоры
: предназначены для
выявления заражения вирусом файлов, а также
нахождение поврежденных файлов. Эти программы
запоминают данные о состоянии программы и
системных областей дисков в нормальном
состоянии (до заражения) и сравнивают эти данные
в процессе работы компьютера. В случае
несоответствия данных выводится сообщение о
возможности заражения;
4) лекари-ревизоры
: предназначены для
выявления изменений в файлах и системных
областях дисков и, в случае изменений, возвращают
их в начальное состояние.
5) программы-фильтры
: предназначены для
перехвата обращений к операционной системе,
которые используются вирусами для размножения и
сообщают об этом пользователя. Пользователь
может разрешить или запретить выполнение
соответствующей операции. Такие программы
являются резидентными, то есть они находятся в
оперативной памяти компьютера.
6) программы-вакцины:
используются для
обработки файлов и boot-секторов с целью
предупреждения заражения известными вирусами (в
последнее время этот метод используется все
чаще).
IV. Физминутка
1. И.п.: о.в., руки вперед. Одновременные движения
рук вперед-назад.
2. И.п.: о.с., правую руку вперед, левую назад.
Попеременная смена положения рук.
3. И.п.: стойка ноги врозь, руки в стороны. Слегка
приседая, правую руку вперед, левую назад, затем
наоборот. Каждое упражнение комплекса выполнить
4 раза в медленном темпе в течение 1 мин.
4. И.п.: сидя за партой, руки на пояс. 1-4 –
одновременные круговые движения плечами назад.
Выполнить 1-2 раза.
V. Практическая часть «Защита от компьютерных вирусов»
С помощью антивирусной программы,
установленной на вашем компьютере, проверить
компьютер на наличие вирусов и при их
обнаружении вылечить зараженные файлы.
Прежде всего, необходимо через Интернет обновить
антивирусную программу и вирусную базу данных:
Чтобы запустить проверку компьютера и удалить
вредоносные программы с вашего компьютера,
выполните следующие действия:
1. Загрузите компьютер с Kaspersky Rescue Disk 10 в
графическом режиме.
2. В левом нижнем углу экрана нажмите на кнопку в
виде буквы К. В меню выберите Kaspersky Rescue Disk.
3. Обновите антивирусные базы Kaspersky Rescue Disk. Для
этого на закладке Обновление нажмите на кнопку Выполнить
обновление (рис.1)
.
4. Дождитесь завершения обновления
антивирусных баз программы.
5. На закладке Проверка объектов установите
флажки напротив объектов, которые должна
проверить программа. По умолчанию Kaspersky Rescue Disk
проверяет загрузочные секторы жестких дисков, а
также скрытые объекты автозапуска операционной
системы.
6. Нажмите на кнопку Выполнить проверку
объектов (Рис. 2)
.
7. После окончания проверки в случае обнаружения угроз программа запросит вас, какое действие произвести над вредоносными объектами:
- Лечить. После лечения с объектом можно продолжить работу.
- Поместить на Карантин , если в результате проверки не удалось определить, заражен объект или нет. Если у вас установлена необходимая опция проверки файлов на карантине после каждого обновления баз, то после получения новой сигнатуры лечения объект на Карантине будет вылечен и вновь доступен для пользователя.
- Удалить . Если объекту присвоен статус вируса, но его лечение невозможно, вы можете удалить его. Информация об объекте сохранится в Рис. 2 отчете об обнаруженных угрозах.
VI. Подведение итогов. Выставление оценок
Защита компьютера и компьютерной информации является очень важным делом, хотя и неочевидным, на первый взгляд. Поэтому очень часто можно услышать такие слова: у меня на компьютере ничего важного, всего лишь фотки и фильмы и т.д., пускай банкиры защищаются, это у них там хакеры деньги воруют.
Конечно, денежные потери вещь чувствительная, но не менее чувствительными могут быть потери морального плана. Например, когда похитили аккаунт от социальной сети, и от лица этого аккаунта опубликовали информацию, которую настоящий владелец аккаунта никогда бы не озвучил. Словом, угроз для компьютера и хранящейся в нём информации достаточно, и они разнообразны.
Если вы установили антивирус, то это не означает, что теперь компьютер защищён полностью. Любой антивирус не может выявить абсолютно все вирусы, а кроме того, не все виды вредоносного программного обеспечения. Для снижения угрозы заражения и вторжения в компьютер, вместе с антивирусом используют файерволы, различные анти‐adware программы. Поэтому, эффективная защита должна быть комплексной, включать в себя несколько эшелонов защиты. Это в плане применения защитных программ.
И, вдобавок, должна быть организационной, это значит, что пользователи обучены и знают, что на подозрительные сайты ходить не надо, непонятные письма открывать в своём почтовом клиенте не следует, даже если в антивирусе есть модуль сканирования почтовых вложений. Ходить по непонятным ссылкам не нужно, тем более, если просят ввести свои логин и пароль. Как говорили раньше, защита—это комплекс организационно‐технических мер.
То‐есть, для создания эффективной защиты от угроз из интернета или в локальной сети, необходимо использовать различное защитное программное обеспечение и грамотно работать на компьютере, чтобы все пользователи стремились использовать компьютер безопасно.
Какие бывают вредоносные программы?
Чтобы знать, как защитить свой компьютер, необходимо знать от каких вредоносных программ нужна защита, как они проникают в компьютер. Существует большое количество таких программ, которые предназначены для кражи, несанкционированного изменения информации, отслеживания действий пользователя на компьютере и в интернете, использования удалённого компьютера в своих целях. Заразить компьютер подобными программами можно различными путями, механизм заражения, то, как такие программы внедряются в компьютер, также разный. Это может осуществиться чисто технически, а может и с использованием так называемой «социальной инженерии», используя психологию человека, его любопыство, вкусы и взгляды.
Поэтому будет рассмотрена классификация вредоносного программного обеспечения: вирусов, троянов, malware, эксплойтов—вредоносных комплексных сборок, рассмотрены пути и методы их проникновения в систему, и чем они опасны. Итак, по виду вредоносные программы бывают:
сетевые черви;
трояны(trojan) или backdoorы;
malware, spyware;
эксплойты, комплексные сборки вредоносных программ;
Вирус—вредоносное программное обеспечение, предназначенное для удаления, изменения или шифрования полезной информации на компьютере без ведома пользователя, а также для снижения производительности системы, вплоть до отказа работы. Исторически это самое древнее вредоносное программное обеспечение. По способу деструктивных действий делятся на такие типы:
загрузочные;
файловые;
макровирусы;
поражающие исполняемый код других программ;
сценарные вирусы;
Загрузочные вирусы внедряются на жёсткий диск, в загрузочный сектор и при загрузке системы получают управление. При этом система работоспособна, просто вирус при этом выступает в роли посредника, через него передаются команды, а в нужный момент он запускает свой код.
Файловые вирусы внедряются в файлы, в которых хранится различная информация, как правило, это текстовые файлы различных форматов. В зависимости от кода вируса и его целей, файл может быть удалён,повреждён или зашифрован.
Макровирусы обычно встречаются в документах программного пакета MS Office, они написаны на макросах, которые можно создавать, например, в Word. Соответсвенно, заражаются все документы с расширением.doc или.xlx.
Вирусы, поражающие код исполняемых программ, как правило, изменяют код программы. Обычно в какой‐то точке прерывается исполнение программы, происходит переход в точку исполнения кода вируса. После выполнения кода вируса, управление возращается самой программе.
Сценарные вирусы используют средство автоматизации администрирования в семействе операционных систем Windows—WSH(Windows Scripting Host). Это сервер сценариев языка VBScript, либо Jscript. Используя заготовки сервера сценариев, можно управлять компьютером жертвы, воздействовать на информацию в файлах и папках.
Сетевые черви—также вредоносное программное обеспечение, со сходным с вирусами предназначением, но распространяющееся автономно по локальным или глобальным сетям. Механизм распространения разный: могут использоваться различные «дыры» в программном обеспечении, ошибки администрирования, действия пользователя, например, вследствие открытия вложений.
Черви могут состоять из нескольких частей: резидентная часть, которая инфицировала программу и даже не сохраняется на жёстком диске и основное тело червя, которое целиком находится в оперативной памяти. Такие черви используют динамические библиотеки (файлы с расширением.dll) подгруженные другими программами.
Основное отличие сетевых червей от вирусов заключается в том, что они распространяются самостоятельно, не прикрепляясь к файлам или программам. Другое отличие заключается в том, что они оседают в оперативной памяти. Их присутствие становится заметным когда они начинают использовать много ресурсов. Как правило, черви несут дополнительную нагрузку, например, организацию ботнета или порчу файлов.
Ещё одним интересным видом вредоносного программного обеспечения являются malware, spyware. Эти программы по своему строению и целям отличаются от вирусов, но вред могут принести даже больший. Например, воровство конфинденциальной и закрытой информации. В этом случае отслеживаются нажатия клавиш либо снятие скриншотов с экрана.
Данные утилитки могут осуществлять контроль удалённого компьютера, загрузку ненужных вам программ, организовать ботнет для осуществления распределённой сетевой атаки на нужные хакеру ресурсы в интернете. Вообщем, хотя такие действия не причиняют ущерб вашим файлам и железу, но если вы пользуетесь интернет‐банкингом, то с некоторой суммой денег можете расстаться.
В настоящее время широкое распространение среди вредоносных программ получили эксплойты, сборки вредоносных программ, предназначенные для внедрения на компьютеры и сервера в интернете, причём с обходом антивирусных программ и файерволлов. Цели, которые преследуются при этом могут быть получение удалённого доступа к компьютеру, загрузка нежелательных программ, организация ботнета, кража информации.
Как видно из всего этого списка, вредоносных программ много, распространяются они по‐разному, вследствие чего защита должна быть разнообразной, и цели у них самые различные и довольно опасные. Поэтому пользователь должен понимать хотя бы поверхностно какие опасности существуют и использовал необходимое защитное программное обеспечение и следил за своими действиями.
Как защитить компьютер?
Поскольку угроз для компьютера и данных много, необходимо использовать защитные программы в связке. Необходимо иметь такие программы:
антивирусы;
файерволлы;
чистильщики malware и spyware;
вспомогательные программы;
Антивирусы—это основа защиты компьютера, так уже сложилось исторически. Служат для поиска инфицированных файлов, их лечения, блокирования вирусов и заражённых программ, почтовых вложений. Как правило вирусы осуществляют локальную защиту, сетевые возможности у них развиты меньше. Поэтому необходимо использовать их в связке с файерволлом.
Антивирусы осуществляют поиск по сигнатурам вирусов или, говоря по‐простому по базам вирусов, по известному коду. Есть второй вариант, он более сложный, но эффективный. Это проактивная защита, в этом случае антивирус исследует код программы и анализирует является ли данный код деструктивным, вредоносным.
Файерволл предназначен для контроля за подключениями к компьютеру и от него со стороны Интернета и локальной сети. Компьютерные программы в локальной сети или в Интернете используют ip‐адреса и порты для того, чтобы указать конкретный компьютер и конкретную программу, запущенную на нём. Соответственно, всякие ненужные программы блокируются, если блокировать сеть с определёнными ip‐адресами, либо определённые порты.
Своего рода, файерволл—это забор, предохраняющий компьютер от вторжения извне, а также нежелательные подключения самого компьютера к удалённым, например, при попытке удалённого контроля. Файерволл может защитить и от таких программ, как spyware.
Для чистки компьютера от malware используют такие программы, как: spybot, ad‐ware. Со своей задачей они довольно неплохо справляются, поэтому желательно их использовать для построения многоуровневой защиты.
К вспомогательным программам можно отнести такие, которые выполняют отслеживание изменений в системе. Например, в системном реестре. Многие вредоносные программы прописывают в нём свои ключи и параметры. Поэтому всякая несанкционированная попытка что‐либо изменить в реестре будет заметна. Таких программ достаточно много, они бесплатны. Для примера можно назвать такие: Process Monitor, RegShot.
Для того, чтобы свою защиту поддерживать в актуальном состоянии, необходимо обновлять защитное программное обеспечение регулярно. Это необходимо из‐за того, что каждый день появляются новые вирусы, черви, эксплойты. Они используют уязвимости программного обеспечения, причём зачастую раньше, чем разработчики могут выпустить заплатки на свои программы. Поэтому выход здесь один: храните важные данные на своём компьютере, значит и защищайте его соответственно.
В данной статье мы немного коснулись того, чего следует опасаться при работе с компьютером, и что необходимо иметь для того, чтобы защитить его. В следующих статьях будет рассказано подробней о каждой из опасностей и как этому противостоять.
В Яндекс.Браузер встроена технология активной защиты Protect, которая отвечает за безопасность в интернете. Protect может заблокировать вредоносный сайт, проверить скачанный файл на вирусы, уберечь от кражи пароля и предупредить, что вводить номер банковской карты на странице может быть опасно.
Защита от вредоносных программ
Блокирует программы, которые вмешиваются в работу браузера
В чём опасность
Сторонние программы могут без вашего ведома вмешиваться в работу браузера — перехватывать или подменять загружаемые данные, делать скриншоты экрана, следить за тем, что вы печатаете, менять настройки браузера, удалять его и так далее.
Иногда последствия таких атак вполне безобидны: если вместо Яндекса у вас открывается другой сайт, считайте, что вы легко отделались. Но бывают и более серьезные действия вредоносного кода: например, злоумышленники могут подсмотреть ваш пароль и получить доступ к личной информации или деньгам.
Как работает защита
Если какая-то программа пытается повлиять на работу браузера и Protect видит в этом угрозу, браузер блокирует подозрительные действия и сообщает вам об этом. Если вы уверены, что блокировка произошла по ошибке, то можете внести программу в список доверенных.
Этот вид защиты работает постоянно, даже если вы закрыли браузер или переключились в системе на другую учетную запись. Защита действует только против программ, которые могут принести вред браузеру, и не заменит вам антивирус. Вместе с тем она может разглядеть угрозу там, где антивирус и не подумает искать: например, в установке дополнения без ведома пользователя.
Как отключить
Если вы не хотите, чтобы браузер анализировал действия сторонних программ и не блокировал те, которые покажутся ему опасными, то можете отключить эту функцию: для этого откройте Настройки → Безопасность → Защита браузера от вредоносных программ → Отключить защиту.
Другие возможности Protect
Защищённый режим
Обеспечивает безопасность операций на сайтах банков и платёжных систем
Безопасный Wi-Fi
Нужен для защиты данных в открытых сетях Wi-Fi
Защита паролей
Помогает предотвратить передачу паролей злоумышленникам
Проверка файлов
Нужна, чтобы защитить от вирусов после загрузки опасного файла
Защита банковских карт
Включается, если вы платите картой на подозрительном сайте