Одной из главных причин уничтожения информации в настоящее время является распространение компьютерных вирусов.

Компьютерный вирус – это специальная компьютерная программа, как правило, небольшая по размерам, которая при своем запуске уничтожает или портит данные, хранящиеся на компьютере. Компьютерный вирус может выполнять следующие вредные действия:

· удаление или искажение файлов;

· изменение (порча) таблицы размещения файлов на диске, которая отвечает за целостность данных;

· засорение оперативной памяти и памяти диска пустой информацией;

· замедление работы компьютера или его полная остановка (зависание).

Компьютерный вирус может "приписывать" себя к другим программам, как говорят, "заражать" их. Такое "заражение" приводит к тому, что компьютерные вирусы могут самостоятельно распространяться и размножаться. Вследствие чего, большое число компьютеров может одновременно выйти из строя.

Программа, внутри которой находится вирус, называется "зараженной". Механизм действия зараженной программы следующий. Когда такая программа начинает работать, то в определенный момент управление получает вирус, который выполняет вредные действия, а затем заражает другие программы. После того как вирус выполнит свои вредные действия, он передает управление той программе, в которой находится. И эта программа продолжает работать так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и не зараженной.

Все действия вируса выполняются быстро и незаметно. Поэтому пользователю ПК бывает очень трудно заметить, что в компьютере происходит вредная работа вируса. Однако имеется ряд признаков, по которым можно сделать предположение о заражении компьютера. К ним относятся следующие:

· программы перестают работать или начинают работать неправильно (например, "виснуть", производить неправильные расчеты, терять данные и т.д.);

· на экран выводятся посторонние сообщения, символы, рисунки и т.д.;

· работа на компьютере существенно замедляется или компьютер зависает;

· происходит внезапная потеря данных на диске;

· некоторые файлы оказываются испорченными, или они полностью удаляются т. д.

При появлении таких признаков необходимо провести проверку компьютера на наличие вирусов.

Для того чтобы компьютер заразился вирусом, необходимо, чтобы этот вирус проник в компьютер. Вирус может проникнуть с помощью гибких дискет, которые используются для передачи данных между компьютерами, через локальную вычислительную сеть организации, через другие вычислительные сети (например, через Интернет).

Однако помимо проникновения вируса на компьютер существует еще одно условие заражение компьютера. Это условие заключается в том, чтобы на компьютере хотя бы один раз была выполнена программа, содержащая вирус. Поэтому непосредственное заражение компьютера вирусом может произойти в одном из следующих случаев:

· на компьютере была выполнена зараженная программа;

· компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

· на компьютере была установлена зараженная операционная система;

· на компьютере обрабатывались файлы, содержащие в своем теле зараженные макросы.

При обычном просматривании содержания гибких дискет заражения вирусом компьютера не происходит, даже если файлы на дискете заражены. Заражение компьютера произойдет только в том случае, если с дискеты будет запущена зараженная программа или открыт для просмотра зараженный файл документа (например, документ, созданный в программе Microsoft Word).

Несмотря на возможность заражения компьютера вирусом, надо знать, что вирусом могут заразиться не все файлы компьютера. Вирусной атаке подвергаются следующие компоненты файловой системы компьютера:

· исполнимые файлы, т.е. файлы с расширениями EXE , COM , BAT ;

· загрузочный сектор и главный загрузочный сектор дисков (т.е. сектора магнитных дисков, которые используются для загрузки на компьютере операционной системы);

· драйверы устройств и динамические библиотеки (обычно имеют расширение SYS и DLL) ;

· графические файлы, например, с расширением JPG ;

Текстовые файлы (с расширением TXT), файлы с растровыми рисунками (расширение BMP) и ряд других файлов, как правило, не заражаются компьютерными вирусами.

Наиболее опасны вирусы, которые после своего запуска остаются в оперативной памяти и постоянно заражают файлы компьютера до тех пор, пока он не будет выключен или перезагружен. Также опасны и те вирусы, которые заражают загрузочные сектора дисков. Так как, если будет заражен загрузочный сектор винчестера, то каждый раз при загрузке компьютера этот вирус будет вновь запускаться и заражать новые программы.

Пока неизвестны вирусы, способные выводить из строя аппаратную часть компьютера, но существуют вирусы, которые могут изменить пароль на запуск компьютера и тем самым не дать возможность приступить к работе.

Классификация компьютерных вирусов

Можно выделить три основные группы вирусов:

· файловые вирусы;

· загрузочные вирусы;

· комбинированные файлово-загрузочные вирусы.

Файловые вирусы записывают свой код в тело исполняемого (командного) файла и, соответственно, запускаются при запуске самой программы.

К файловым вирусам также можно отнести макрокомандные вирусы , которые распространяются с документами офисных приложений, таких как Microsoft Word или Microsoft Excel. Это происходит потому, что документы офисных приложений содержат в себе не только текст, таблицы, графические изображения и т.д., но и макрокоманды - программы, которые позволяют выполнять определенные действия, работая с документом. Эти макрокоманды и подвергаются атаке вирусов.

Механизм распространения макрокомандных вирусов следующий. Например, в текстовый файл с расширением DOC записывается одна или несколько вирусных макрокоманд. Когда пользователь начинает работать с данным файлом, то в определенный момент запускается макрокоманда, содержащая вирус. При этом вирус получает управление и заражает другие документы.

Загрузочные вирусы активизируются и распространяются в момент загрузки операционной системы. Объектом атаки загрузочных вирусов обычно являются загрузочная запись на дискете или главная загрузочная запись на винчестере.

Работа загрузочного вируса выглядит так. При загрузке компьютера с зараженного диска управление получает вирус, и затем загрузка операционной системы продолжается под контролем вируса, что затрудняет его обнаружение антивирусными программами. После загрузки операционной системы вирус начинает контролировать все обращения к дискам и дискетам. Как только пользователь вставляет дискету и обращается к ней, вирус заражает ее.

Файлово-загрузочные вирусы наиболее опасны и совершенны. Они используют методы распространения, характерные и для файловых, и для загрузочных вирусов. То есть при своей работе они заражают как файлы, так и загрузочные записи и активизируются либо при запуске файла, либо при загрузке с зараженного диска.

Среди вирусов можно также выделить следующие виды:

· простые вирусы;

· полиморфные вирусы;

· стелс-вирусы.

Простые вирусы представляют собой вирусы, обнаруживаемые по их коду, который они записывают в заражаемый файл. Антивирусные программы знают этот код и, проверяя файлы, определяют их зараженность по этому коду. Проблем с обнаружением таких вирусов нет.

Однако многие вирусы используют алгоритмы шифрования своего кода. Сложность обнаружения таких вирусов заключается в том, что при каждом новом заражении они изменяют свои коды. Но, так как процедура шифрования вируса все же известна, то его код все равно можно вычислить. Поэтому вслед за шифрующимися вирусами появились вирусы-мутанты или полиморфные вирусы .

От простых и шифрующихся вирусов они отличаются тем, что полностью изменяют процедуру расшифровки кода при создании каждой новой особи вируса, поэтому выделить их код невозможно и многие антивирусные программы не могут обнаружить такие вирусы. Т.е. каждый раз, когда вирус запускается, он создает аналогичный вирус, но уже с другим кодом, который и заражает файлы компьютера. Проблема распознавания таких вирусов довольно сложна, и полностью надежного решения пока не получила.

В процессе проверки компьютера антивирусные программы считывают данные с жестких дисков и находят зараженные файлы. Стелс-вирусы после своего запуска оставляют в оперативной памяти компьютера специальные модули, перехва­тывающие обращения программ к дискам компьютера. Если такой модуль обнаруживает, что некоторая программа пытается прочитать и проверить зараженный файл, то он на ходу подменяет читаемые данные и таким образом остается незамеченным, обманывая антивирусные программы.

Чтобы бороться с такими вирусами надо, при подозрении на наличие стелс-вирусов на компьютере, загрузится с системной дискеты, и провести диагностику компьютера, запустив антивирусную программу с этой дискеты.

Компьютерный вирус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Как правило, целью вируса является нарушение работы программно-аппаратных комплексов: удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей или же приведение в негодность аппаратных комплексов компьютера и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют некоторые другие ресурсы системы.

В обиходе «вирусами» называют всё вредоносное ПО, хотя на самом деле это лишь один его вид.

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае1970 года.

Термин «компьютерный вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер и, вероятно, это и было то, что впервые было правильно обозначено как вирус.

Вредоносное ПО может образовывать цепочки: например, с помощью эксплойта (1) на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя

История

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты —CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins ). В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTECT — первыйрезидентный антивирус.

Первые вирусные эпидемии относятся к 1986—1989 годам: Brain.A (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton AntiVirus.

В 1992 году появились первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Officeполучили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 — Win95.Boza, а в декабре того же года — первый резидентный вирус для неё — Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы.

Обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft — более 16 млн систем), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно.

В начале на основе троянских программ, а с развитием технологий p2p-сетей — и самостоятельно — набирает обороты самый современный вид вирусов — черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008—2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

Типы вирусов

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

Через интернет, локальные сети и съемные носители.

Вирусы распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

Каналы распространения

• . Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
• . Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играютмобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
• . Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
• . Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
• . Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого:скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
• . Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. . Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Признаки заражения

• . автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
• . блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
• . появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows);
• . появление в ветках реестра, отвечающих за автозапуск, новых записей;
• . запрет на изменение настроек компьютера в учётной записи администратора;
• . невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
• . появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
• . перезапуск компьютера во время старта какой-либо программы;
• . случайное и/или беспорядочное отключение компьютера;
• . случайное аварийное завершение программ.
• . подача непредусмотренных звуковых сигналов;
• . неожиданное открытие и закрытие лотка CD-ROM-устройства;
• . произвольный запуск на компьютере каких-либо программ;
• . появление предупреждений о самопроизвольной попытке какой-либо программы компьютера выйти в Интернет .

При проявлении описанных признаков с большой степенью вероятности можно предположить, что компьютер поражен вирусом. Кроме того, есть характерные признаки поражения вирусом через электронную почту :

• . друзьям или знакомым приходят сообщения от вас, которые вы не отправляли;
• . в почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов, иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Имеются косвенные признаки заражения компьютер а:

• . частые зависания и сбои в работе компьютера;
• . медленная работа компьютера при запуске программ;
• . невозможность загрузки операционной системы ;
• . исчезновение файлов и каталогов или искажение их содержимого;
• . частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
• . Интернет-браузер ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных признаков вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку компьютера установленной на нем антивирусной программой

Однако следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.

Жизнь - борьба

Абсолютной защиты от вредоносных программ не существует: от «эксплойтов нулевого дня» наподобие Sasser или Conficker не застрахован никто. Но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:

• . использовать операционные системы, не дающие изменять важные файлы без ведома пользователя;
• . своевременно устанавливать обновления;
  • если существует режим автоматического обновления, включить его;
  • для проприетарного ПО: использовать лицензионные копии. Обновления для двоичных файлов иногда конфликтуют со взломщиками;
• . помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающеепроактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, ещё не внесенные в антивирусные базы). Однако, его использование требует от пользователя большого опыта и знаний;
• . постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки. Но это не защитит персональные данные от вредоносных (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, ransomware [шифрующий файлы] , шпионского ПО) и потенциально-нежелательных программ (Adware, Hoax ), имеющих доступ к файлам пользователя, к которым ограниченная учетная запись имеет разрешение на запись и чтение (например, домашний каталог — подкаталоги /home в GNU/Linux, Documents and settings в Windows XP, папка «Пользователи» в Windows 7,8,8.1,10), к любым папкам, в которые разрешена запись и чтение файлов, или интерфейсу пользователя (как делают пользовательские программы для создания снимков экрана или изменения раскладки клавиатуры);
• . ограничить физический доступ к компьютеру посторонних лиц;
• . использовать внешние носители информации только от проверенных источников на рабочем компьютере;
• . не открывать компьютерные файлы, полученные от ненадёжных источников, на рабочем компьютере;
• . использовать межсетевой экран (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;
• . использовать второй компьютер (не для работы) для запуска программ из малонадежных источников, на котором нет ценной информации, представляющей интерес для третьих лиц;
• . делать резервное копирование важной информации на внешние носители и отключать их от компьютера (вредоносное ПО может шифровать или ещё как-нибудь портить найденные им файлы).

Следует придерживаться некоторых мер предосторожности, в частности:

1. . Не работать под привилегированными учётными записями без крайней необходимости. (Учётная запись администратора в Windows)
2. . Не запускать незнакомые программы из сомнительных источников.
3. . Стараться блокировать возможность несанкционированного изменения системных файлов.
4. . Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. . Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. . Пользоваться только доверенными дистрибутивами.
7. . Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.
8. . Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Антивирусы

Антивирус Касперского — это программа предназначена для обычных пользователей и очень простая в использования для продвинутых пользователей. Максимальная независимая испытательная лаборатория дала им очень высокий рейтинг. Данная антивирусная программа обладает удобным пользовательским интерфейсом и охватывает все этапы онлайн и офлайн защиты для компьютера или ноутбука. Почасовое обновление базы данных если есть подключение к интернету.

Norton Antivirus является одним из самых возрастных и популярных антивирусных программ для компьютерной безопасности. Их последняя версия позволяет отображать беспроводную домашнюю сеть и гарантирует безопасные сетевые соединения Wi-Fi в режиме реального времени. Они обеспечивают ежедневное обновления вирусной базы, но очень плохую поддержку P2P File Sharing и реестра Startup защиты компьютера.

AVG является одним из старейших и широко используемых антивирусных программ безопасности. Они предлагают удобный и понятный пользовательский интерфейс для обычных пользователей, где заранее пользователи могут использовать их заготовленные функции. Это позволяет осуществить мульти защиту в поисковых системах.

McAfee является одной из первых антивирусных программ которая была введена в ранний период. У них есть 2 слоя защиты системы, такие как ScriptStopper и WormStopper, но они имеют низкую поддержку P2P совместного использования файлов, Instant Messenger (чат) и реестр Startup сканирования.

Dr.Web ( Доктор Веб ) — общее название семейства программного антивирусного ПО для различных платформ (Windows, OS X, Linux, мобильные платформы) и линейки программно-аппаратных решений (Dr.Web Office Shield), а также решений для обеспечения безопасности всех узлов корпоративной сети (Dr.Web Enterprise Suite). Разрабатывается компанией «Доктор Веб».

Продукты предоставляют защиту от вирусов, троянского, шпионского и рекламного ПО, червей, руткитов, хакерских утилит, программ-шуток, а также неизвестных угроз с помощью различных технологий реального времени и превентивной защиты.

ESET NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года. Название изначально расшифровывалось как «Nemocnica na Okraji Disku» («Больница на краю диска», перефраз названия популярного тогда в Чехословакии телесериала «Больница на окраине города»).

NOD32 — это комплексное антивирусное решение для защиты в реальном времени. ESET NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, фишинг-атаки. В ESET NOD32 используется патентованная технология ThreatSense, предназначенная для выявления новых возникающих угроз в реальном времени путём анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.

Microsoft Security Essentials (MSE) — бесплатный пакет антивирусных приложений от компании Microsoft, предназначенный обеспечивать борьбу с различными вирусами, шпионскими программами, руткитами и троянскими программами. Данное программное обеспечение работает только на компьютерах, где установлена копия Windows Vista,Windows 7), прошедшая валидацию. Антивирус Microsoft Security Essentials пришёл на замену Windows Live OneCare (коммерческая антивирусная программа от Microsoft)/

Ложные антивирусы или как его еще называют - лже-антивирусы, сегодня являются одним из активно набирающих популярность способов интернет-мошенничества. Суть его заключается в том, чтобы заставить пользователя заплатить деньги за программу, которая якобы удалит с компьютера очень опасные вирусы и защитит в дальнейшем ПК пользователя от различных угроз. И все бы ничего, если бы программа, которую предлагалось купить не была бы "пустышкой". На западе такой вид программного обеспечения называют Rogue Anti-Virus (или rogueware) - ложное ПО.

Ложный антивирус - это программа, которая маскируется под настоящий антивирус. При этом, заплатив за нее деньги, пользователь в лучшем случае получает абсолютно бесполезную утилиту, в худшем - самый настоящий настоящий вирус или троян, который крадет у него данные кредитных карт и прочую конфиденциальную информацию. Устанавливая лже-антирус на ПК, вы по сути добровольно заражаете свой компьютер.

Типичные представители ложных антивирусов известны под именами: Online Antivirus XP-Vista 2009, XP Antivirus 2009, Vista Antivirus 2008, Doctor Antivirus, Virus Remover 2009, Personal Antivirus, Malware Doctor и другими.

Баранова Александра

Руководитель проекта:

Авдейчева Татьяна Владимировна

Учреждение:

ГБОУ "СОШ №2" п.г.т. Усть-Кинельский

В представленном исследовательском проекте по информатике "Методы борьбы с компьютерным вирусом" автор изучает причины возникновения компьютерных вирусов и их классификацию. Проводится исследование того, что такое компьютерный вирус, откуда он берется и как с ним бороться?

В процессе работы над исследовательским проектом по информатике "Методы борьбы с компьютерным вирусом" автором была поставлена цель выяснить пути проникновения и влияния вирусов на работу компьютера и найти методы защиты от них.

В предложенном проекте по информатике "Методы борьбы с компьютерным вирусом" автор акцентирует внимание на том, что каждый компьютер подвергается угрозе поражения вирусом и развитие антивирусных программ необходимо и перспективно.

Введение
1. Компьютерная вирусология.
1.1. Что такое компьютерный вирус.
1.2. Обнаружение вирусов и меры по защите и профилактике.
2. Основные меры защиты от вирусов.
2.1.Сканирование.
2.2 Выявление изменений.
2.3 Эвристический анализ.
2.4 Верификация.
2.5 Меры профилактики.
2.6 Как правильно лечить?
2.7 Анитивирусные программы.
3. Практическое исследование компьютерного вируса
3.1 Тестирование.
3.2 Как определить вирус на информационном носителе.
Заключение
Список литературы

Введение

Невозможно представить сегодняшнюю жизнь без компьютеров. Компьютеры используются везде - в быту, практически в каждой семье имеется персональные компьютеры, на производстве, транспорте, различных технологических устройствах и т.д.

Однако массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов , препятствующих нормальной работе компьютеров, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. Это и послужило стимулом для выбора темы моей работы.

Именно об этом я рассказываю в своей работе. Я показываю основные виды вирусов, рассматриваю схемы их функционирования, причины их появления и пути проникновения в компьютер, а также предлагаю меры по защите и профилактике.

Цель моей работы выяснить пути проникновения и влияния вирусов на работу компьютера и найти методы защиты от них.

Задачи , которые я поставила перед собой при написании своей работы:

познакомиться с основами компьютерной вирусологии, провести тестирование с целью выявления самой распространенной антивирусной программы, как распознавался вирус при заражении, как происходило заражение, наиболее эффективные профилактические меры по борьбе с компьютерным вирусом для применения на практике.

Для борьбы с вирусами существуют программы, которые можно классифицировать по основным группам: мониторы, детекторы, доктора, ревизоры и вакцины.

Программы-мониторы (иначе называемые программы-фильтры) располагаются резидентно в оперативной памяти компьютера, перехватывают и сообщают пользователю об обращениях операционной системы, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относят возможность обнаружения неизвестных вирусов. Это актуально при наличии самомодифицирующихся вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера.

Недостатками программ являются:

а) невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS;

б) частая выдача запросов на выполнение операции.

Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При её обнаружении выводится соответствующее сообщение. Однако если программа не опознаётся детекторами как заражённая, то возможно в ней находится новый вирус или модифицированная версия старого, неизвестного программе-детектору.

Программы-доктора восстанавливают заражённые программы путём удаления из них тела вирусов. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояния загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

Программы-вакцины модифицируют программы и диски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже заражёнными.

Существующие антивирусные программы в основном относятся к классу гибридных программ (детекторы-доктора, доктора-ревизоры и др.)

При заражении или при подозрении на заражение компьютера вирусом необходимо:

1. Оценить ситуацию и не предпринимать действий, приводящих к потере информации. Если вы не обладаете достаточными знаниями и опытом, лучше обратиться к специалистам.

2. Перезагрузить ОС компьютера. При этом использовать специальную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жёсткого диска компьютера.

3. Запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.

К антивирусным программам, получившим распространение в России, странах СНГ и за рубежом, относят программы фирм Symantec (Norton Anti-virus), Network Associates (Doctor Solomon) и отечественных фирм – Лабо-ратории Касперского (AntiViral Toolkit Pro) и ДиалогНаука (ADinf, Dr.Web).

Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер , резидентный сторож AVP Монитор, программу администрирования установленных компонент AVP Центр Управления и ряда других.

AVP Сканер , помимо традиционной проверки выполняемых файлов и фай-лов документов, обрабатывает базы данных электронной почты форматов MS Outlook, Exchange и текстовых почтовых форматов Netscape Navigator, SMTP/POP3 server и др. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищённых паролями). Обна-руживает и удаляет макровирусы, полиморфные, стелс, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счёт использования эвристи-ческих анализаторов. Такие анализаторы моделируют работу процессора и вы-полняют анализ действий диагностируемого файла. В зависимости от этих Дей-ствий и принимается решение о наличии вируса.

AVP Монитор – контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.

AVP Центр Управления – сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.

Классификация компьютерных вирусов

Лекция 10. Компьютерные вирусы и механизмы борьбы с ними

Контрольные вопросы

1. Дайте определение несанкционированного доступа к информации.

2. Сравните два подхода к организации разграничения доступа.

3. Поясните принцип действия и концепцию создания системы разграничения доступа.

4. Приведите примеры современных систем защиты ПЭВМ и их возможности.

5. Поясните сущность защиты информации от копирования.

6. Какие методы применяются для защиты программных средств от исследования?

10.1. Классификация компьютерных вирусов

10.2. Методы и средства борьбы с вирусами

10.3 Профилактика заражения вирусами компьютерных систем

Литература:

1. Завгородний В.И. комплексная защита информации в компьютерных системах: Учебное пособие. – Логос, 201. – С.159-179.

Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность для информации в КС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возможностей КС и чрезмерное преувеличение опасности вирусов. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к мини-

муму вероятность заражения и потерь от их воздействия.

Термин "компьютерный вирус" был введен сравнительно недавно - в середине 80-х годов. Малые размеры, способность быстро распространяться, размножаясь и внедряясь в объекты (заражая их), негативное воздействие на систему - все эти признаки биологических вирусов присущи и вредительским программам, получившим по этой причине название "компьютерные вирусы". Вместе с термином "вирус" при работе с компьютерными вирусами используются и другие медицинские термины: "заражение", "среда обитания", "профилактика" и др.

"Компьютерные вирусы" - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.

В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам :

По среде обитания;

По способу заражения;

По степени опасности деструктивных (вредительских) воздействий;

По алгоритму функционирования.

Посреде обитания

Сетевые;

Файловые;

Загрузочные;

Комбинированные.

Средой обитаниясетевых вирусов являются элементы компьютерных сетей.Файловые вирусы размещаются в исполняемых файлах.Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми.Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.

Поспособу заражения среды обитания компьютерные вирусы делятся на:

Резидентные;

Нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. В отличие от резидентныхнерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.

Арсенал деструктивных или вредительских возможностей компьютерных вирусов весьма обширен. Деструктивные возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.

Постепени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:

- безвредные вирусы;

- опасные вирусы;

- очень опасные вирусы.

Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности программиста. Другими словами, создание компьютерных вирусов для таких людей - своеобразная попытка самоутверждения. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т.п.

Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы мо­гут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.

К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.

Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.п.

Известны публикации, в которых упоминаются вирусы, вызывающие неисправности аппаратных средств. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например, в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и, может быть, создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.

Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.

Возможны также воздействия на психику человека - оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека. В 1997 году 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению. Предполагают, что именно таким образом была опробована возможность воздействия на человека с помощью встраивания 25-го кадра .

В соответствии сособенностями алгоритма функционирования вирусы можно разделить на два класса:

Вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

Вирусы, изменяющие среду обитания при распространении.

В свою очередь, вирусы,не изменяющие среду обитания, могут быть разделены на две группы:

- вирусы - "спутники" (companion);

- вирусы - "черви" (worm).

Вирусы - "спутники" не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS DOS такие вирусы создают копии для файлов, имеющих расширение.ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на.СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением.ЕХЕ.

Вирусы - "черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы,изменяющие среду обитания, делятся на:

- студенческие;

- "стелс" - вирусы (вирусы-невидимки);

- полиморфные.

К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.

"Стелс" - вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

"Стелс" - вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. "Стелс"- вирусы обладают способностью противодействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока:

Блок заражения (распространения),

Блок маскирования и

Блок выполнения деструктивных действий.

Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются, либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.

1. Файловые вирусы

Структура файлового вируса. Файловые вирусы могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды. Макрокоманды или макросы представляют собой исполняемые программы для автоматизации работы с документами (таблицами). Поэтому такие документы (таблицы) можно рассматривать как исполняемый файл.

Для IBM - совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макро вирусы могут внедрятся и в другие файлы, содержащие макрокоманды.

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла (рис.10.1).