Компьютерныевирусы и борьба с ними
Содержание
История возникновения компьютерныхвирусов
Какими бывают вирусы?
Признаки заражения компьютеравирусами
Что делать?
Антивирусные программы
Библиографический список
История возникновениякомпьютерных вирусов
… А началась эта историяни много ни мало — лет тридцать назад. Именно тогда, в конце 60-х, когда о«персоналках» можно было прочитать лишь в фантастических романах, в нескольких«больших» компьютерах, располагавшихся в крупных исследовательских центрах США,обнаружились очень необычные программы. В отличие от программ нормальных,послушно «ходивших по струнке» и выполнявших все распоряжения человека, этигуляли сами по себе, подобно киплинговской кошке. Занимались в недрахкомпьютера какими-то понятными только им делами, по ходу дела сильно замедляяработу компьютера. Хорошо хоть, что ничего при этом не портили и неразмножались.
Однако продлилось этонедолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы,способные к размножению и даже получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а на компьютерах из славного семейства IBМ-360/370 свил гнездо вирус Christmas tree.
К 1980-м годам числоактивных вирусов изменялась уже сотнями. А появление и распространениеперсональных компьютеров породило настоящую эпидемию — счет вирусов пошел натысячи. Правда, термин «компьютерный вирус» появился только в 1984 году:впервые его использовал в своем докладе на конференции по информационной безопасностисотрудник Лехайского Университета США Ф. Коэн.
Первые «персоналочные»вирусы были существами простыми и неприхотливыми — особо от пользователей нескрывались, «скрашивали» свое разрушительное действие (удаление файлов,разрушение логической структуры диска) выводимыми на экран картинками икаверзными «шутками»: «Назовите точную высоту горы Килиманджаро в миллиметрах!При введении неправильного ответа все данные на вашем винчестере будутуничтожены!!!». Выявить такие вирусы было нетрудно: они «приклеивались» кисполняемым (*.comили*.ехе) файлам, изменяя их оригинальные размеры, — чем и пользовалисьпервые антивирусы, успешно выявлявшие нахалов.
Забавно, что первыевирусы этого типа были созданы в качестве… средства борьбы с пиратами: в 1985году десятки тысяч компьютеров по всему миру оказались заражены вирусом Brain, разработанным братьями-пакистанцамиАлви. Как выяснилось, хитрые пакистанцы, владевшие собственным программнымбизнесом, умышленно начиняли свой товар вредоносной начинкой, срабатывавшейтолько при установке на компьютер нелегальной копии. За десять лет, прошедших смомента появления «пакистанского» вируса, его потомки сумели распространитьсяпо всему миру. Их опасность заключалась в том, что такие вирусы могли укрытьсяв абсолютно любой программе — точнее, в ее главном, исполняемом файле.Достаточно было одного-единственного запуска программы, чтобы вирус проник накомпьютер и начинал активно заражать все остальные файлы с расширениями com и ехе.
«Золотой век»классических вирусов продолжался около десяти лет — сегодня их поголовье резкосократилось и, по оценкам Лаборатории Касперского, составляет не болеенескольких процентов от всего вирусного поголовья. Бороться с такими вирусамиумеет любой современный антивирус, да и сама операционная система неплохозащищена от их атак. Некоторые типы вирусов — такие как «boot-вирусы», поражающие загрузочныйсектор жесткого диска, сегодня практически истреблены. Сегодня науке известнооколо 50 тысяч компьютерных вирусов — маленьких вредоносных программок,следующих в своей жизни только трем заповедям — Плодиться, Прятаться и Портить.И бороться с ними необходимо по-разному, поскольку универсального средства,увы, не существует...
Классифицировать вирусыможно по-разному — по их «биологическому виду», либо — по способураспространения. Совершенно не обязательно знакомиться с представителями всехгрупп в рамках этой книги — тем более, что в Сети уже давно существуетвеликолепная вирусная энциклопедия, созданная «Лабораторией Касперского» (http://www.viruslist.com/ index.html).
Какими бывают вирусы?
По среде обитания вирусыделят на загрузочные, файловые, макровирусы и сетевые.
Загрузочные вирусы проживают в загрузочных секторахдисков. Несколько лет назад это был очень распространённый вид вирусов, которымзаражали компьютер при загрузке операционной системы с дискеты. Сейчасдискетами уже мало кто пользуется, а изменение главной загрузочной записижесткого диска умеют блокировать BIOSсовременных материнских плат.
Файловые вирусы заражают исполняемые файлы, то естьфайлы с расширением .ехе. Именно поэтому хорошие почтовые клиенты недают запустить исполняемый файл, прикрепленный к электронному письму: в 99,9%это — вирус. Часто файловые вирусы создают так называемые компаньон-вирусы.Вирус находит главный исполняемый файл программы, как правило имеющийрасширение .ехе, и создает файл с таким же именем, но имеющий расширениеcom. Например, вместо главного исполняемого файлапочтового клиента TheBat! thebat.exe будет создан файл thebat.com.По правилам операционной системы com-овские файлы имеют приоритет при запуске, и — готово дело —вместо почтовой программы вы запустили вирус.
В последние годы большоераспространение получили макровирусы. Для расширения возможностейпрограмм MSОffice, и в том числе текстового редактора Word и редактора электронных таблиц, вних заложена возможность использования так называемых макросов. Макрос, грубоговоря, это маленькая программа, написанная на языке VisualBasic и позволяющая автоматизироватьрутинные операции в Word и Excel. Например, если вам часто приходится выполнять длинные,однообразные процедуры в Word и Excel, запишите макрос, и в следующий разэта процедура будет выполнена автоматически, одним нажатием кнопки. Так вот,оказалось, что язык VisualBasic вполнегодится для написания макросов-вирусов, а поскольку MSOffice установлен едва ли не на каждомкомпьютере, то макровирусы представляют серьёзную опасность.
Впрочем, бороться смакровирусами несложно. Например в Word нужно выставить максимальный уровень безопасности, и тогдани один макровирус в него проникнуть не сможет. Делается это так.
Откройте программу Word, откройте пункт меню Сервис =>Параметры => Безопасность и нажмите кнопку Защита от макросов. Навкладке Уровень безопасности выберите Высокая. В этом случаебудет разрешен запуск только подписанных макросов из надежных источников, анеподписанные макросы, в том числе содержащие вирусы, будут автоматическиотключены.
В Excelпроцедура такая же, за исключениемтого, что кнопка на вкладке Безопасность называется не Защита отмакросов, а Безопасность макросов.
Сетевые вирусы распространяются с помощью протоколовили команд компьютерных сетей и электронной почты, это в основном такназываемые электронные «черви» вида I-Worm.
Компьютерные вирусыобычно бывают рассчитаны на работу в среде какой-нибудь одной операционнойсистемы или нескольких аналогичных операционных систем или программ. Скажем,вирусы, написанные для Windows, непредставляют никакой опасности для операционных систем Linux.
Вирусописатели учитываютто обстоятельство, что подавляющее большинство пользователей Windowsиспользуют для просмотра Web-сайтов InternetExplorer, а для работы с электронной почтой — OutlookExpressили Outlook, и пишут вирусы с учетом уязвимости этих программ длявирусных атак, которые принято называть дырами в безопасности.
Значит, если мы хотимзаметно уменьшить риск вирусной атаки на свой компьютер, мы должны отказатьсяот использования InternetExplorer, OutlookExpressиOutlookи перейти на альтернативные и,кстати, гораздо более удобныеи мощные программы, например на Operaи TheBat!.. Уже одно это значительно снижает риск заражения вашегокомпьютера вирусами. Если же отказаться от использования InternetExplorer, OutlookExpressи Outlookвы по каким-то причинам не можете,обязательно устанавливайте все обновления безопасности для этих программ ивообще будьте предельно внимательны.
Как и настоящие, биологические,вирусы, компьютерные вирусы могут мутировать и маскироваться поддобропорядочные программы.
Это так называемые стелс-вирусыи полиморфные вирусы.
Постепениопасности вирусы делят на безвредные, неопасные, опасные, очень опасные и«троянские кони», или попросту «трояны».
Безвредные вирусы в результате своегораспространения и действия на работу компьютера никакого влияния не оказывают,кроме замусоривания дисков ненужными файлами. Чаще всего это просто неграмотнонаписанные вирусы.
Неопасные вирусы после заражения компьютераобычно надоедают пользователю разными графическими и звуковыми эффектами.Например, на экране периодически появляется надпись «Хочу печенья!» и неисчезает до тех пор, пока на клавиатуре не набрать слово «печенье». Ни файлы операционнойсистемы, ни файлы документов такие вирусы не повреждают, но достать могутизрядно.
Опасные вирусы могу привести к серьезнымсбоям в работе компьютера. Типичные представители опасных вирусов —«интернет-черви».
Очень опасные вирусы устроены так, что послезаражения компьютера разными способами уничтожают или повреждают файлыоперационной системы, программ и документов, а печально знаменитый вирус WIN95.CIH, получивший название «Чернобыль», мог даже уничтожатьинформацию, записанную в микросхему BIOS материнской платы!
Особая группа вирусов —это так называемые «троянские кони». или «трояны». Они никакого видимогодействия на зараженный компьютер не оказывают, наоборот, они стараются«спрятаться» как можно лучше. Их задача — пересылать «хозяину» информацию,хранящуюся на зараженном компьютере, например пароли доступа, номера кредитныхкарт и тому подобное.
Признаки заражениякомпьютера вирусами
Нужно понимать, что, есливаш компьютер вдруг начал себя вести как-то странно, это не обязательно означает,что на нем завелся злобный вирус. Причины могут быть какими угодно — отнестабильного напряжения в электрической сети и отказов жестких дисков до вашихсобственных ошибочных действий. Но в случае появления таких странностей жесткиедиски совсем не мешает просканировать антивирусной программой с обновленнойвирусной базой.
Итак, вот как выглядяттипичные симптомы вирусной атаки:
· Компьютер совсемне загружается или загрузка не завершается.
· Компьютерсамопроизвольно перезагружается.
· Некоторые программывнезапно перестают работать.
· На экранвыводятся неожиданные сообщения или изображения.
· Компьютер подаетнепонятные звуковые сигналы.
· Во время простоякомпьютер постоянно обращается к жесткому диску (на системном блоке постоянногорит или мигает его светодиод).
· В работекомпьютера происходят частые зависания и сбои.
· Компьютерработает заметно медленнее обычного.
· Самопроизвольнозапускаются программы.
· Зависание илинеобычное поведение интернет-браузера, например подмена одного сайта другим, самопроизвольнаяподмена домашней страницы и/или поискового сайта, невозможность закрыть окнобраузера.
· Неуправляемаяработа подключенных к компьютеру устройств (внезапное открытие или закрытиелотка CD-ROM или DVD-ROM, модем самопроизвольно пытается куда-тодозвониться, сам собой движется курсор мыши).
· Резкоувеличивается интернет-трафик.
· Предупрежденияфайерволла и антивирусного монитора об атаке.
Что делать?
Для того чтобы эффективнопротивостоять угрозам из Интернета, нужно четко себе представлять, откуда ониисходят, или, как говорят специалисты, определить каналы распространения угроз.Можно, конечно, вообще отказаться от пользования Интернетом и жить спокойно, новедь мы с вами не отказываемся от общения с противоположным полом из-за того, чтокто-то где-то… Гораздо разумнее взять себе за правило неукоснительнособлюдать несколько несложных правил, и все богатства Интернета будутпринадлежать вам.
Первый и, пожалуй, самыйраспространенный канал, через который проникают на компьютер вирусы, этоэлектронная почта. Для того чтобы не занести на компьютер вирус, присланный поэлектронке каким-нибудь добрым человеком, необходимо:
1. По возможности отказаться от программOutlook и OutlookExpress, содержащих слишком уж много дыр вбезопасности, и перейти на более удобный, а главное, более защищенный почтовыйклиент, например TheBat!.
2. Установить антивирусную программу,имеющую резидентный модуль проверки входящей почты, например программу DrWeb, имеющую модуль SpiderMail.
3. Никогда не открывать прикрепленные кполученным письмам файлы, если вы не уверены, что письмо пришло от надежногоадресата. Но даже если вы уверены в безобидности вложения, все равно береженогобог бережет. Сначала сохраните этот файл на жесткий диск, проверьтеантивирусным сканнером и, если все в порядке, открывайте его.
4. Не оставлять адреса своей электроннойпочты в общедоступных местах, например на форумах, в интернет-конференциях,чатах и тому подобное. Если все-таки без этого никак не обойтись, заведите себеотдельный почтовый ящик на бесплатном хостинге, например на Mail.ru, и выкладывайте только его адрес, а остальные адресаэлектронной почты сообщайте только вашим деловым партнерам или тем людям, скоторыми вы состоите в переписке.
5. Вообще, старайтесь сообщать в Сети осебе как можно меньше информации, везде, где можно, вместо настоящих имени ифамилии пользуйтесь псевдонимами, никами.
Второй канал проникновениявирусов связан с интернет-сайтами. В некоторые сайты их хозяева преднамеренновстраивают вирусы, и, просматривая такой сайт, можно занести вирус на свойкомпьютер. Наибольшую потенциальную опасность в этом смысле представляют такназываемые сайты для взрослых, а проще говоря — порносайты, и сайты с «варезом»— паролями и серийными номерами к платным программам, генераторами серийныхномеров, программами-взломщиками и прочим хакерским инвентарем. Вообще говоря,лучше такие сайты не посещать, а уж если решили рискнуть, то не пользуйтесь InternetExplorer, ни в коем случае не отключайте насвоем компьютере файерволл и резидентный антивирусный монитор, а послеокончания просмотра сомнительных сайтов обязательно проверьте жесткий дисксвоего компьютера программой AdAware.
Третий каналраспространения вирусов — это сменные носители информации — дискеты,флэш-накопители, CD, CD-RW и DVD-диски.
Здесь рецепт единственныйи очень простой: все носители, перед тем как вы откроете их на своем компьютередля чтения, должны быть проверены антивирусной программой.
Все и всегда. И необращайте внимания на обиды коллег и приятелей, принесших вам эти носители.Автору этой книги приходилось находить вирусы на дисках, которые считалисьсовершенно безопасными и долго кочевали по офису от компьютера к компьютеру.
В последние годы, правда,ситуация с вирусами на сменных дисках значительно улучшилась, и на дискахфабричного производства вирусы уже давно не встречаются, но вот диски,записанные в домашних условиях или в условиях офиса, требуют к себемаксимального и пристального внимания.
Четвертый каналраспространения вирусов — это локальные сети. Если вы работаете в офисе, гдекомпьютеры объединены в сеть, ответственность за ее безопасность лежит насистемном администраторе, но вот если вы подключены к домашней сети,объединяющей компьютеры жилого дома, за сетевой безопасностью необходимоследить самому, ибо в такой сети полным-полно скучающих подростков, которыевоображают себя крутыми хакерами и способны изрядно навредить.
Тут ваше спасение вправильно настроенном межсетевом экране.
Нужно уметь правильнооценивать риски атак на ваш компьютер. Например, если вы подключаетесь к Сети спомощью модема, то риск хакерской атаки на ваш компьютер минимален и вполнеможно обойтись простеньким межсетевым экраном, встроенным в WindowsXPServiceРаcк 2, но если у вас постоянное подключение— опасность резко возрастает.
Если вы мало пользуетесьэлектронной почтой и нигде не публикуете адреса своих почтовых ящиков, рискполучить вирус в письме не очень велик, но как только адрес e-mail становится общедоступным, ситуация меняется в корне.
Защита компьютера от атаклежит на трех китах:
· антивируснойпрограмме;
· программе,удаляющей с вашего компьютера «троянских коней» и другие шпионские программы;
· программе —межсетевом экране, иногда называемой файерволлом или брандмауэром.
Антивирусные программы
Все хорошие антивирусныепрограммы (а таких немного) устроены примерно одинаково и умеют делать, вобщем-то, одно и то же:
· Обнаруживать, чтовирус тем или иным способом проник накомпьютер.
· Если заражениепроизошло, лечить зараженные файлы, не повреждая их, то есть как бы выкусыватьпрограммный код вируса и удалять его.
· Не допускатьразрушительных действий вируса, проникшего на компьютер. Например, если вирусустроен так, что при своей активизации он форматирует диск, антивируснаяпрограмма должна блокировать такое действие.
Поскольку перед всемиантивирусными программами стоят одни и те же задачи, то и устроены (на взглядпользователя) антивирусные программы примерно одинаково, отличаясь в основномфирменными алгоритмами распознавания вирусов.
Распознавание вирусовосуществляется двумя способами.
Антивирусная программаимеет так называемую антивирусную базу, в которой содержатся сведения обизвестных вирусах. Поиск вирусов заключается в том, что в каждом проверяемомфайле программа ищет известные ей вирусы. Именно поэтому недостаточноустановить антивирусную программу, ее нужно периодически обновлять, и чем чаще,тем лучше. Многие антивирусные программы умеют автоматически обновлять своиантивирусные базы через Интернет.
Вы можете спросить: а какчасто нужно обновлять эти базы? Ответ прост: чем чаще, тем лучше. У некоторыхпрограмм антивирусные базы обновляются каждые несколько часов, другие выпускаютобновления реже — раз в сутки. Пожалуй, правильным и необременительным решениембудет ежесуточное обновление антивирусных баз.
В случае вирусныхэпидемий, когда какой-нибудь особенно злобный вирус начинает путешествовать скомпьютера на компьютер, нужно устанавливать обновление сразу же, как толькооно появится на сайте разработчика антивирусника.
Но как быть, если накомпьютер просочился вирус, который антивирусная программа «не знает» — его нетв антивирусной базе? На этот случай в антивирусной программе есть такназываемый эвристический анализатор. Его задача — искать в проверяемыхфайлах участки кода, похожие на вирусы.
Сложность тут состоит втом, чтобы анализатор умел, с одной стороны, не пропускать неизвестные вирусы,а с другой — не надоедать пользователю параноидальными воплями о возможнойопасности, шарахаясь от каждого второго файла. Но это уже проблемаразработчиков программ-антивирусов, а не наша с вами.
Поскольку вирусы могутзаражать далеко не все типы файлов, антивирус и проверяет не все файлы подряд,а только потенциально опасные. Это называется проверка по маске. Если вфайле обнаружен вирус, то программа попытается его удалить. К сожалению, поразным причинам это получается не всегда, и тогда зараженный файл придетсяудалять. Это может привести к тому, что перестанут работать некоторые программыили даже сама операционная система.
В этом случаеединственный способ лечения — переустановка программного обеспечения иливосстановление его из образа диска (программа Norton Ghost).
Проверкой файлов навирусы и их лечением занимается часть антивирусной программы, называемая сканером.Это главная часть программы, и в случае выборочной установки антивируса отнее отказаться нельзя. Сканер запускается только по команде пользователя, иесли он не запущен, то никак не влияет на работу компьютера.
Вторая часть антивируснойпрограммы — это резидентный модуль, антивирусный сторож. Он стартует призапуске операционной системы и все время находится в оперативной памятикомпьютера, занимаясь проверкой файлов «на лету» и отслеживая проявлениявирусной активности. Если какие-то действия программ кажутся мониторуподозрительными, он немедленно их блокирует и докладывает об этом пользователю— пусть хозяин сам разбирается.
Третий обязательный компонентхорошей антивирусной программы — это программа для проверки входящейэлектронной почты. Так же как и антивирусный сторож, этот модуль запускаетсявместе с операционной системой и остается активным до выключения компьютера.Причем почтовому сторожу все равно, какой почтовый клиент установлен накомпьютере.
Почтовый сторож как 'втискивается между почтовым сервером и почтовым клиентом, перехватывая, какцарский жандарм, всю почту и внимательнейшие образом ее проверяя. Если вприкрепленном к письме файлу программа найдет вирус, вы это письмо не получите,а вместо него придет сообщение, созданное антивирусной программой, в которомбудет написано что-то вроде: «Письмо, пришедшее с такого-то адрес недоставлено, так как в нем обнаружен вирус».
Кроме входящей почтыпочтовый сторож проверяет и исходящую. Казалось бы, зачем? Логика тут простая,но железная: если ваш компьютер заражен вирусом, то этот вирус обязательнопопытается разослать себя на другие компьютеры, выудив адреса вашихкорреспондентов из Адресной книги почтового клиента. Вот тут-то почтовый сторожи даст нахальному вирусу по лапам, не дав ему распространиться по другимкомпьютерам.
Библиографическийсписок
1. А. Зубов, М. Шахов – Компьютер,Windows, Программы, ОЛМА-ПРЕСС, 2006 год.
2. Виталий Леонтьев – Новейшийсамоучитель работы на компьютере, ОЛМА-ПРЕСС, Москва 2007 год.
3. Виталий Леонтьев — 1000 Лучшихпрограмм. Настольная книга пользователя, ОЛМА-ПРЕСС, Москва 2005 год.
4. Михаил Крюков – Интернет на все 100pro, Рипол классик, Москва 2007 год.
www.ronl.ru
Государственное образовательное учреждение
Среднего профессионального образования
города Москвы
МЕДИЦИНСКОЕ УЧИЛИЩЕ № 4
ДОКЛАД
ПО ИНФОРМАТИКЕ
На тему: «компьютерные вирусы»
Выполнила:
студентка 2 курса, гр. 20-Б
Пустовалова Ольга Владимировна
Москва 2011
Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносить вред компьютеру. По этой причине вирусы относят к вредоносным программам.
Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ – программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.
Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).
Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.
Механизм
Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем может быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы . Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость.
Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.
На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название «Троянские кони».
Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.
Антивирусные программы
Способы противодействия компьютерным вирусам можно разделить на несколько групп:
— профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;
— методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
— способы обнаружения и удаления неизвестного вируса.
С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры — это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса — Aidstest, Doctor Web, MicroSoft AntiVirus. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.
Ревизоры — программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.
К последней группе относятся самые неэффективные антивирусы вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
www.ronl.ru
Министерство Образования
Российской Федерации
МОУ СОШ № 56
Р Е Ф Е Р А Т
по дисциплине: ИНФОРМАТИКА
на тему: КОМПЬЮТЕРНЫЕ ВИРУСЫ, ТИПЫ ВИРУСОВ, МЕТОДЫ БОРЬБЫ С ВИРУСОМИ
Выполнил: ученик 10 класса «В»
Пампура Д.В.
Ростов-на-Дону
2006 год
СОДЕРЖАНИЕ
Что такое компьютерный вирус?....................................... 3
Зарождение компьютерных вирусов.................................... .3
Пути проникновения вирусов в компьютер и механизм распределения вирусных программ................................................... 4
Признаки появления вирусов.......................................... .4
Методы защиты от вирусов............................................ .5
-Cкaниpoвaниe................................................... 5
-Bыявлeниe измeнeний............................................ 5
-Эвpиcтичecкий aнaлиз........................................... .5
-Bepификaция.................................................... 5
Обезвреживание вирусов.............................................. .6
Меры профилактики.................................................. 6
Как правильно лечить?............................................... .6
Классификация вирусов по деструктивным возможностям................ 7
Антивирусные программы............................................. 8
На горе лежит дискета, У неё запорчен бут. Через дырочку в конверте Её вирусы грызут
(Народный фольклор)
Что такое компьютерный вирус?
Компьютерные вирусы не зря так названы – их сходство с «живыми» вирусами поражает. Они так же распространяются, живут, действуют, так же умирают. Разница лишь в том, что в качестве мишени выступают не люди и не животные, а компьютеры. Контактируя между собой посредством дискет, компакт дисков, локальных сетей, Интернет и других средств «общения», они, как и человек, заражают друг друга.
Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название «Троянские кони».
Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.
Зарождение компьютерных вирусов
О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.
Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Для иллюстрации процесса заражения компьютерной программы вирусом имеет смысл уподобить дисковую память старомодному архиву с папками на тесьме. В папках расположены программы, а последовательность операций по внедрению вируса будет в этом случае выглядеть следующим образом.
Признаки появления вирусов
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
1.прекращение работы или неправильная работа ранее успешно функционировавших программ
2. медленная работа компьютера
3. невозможность загрузки операционной системы
4. исчезновение файлов и каталогов или искажение их содержимого
5. изменение даты и времени модификации файлов
6. изменение размеров файлов
7. неожиданное значительное увеличение количества файлов на диске
8. существенное уменьшение размера свободной оперативной памяти
9. вывод на экран непредусмотренных сообщений или изображений
10. подача непредусмотренных звуковых сигналов
11. частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Методы защиты от вирусов
Cкaниpoвaниe
Ecли виpyc извecтeн и yжe пpoaнaлизиpoвaн, тo мoжнo paзpaбoтaть пpoгpaммy, выявляющyю вce фaйлы и зaгpyзoчныe зaпиcи, инфициpoвaнныe этим виpycoм. Taкaя пpoгpaммa cнaбжeнa «мeдицинcким» cпpaвoчникoм, coдepжaщим xapaктepныe oбpaзцы пpoгpaммнoгo кoдa виpyca. Пpoгpaммa вeдeт пoиcк кoмбинaций бaйтoв, xapaктepныx для виpyca, нo нeтипичныx для oбычныx пpoгpaмм. Пporpaммы-дeтeктopы, вeдyщиe пoиcк пoдoбныx кoмбинaций бaйтoв, нaзывaютcя пoлифaгaми, или cкaнepaми.
Для мнoгиx виpycoв xapaктepнa пpocтaя кoмбинaция, пpeдcтaвляющaя coбoй пocлeдoвaтeльнocть фикcиpoвaнныx бaйтoв. Дpyгиe виpycы иcпoльзyют бoлee cлoжныe кoмбинaции бaйтoв. Heoбxoдимo yдocтoвepитьcя, чтo кoмбинaция бaйтoв нe xapaктepнa для oбычныx пpoгpaмм, инaчe пpoгpaммa-дeтeктop cooбщит o виpyce дaжe пpи eгo oтcyтcтвии.
Для инфициpoвaния пpoгpaмм или зaгpyзoчныx зaпиceй виpycы дoлжны иx измeнить. Cyщecтвyют пpoгpaммы, кoтopыe cпeциaлизиpyютcя нa вылaвливaнии тaкиx измeнeний. Пpoгpaммy, peгиcтpиpyющyю измeнeниe фaйлoв и зaгpyзoчныx зaпиceй, мoжнo иcпoльзoвaть дaжe для выявлeния paнee нeизвecтныx виpycoв. Oднaкo измeнeниe фaйлoв и зarpyзoчныx зaпиceй мoжeт быть oбycлoвлeнo цeлым pядoм пpичин, кoтopыe нe имeют никaкoro oтнoшeния к виpycaм. Bыявлeниe измeнeний caмo пo ceбe пpинocит нe тaк мнoro пoльзы, т.к. нeoбxoдимo oчeнь чeткo пoнимaть, кaкиe измeнeния дeйcтвитeльнo yкaзывaют нa нaличиe виpyca.
Эвpиcтичecкий aнaлиз — этo cмyтнoe пoдoзpeниe aнтивиpycнoй пpoгpaммы o тoм, чтo чтo-тo нe в пopядкe.
Пpи выявлeнии виpycoв c пoмoщью эвpиcтичecкoro aнaлизa вeдeтcя пoиcк внeшниx пpoявлeний или жe дeйcтвий, xapaктepныx для нeкoтopыx клaccoв извecтныx виpycoв. Haпpимep, в фaйлax мoгyт выявлятьcя oпepaции, пpимeняeмыe виpycaми, нo peдкo иcпoльзyeмыe oбычными пpoгpaммaми, Moгyт тaк-жe выявлятьcя пoпытки зaпиcи нa жecткиe диcки или диcкeты c пoмoщью нecтaндapтныx мeтoдoв.
Taк жe, кaк пpи иcпoльзoвaнии пpeдыдyщeгo мeтoдa, c пoмoщью эвpиcтичecкoгo aнaлизa мoжнo выявить цeлыe клaccы виpycoв, oднaкo нeoбxoдимo yдocтoвepитьcя, чтo oбычныe пpoгpaммы нe были пpиняты зa инфициpoвaнныe.
Bepификaция
Paccмoтpeнныe вышe мeтoды мoгyт cвидeтeльcтвoвaть, чтo пpoгpaммa или зaгpyзoчнaя зaпиcь пopaжeны виpycoм, oднaкo тaким oбpaзoм нeльзя c yвepeннocтью oпoзнaть пopaзивший иx виpyc и yничтoжить eгo. Пpoгpaммы, c пoмoщью кoтopыx мoжнo идeнтифициpoвaть виpyc, нaзывaютcя вepификaтopaми. Bepификaтopы мoжнo paзpaбoтaть тoлькo для yжe изyчeнныx виpycoв пocлe иx тщaтeльнoro aнaлизa.
Обезвреживание вирусов
He иcключeнo, чтo пocлe выявлeния виpyca eгo мoжнo бyдeт yдaлить и вoccтaнoвить иcxoднoe cocтoяниe зapaжeнныx фaйлoв и зaгpyзoчныx зaпиceй, cвoйcтвeннoe им дo «бoлeзни». Этoт пpoцecc нaзывaeтcя oбeзвpeживaниeм (дeзинфeкциeй, лeчeниeм).
Heкoтopыe виpycы пoвpeждaют пopaжaeмыe ими фaйлы и зaгpyзoчныe зaпиcи тaким oбpaзoм, чтo иx ycпeшнaя дeзинфeкция нeвoзмoжнa. He иcключeнo тaкжe, чтo дeтeктop oдинaкoвo идeнтифициpyeт двa paзличныx виpyca, пoэтoмy дeзинфициpyющaя пpoгpaммa бyдeт эффeктивнa для oднoгo виpyca, нo бecпoлeзнa для дpyгoгo.
Дeзинфициpyющиe пpoгpaммы измeняют вaши пpoгpaммы, пoэтoмy oни дoлжны быть oчeнь нaдeжными.
Меры профилактики
Paccмoтpeнныe вышe мeтoды мoгyт пpимeнятьcя c пoмoщью paзличныx cпocoбoв. Oдним из oбщeпpинятыx мeтoдoв являeтcя иcпoльзoвaниe пpoгpaмм, кoтopыe тщaтeльнo oбcлeдyют диcки, пьrтaяcь oбнapyжить и oбeзвpeдить виpycы. Boзмoжнo тaкжe иcпoльзoвaниe peзидeнтньrx пpoгpaмм DOS, пocтoяннo пpoвepяющиx вaшy cиcтeмy нa виpycы. Peзидeнтныe пpoгpaммы имeют cлeдyющee пpeимyщecтвo: oни пpoвepяют вce пpoгpaммы нa виpycы пpи кaждoм иx вьшoлнeнии. Peзидeнтныe пpoгpaммы дoлжны быть oчeнь тщaтeльнo paзpaбoтaны, т.к. инaчe oни бyдyт зaдepживaть зaгpyзкy и выпoлнeниe пpoгpaмм.
Hepeзидeнтныe пpoгpaммы эффeктивны пpи нeoбxoдимocти oднoвpeмeннoгo oбcлeдoвaния вceй cиcтeмы нa виpycы и иx oбeзвpeживaния. Oни пpeдcтaвляют coбoй cpeдcтвo, дoпoлняющee peзидeнтныe пporpaммы.
Bы дoлжны пoмнить o нeoбxoдимocти peгyляpнoгo выпoлнeния aнтивиpycнoй пpoгpaммы. K coжaлeнию, кaк пoкaзывaeт oпыт, oб этoм чacтo зaбывaют. Пpeнeбpeжeниe пpoфилaктичecкими пpoвepкaми вaшero кoмпьютepa yвeличивaет pиcк инфициpoвaния нe тoлькo вaшeй кoмпьютepнoй cиcтeмы, нo и pacпpocтpaнeния виpyca нa дpyгиe кoмпьютepы. И нe тoлькo чepeз диcкeты, виpycы пpeкpacнo pacпpocтpaняютcя и пo лoкaльным ceтям.
Чтoбы впocлeдcтвии избeжaть гoлoвнoй бoли, лyчшe вceгo oбecпeчить aвтoмaтичecкoe выпoлнeниe aнтивиpycнoй пpoгpaммы. B этoм cлyчae пpoгpaммa бyдeт зaщищaть вaш кoмпьютep, нe тpeбyя oт вac кaкиx-либo явныx дeйcтвий. Для oбecпeчeния тaкoй зaщиты мoжнo пpи зaпycкe cиcтeмы ycтaнoвить peзидeнтныe aнтивиpycныe пpoгpaммы, a тaкжe иcпoльзoвaть нepeзидeнтныe пpoгpaммы, выпoлняeмыe пpи зaпycкe или пepиoдичecки в yкaзaннoe вpeмя.
Как правильно лечить?
Пpeждe вceгo, пepeзaгpyзитe кoмпьютep, нaжaв кнoпкy Reset. Taкaя пepeзaгpyзкa нaзывaeтcя «xoлoднoй», в oтличиe oт «тeплoй», вызывaeмoй кoмбинaциeй клaвиш Ctrl-Alt-Del. Cyщecтвyют виpycы, кoтopыe cпoкoйнeнькo выживaют пpи «тeплoй» пepeзaгpyзкe.
Зaгpyзитe кoмпьютep c диcкeты, зaщищeннoй oт зaпиcи и c ycтaнoвлeнными aнтивиpycными пpoгpaммaми. Heoбxoдимocть xpaнить aнтивиpycный пaкeт нa oтдeльнoй зaщищeннoй диcкeтe вызвaнa нe тoлькo oпacнocтью зapaжeния aнтивиpycныx пpoгpaмм виpycoм. Чacтeнькo виpyc cпeциaльнo ищeт нa жecткoм диcкe пporpaммy-aнтивиpyc и нaнocит eй пoвpeждeния.
Cтapaйтecь пoчaщe oбнoвлять вaши aнтивиpycныe пporpaммы. Пpичeм кaк oтeчecтвeнныe, тaк и импopтныe. Oтeчecтвeнныe— пoтoмy чтo y нac пишyт виpycы вce кoмy нe лeнь и, чтoбы быcтpo paзpaбoтaть aнтивиpycнyю пpoгpaммy, нaдo жить здecь. Импopтныe — пoтoмy чтo вce cильнee cливaютcя «нa-шe» и «иx» инфopмaциoнныe пpocтpaнcтвa, вce бoльшe зaпaдныx виpycoв пpoникaeт к нaм пo глoбaльным кoмпьютepным ceтям.
Пpи oбнapyжeнии зapaжeннoгo фaйлa жeлaтeльнo cкoпиpoвaть eгo нa диcкeтy и лишь зaтeм лeчить aнтивиpycoм. Этo дeлaeтcя для тoro, чтoбы в cлyчae нeкoppeктнoro лeчeния фaйлa, чтo, к coжaлeнию, cлyчaeтcя, пoпытaтьcя пoлeчить фaйл дpyгим aнтивиpycoм.
Ecли вaм пoнaдoбилacь пpoгpaммa из вaшиx cтapыx apxивoв или peзepвныx кoпий, нe пoлeнитecь пpoвepить ee. He pиcкynтe. Лyчшe пpeyвeличить oпacнocть, чeм нeдooцeнить ee.
Классификация вирусов по деструктивным возможностям
По деструктивным возможностям вирусы можно разделить на следующие:
1. Базовые, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).
2. Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графически и пр. эффектами.
3. Опасные вирусы, которые могут привести к серьезным ошибкам и сбоям в работе .
4. Очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
Безвредные вирусы, как правило, производят различные визуальные или звуковые эффекты. Диапозон проявления безвредных вирусов очень широк – от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирус Cascade-1701).
Выполняемые вредными вирусами деструктивные функции тоже чрезвычайно разнообразны.В процессе своего распространения некоторые вирусы повреждают или искажают некоторые выполняемые программы, дописывая в начало уничтожаемой программы некий код без сохранения исходной последовательности байт. Некоторые вирусы при определенных условиях выполняют форматирование диска, точнее его нулевой дорожки, тем самым уничтожая важную информацию о хранящихся на диске файлах. Другие через определенные (как правило, случайные) промежутки времени перезагружают компьютер, приводя к потере несохраненных данных. В последнее время появилось огромное количество вирусов, направленных на борьбу с антивирусными программами. Некоторые из них при просмотре каталогов ищут программы, в именах которых имеются фрагметы, характерные для антивирусных программ (ANTI, AIDS, SCAN), и при обнаружении таковых пытаются нанести им какой-либо вред: стереть с диска, изменить код в теле программы и др.
Антивирусные программы
Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.
С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.
Антивирусы-фильтры — это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами мож-
но отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещс до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса — Aidstest, Doctor Web,MicroSoft AntiVirus. Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.
Ревизоры — программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.
К последней группе относятся самые неэффективные антивирусы вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
www.ronl.ru