Суворкина А.В. МОУ «СОШ №8» г.Калуги Вирусы и антивирусные программы Коляда Татьяна Александровна
* Компьютерный вирус - Компьютерный вирус – это целенаправленно созданная программа, автоматически приписывающая себя к другим программным продуктам, изменяющая или уничтожающая их.
* Первый вирус Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain (англ. «мозг») заражал дискеты персональных компьютеров.
* Аналитики PC Tools уверяют, что по масштабам распространения компьютерных вирусов, вредоносного и шпионского программного обеспечения Россия давно опередила таких "гигантов" в этой области, как Китай и США. По оценкам аналитиков PC Tools - американского производителя средств защиты от нежелательного ПО – на долю РФ приходится 27,89% вредоносных программ в мире, Китая - 26,52%, США - 9,98% Россия вышла в мировые лидеры по распространению компьютерных вирусов
* Классификация вирусов по среде обитания Загрузочные вирусы Файловые вирусы Макро - вирусы Сетевые вирусы
* Загрузочные вирусы Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.). Программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.
* Файловые вирусы К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо ОС. Могут поражать исполнимые файлы различных типов (EXE, COM, BAT, SYS, и др.) Практически все загрузочные и файловые вирусы резидентные
* Макро-вирусы Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. На сегодняшний день известны четыре системы, для которых существуют вирусы - Microsoft Word, Excel, MS Office и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Большинство макро-вирусов резидентные.
* Сетевые вирусы К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.
* По особенностям алгоритма вирусы имеют большое разнообразие Простейшие вирусы – не изменяют содержимое файлов, могут быть легко обнаружены и уничтожены Черви – распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и рассылают свои копии по этим адресам Вирусы – невидимки – трудно обнаружить и обезвредить, подставляют вместо своего тела незараженные участки диска Вирусы-мутанты –содержат алгоритмы шифровки/расшифровки, наиболее трудно обнаружить Трояны – маскируются под полезную программу, разрушают загрузочный сектор и файловую систему
* Другие вредоносные программы Троянские кони (логические бомбы) К троянским коням относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках, "завешивающая" систему и т.п. Большинство троянских коней являются программами, которые "подделываются" под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с вирусами "троянские кони" не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
* Другие вредоносные программы Intended-вирусы К таким вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает" поместить в начало файлов команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (что в подавляющем большинстве случаев завешивает компьютер) и т.д. К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз - из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению.
* Другие вредоносные программы Конструкторы вирусов Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы.
* Другие вредоносные программы Полиморфные генераторы Полиморфик - генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.
* Примеры вирусов KeyKut 4.0 (Trojan-Spy.Win32.Banker.ckl) Бразильский троян для кражи персональной информации, написан на Delphi. Имеет размер более 2Мб.
* Примеры вирусов Apocalypse Trojan v2 Троян-бекдор, не обнаруживаемый антивирусами. Состоит из одного файла c:\WINDOWS\system32\ntoskrnl32.exe размером 534 кб.
* Примеры вирусов APS 3.1 (Trojan.Win32.VB.akr) Многофункциональный иранский троян, способный отключать различные средста защиты компьютера. Серверная часть состоит из одного файла c:\WINDOWS\system32\regsvr.exe размером 23,203 байт.
* Признаки, указывающие на поражение программ вирусом: Неправильная работа программ Медленная работа компьютера Невозможность загрузки операционной системы Исчезновение файлов Изменение даты, времени создания файла или его размера Вывод на экран непредусмотренных сообщений или изображений Частые зависания компьютера и т.д.
* Антивирусные программы Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.
* Антивирусные программы NOD 32 Dr. Web Kaspersky Antivirus Avast! Norton AntiVirus Panda Antivirus
* NOD 32 http://www.esetnod32.ru/
* Dr. Web http://www.drweb.com/
* Kaspersky Antivirus http://www.kaspersky.ru/
* Avast! http://www.avast.com/ru-ru/index
* Norton AntiVirus http://www.symantec.com/norton/antivirus
* Panda Antivirus http://www.pandasecurity.com/russia/
* Правила защиты от компьютерных вирусов Регулярно тестируйте компьютер на наличие вирусов с помощью антивирусных программ Перед считыванием информации со съемных носителей проверяйте их на наличие вирусов Всегда защищайте свои носители информации от записи при работе на других компьютерах Делайте архивные копии ценной для вас информации Не используйте программы, поведение которых непонятно Регулярно обновляйте антивирусные программы
* Источники информации Компьютерные вирусы Компьютерный вирус Антивирусная программа
*
* Резидентность Под термином "резидентность" (DOS'овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в операционной системе, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов - форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражает диск повторно после того, как он отформатирован.