Введение
1. Феномен компьютерных вирусов
2. Что такое компьютерный вирус
2.1. Объяснение для домохозяйки
2.2. Попытка дать «нормальное» определение
3. Кто и почему пишет вирусы?
4.Классификация компьютерных вирусов
5. Проявление наличия вируса в работе на ПЭВМ
6. Методы защиты от компьютерных вирусов
7. Действия при заражении вирусом
8.Использование антивируса Касперского для защиты вашего компьютера от вирусов
Заключение
Список использованных материалов:
Введение
Безопасность данных становится одной из главных проблем в мировом сообществе. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически равные шансы стать жертвами компьютерного террора.
Каждая организация, имеющая дело с какими бы то ни было ценностями, рано или поздно сталкивается с посягательством на них. Предусмотрительные начинают планировать защиту заранее, непредусмотрительные — после первого крупного “прокола”. Так или иначе, встает вопрос о том, что, как и от кого защищать.
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
Довольно неприятным моментом является также опережающая работа Российского компьютерного «андеграунда»: только за два года было выпущено более десятка электронных номеров журнала вирусописателей «Infected Voice», появилось несколько станций BBS и WWW-страниц, ориентированные на распространение вирусов и сопутствующей информации.
Целью данной работы является познакомить компьютерных пользователей с опытом профессиональной работы с компьютерными вирусами, их анализом и разработкой методов обнаружения и лечения.
1. Феномен компьютерных вирусов
Человечество захвачено техникой и уже вряд ли откажется от удобств, предоставляемых ею (мало кто пожелает поменять современный автомобиль на гужевую тягу). Уже очень многими напрочь забыта обычная почта с ее конвертами и почтальонами - вместо нее пришла электронная почта с ее ошеломляющей скоростью доставки (до нескольких минут вне зависимости от расстояния) и очень высокой надежностью. Не представляю себе существования современного общества без компьютера, способного многократно повысить производительность труда и доставить любую мыслимую информацию (что-то вроде принципа «пойди туда, не знаю куда, найди то, не знаю что»).
К основным техническим феноменам 20-го века относятся, на мой взгляд, появление человека в космосе, утилизация атомной энергии вещества, грандиозный прогресс систем связи и передачи информации и, конечно же, ошеломляющее развитие микро- и макро-компьютеров. И как скоро появляется упоминание о феномене компьютеров, так тут же возникает еще один феномен конца 20-го столетия - феномен компьютерных вирусов.
Быть может, многим покажется смешным или легкомысленным то, что факт возникновения компьютерных вирусов поставлен в один ряд с исследованиями космоса, атомного ядра и развитием электроники.
Во-первых, компьютерные вирусы - это серьезная и довольно заметная проблема, возникновения которой никто не ожидал. Даже всевидящие фантасты-футурологи прошлого не говорят об этом ничего (насколько это мне известно). В их многочисленных произведениях с той или иной точностью предсказаны практически все технические достижения настоящего (вспомним, например, Уэллса с его идеей полета из пушки на Луну и марсиан, вооруженных неким подобием лазера). Если же говорить о вычислительных машинах, то тема эта вылизана донельзя - однако нет ни одного пророчества, посвященного компьютерным вирусам. Тема вируса в произведениях писателей появилась уже после того, как первый реальный вирус поразил свой первый компьютер.
Во-вторых, компьютерные вирусы - это первая вполне удачная попытка создать жизнь. Попытка удачная, но нельзя сказать, что полезная - современные компьютерные «микроорганизмы» более всего напоминают насекомых-вредителей, приносящих только проблемы и неприятности.
Но все таки - жизнь, поскольку компьютерным вирусам присущи все атрибуты живого - способность к размножению, приспособляемости к среде, движению и т.д. (естественно, только в пределах компьютеров - так же как все вышесказанное верно для биологических вирусов в пределах клеток организма). Более того, существуют «двуполые» вирусы (см. вирус RMNS), а примером «многоклеточности» могут служить, например, макро-вирусы, состоящие из нескольких независимых макросов.
И в-третьих, тема вирусов стоит несколько особняком от всех остальных задач, решаемых при помощи компьютера (забудем о таких специфичных задачах, как взлом защиты от копирования и криптографию). Практически все проблемы, решаемые при помощи вычислительной техники, являются продолжением целенаправленной борьбы человека с окружающей его природой. Природа ставит человеку длинное нелинейное дифференциальное уравнение в трехмерном пространстве - человек набивает компьютер процессорами, памятью, обвешивает пыльными проводами и в итоге решает это уравнение (или пребывает в состоянии уверенности, что решил). Природа дает человеку кусок провода с вполне определенными характеристиками - человек придумывает алгоритмы передачи как можно большего объема информации по этому проводу, терзает его модуляциями, сжимает байты в биты и терпеливо ждет сверхпроводимости при комнатной температуре. Природа (в лице фирмы IBM) дает человеку очередное ограничение в виде очередной версии IBM PC - и человек не спит ночами, оптимизируя коды очередной базы данных, дабы уместить ее в предоставленные ему ресурсы оперативной и дисковой памяти. И так далее.
А вот борьба с компьютерными вирусами является борьбой человека с человеческим же разумом (в некотором смысле тоже проявлением природных сил, хотя на этот счет имеется более одного мнения). Эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди. Они придумывают новый вирус - а нам с ним разбираться. Затем они придумывают вирус, в котором разобраться очень тяжело - но мы с ним разбираемся. И сейчас наверняка где-то сидит за компьютером парень, страдающий над очередным монстром, в котором придется разбираться целую неделю, а потом еще одну неделю отлаживать алгоритм антивируса. Кстати, чем не эволюция живых организмов?
Итак, появление компьютерных вирусов - один из наиболее интересных моментов в истории технического прогресса 20-21 веков, и настал момент перейти к конкретным вопросам. И вопрос об определении понятия «компьютерный вирус» будет стоять на первом месте.
На горе лежит дискета У неё запорчен бут Через дырочку в конверте Её вирусы грызут (Народный фольклор)
2. Что такое компьютерный вирус
Слово "вирусы" давно и хорошо знакомо пользователям компьютеров. Оно давно переросло свое первоначальное значение и теперь часто употребляется для обозначения любых вредоносных программ, способных "размножаться", распространяясь с компьютера на компьютер и заражая подчас целые компьютерные сети - вплоть до глобальных эпидемий в интернете.
Компьютерный вирус был назван по аналогии с вирусами биологическими. По всей видимости, впервые слово вирус по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford), в фантастическом рассказе «Человек в шрамах» (The Scarred Man), опубликованом в журнале Venture в мае 1970. Термин компьютерный вирус впоследствии не раз открывался и переоткрывался — так переменная в программе PERVADE (1975), от значения которой зависело будет ли программа ANIMAL распространяться по диску, называлась VIRUS, так же вирусом назвал свои программы Джо Деллиндер, и, вероятно, - это и был первый вирус, названный "вирусом".
Объяснений, что такое компьютерный вирус, можно привести несколько. Самое простое - бытовое объяснение для домохозяйки, которая ни разу в жизни компьютера не видела, но знает, что Он есть, и что в Нем водятся Вирусы. Такое объяснение дается довольно легко, чего нельзя сказать о втором объяснении, рассчитанном на специалиста в области программ. Пока не представляется возможным дать точное определение компьютерного вируса и провести четкую грань между программами по принципу «вирус - невирус».
2.1. Объяснение для домохозяйки
Объяснение будет дано на примере клерка, работающего исключительно с бумагами. Идея такого объяснения принадлежит Д.Н.Лозинскому, одному из известнейших «докторов».
Представим себе аккуратного клерка, который приходит на работу к себе в контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает «отработанный» лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее:
«Переписать этот лист два раза и положить копии в стопку заданий соседей»
Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы.
Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а клерком - компьютер. Так же как и клерк, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как «скопируй меня в две другие программы», то компьютер так и сделает, - и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других »зараженных» программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру.
В приведенном выше примере про клерка и его контору лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут что переписывать один и тот же текст и раздавать его соседям - ведь первый клерк сделает две копии, очередные жертвы вируса - уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза.
Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет «бродить» более 1.000.000.000.000.000.000 копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине.
Как это ни смешно (хотя участникам этого инцидента было совсем не смешно), именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Поэтому «правильные» вирусы делают так:
«Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа».
Проблема решена - «перенаселения» нет, но каждая стопка содержит по копии вируса, при этом клерки еще успевают справляться и с обычной работой.
«А как же уничтожение данных?» - спросит хорошо эрудированная домохозяйка. Все очень просто - достаточно дописать на лист примерно следующее:
«1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь - если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину»
Примерно это и выполняет хорошо известный вирус «Jerusalem» (другое название - «Time»).
Кстати, на примере клерка очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (с точностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давно в корзине!
Вот такое простое объяснение работы вируса. Плюс к нему хотелось бы привести две аксиомы, которые, как это ни странно, не для всех являются очевидными:
Во-первых, вирусы не возникают сами собой - их создают очень злые и нехорошие программисты-хакеры и рассылают затем по сети передачи данных или подкидывают на компьютеры знакомых. Вирус не может сам собой появиться на Вашем компьютере - либо его подсунули на дискетах или даже на компакт-диске, либо Вы его случайно скачали из компьютерной сети передачи данных, либо вирус жил у Вас в компьютере с самого начала, либо (что самое ужасное) программист-хакер живет у Вас в доме.
Во-вторых: компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться - через клавиатуру и мышь они не передаются.
2.2. Попытка дать «нормальное» определение
Первые исследования саморазмножающихся искусственных конструкций проводились в середине 20-го столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин «компьютерный вирус» появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла, однако строгого определения, что же такое компьютерный вирус, так и не дано, несмотря на то, что попытки дать такое определение предпринимались неоднократно.
Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения).
Например, если в качестве отличительной характеристики вируса принимается скрытность, то легко привести пример вируса, не скрывающего своего распространения. Такой вирус перед заражением любого файла выводит сообщение, гласящее, что в компьютере находится вирус и этот вирус готов поразить очередной файл, затем выводит имя этого файла и запрашивает разрешение пользователя на внедрение вируса в файл.
Если в качестве отличительной черты вируса приводится возможность уничтожения им программ и данных на дисках, то в качестве контрпримера к данной отличительной черте можно привести десятки совершенно безобидных вирусов, которые кроме своего распространения ничем больше не отличаются.
Основная же особенность компьютерных вирусов - возможность их самопроизвольного внедрения в различные объекты операционной системы - присуща многим программам, которые не являются вирусами. Например, операционная система MS-DOS имеет в себе все необходимое, чтобы самопроизвольно устанавливаться на не-DOS'овские диски. Для этого достаточно на загрузочный флоппи-диск, содержащий DOS, записать файл AUTOEXEC.BAT следующего содержания:
SYS A:
COPY *.* A:\
SYS B:
COPY *.* B:\
SYS C:
COPY *.* C:\
.
Модифицированная таким образом DOS сама станет самым настоящим вирусом с точки зрения практически любого существующего определения компьютерного вируса.
Таким образом, первой из причин, не позволяющих дать точное определение вирусу, является невозможность однозначно выделить отличительные признаки, которые соответствовали бы только вирусам.
Второй же трудностью, возникающей при формулировке определения компьютерного вируса является то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционные системы, в которых наличие вируса просто невозможно. Таким примером может служить система, где запрещено создавать и изменять области выполняемого кода, т.е. запрещено изменять объекты, которые либо уже выполняются, либо могут выполняться системой при каких-либо условиях.
Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом.
ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Следует отметить, что это условие не является достаточным (т.е. окончательным), поскольку следуя вышеприведенному примеру операционная система MS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не является.
Посему тема «нормального» определения компьютерного вируса остается открытой.
Воспользуемся определением, которое часто можно найти в компьютерной литературе.
Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки операционной системы, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
3. Кто и почему пишет вирусы?
Хакерами называют тех, кто получает или пытается получить незаконный доступ к данным через компьютерные сети (сейчас обычно через интернет). Во многих странах принято законодательство, ставящее действия хакеров вне закона, и некоторые из них уже привлечены к ответственности. Тем не менее, вал компьютерных преступлений не спадает - более того, он нарастает год от года. Защиту компьютерных сетей многих крупных фирм и государственных организаций хакеры уже испытывали на прочность, и нередко им удавалось найти в ней бреши.
Так кто же пишет вирусы?
На мой взгляд, основную их массу создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Отраден тот факт, что значительная часть таких вирусов их авторами часто не распространяется, и вирусы через некоторое время «умирают» вместе с дискетами, на которых хранятся. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.
Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс неполноценности, который проявляет себя в компьютерном хулиганстве.
Из-под пера подобных «умельцев» часто выходят либо многочисленные модификации «классических» вирусов, либо вирусы крайне примитивные и с большим числом ошибок (такие вирусы называют «студенческими»).
Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.
«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными (несмотря на то что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение тинейджеров) — за исключением тех случаев, когда такие вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.
Став старше и опытнее, но так и не повзрослев, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти очень тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных. «Профессиональные» вирусы часто выполнены по технологии «стелс» и (или) являются полиморфик-вирусами, заражают не только файлы, но и загрузочные сектора дисков, а иногда и выполняемые файлы Windows и OS/2.
Довольно значительную часть занимают «семейства» - группы из нескольких (иногда более десятка) вирусов. Представителей каждой их таких групп можно выделить по одной отличительной черте, которая называется «почерком»: в нескольких различных вирусах встречаются одни и те же алгоритмы и приемы программирования. Часто все или почти все представители семейства принадлежат одному автору, и иногда довольно забавно следить за «становлением пера» подобного художника - от почти «студенческих» попыток создать хоть что-нибудь, похожее на вирус, до вполне работоспособной реализации «профессионального» вируса.
По моему мнению, причина, заставляющая таких людей направлять свои способности на такую бессмысленную работу все та же - комплекс неполноценности, иногда сочетающийся с неуравновешенной психикой. Показателен тот факт, что подобное вирусописательство часто сочетается с другими пагубными пристрастиями. Так, весной 1997 года один из наиболее известных в мире авторов вирусов по кличке Talon (Австралия) скончался в возрасте 21 года от летальной дозы героина.
Несколько отдельно стоит четвертая группа авторов вирусов - «исследователи». Эта группа состоит из довольно сообразительных программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы, конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради «исследования» потенциалов «компьютерной фауны».
Часто авторы подобных вирусов не запускают свои творения в жизнь, однако очень активно пропагандируют свои идеи через многочисленные электронные издания, посвященные созданию вирусов. При этом опасность от таких «исследовательских» вирусов не падает - попав в руки «профессионалов» из третьей группы, новые идеи очень быстро реализуются в новых вирусах.
Во-первых, все, кто пишет вирусы или способствует их распространению, являются «кормильцами» антивирусной индустрии, годовой оборот которой оценивают как минимум две сотни миллионов долларов или даже более того (при этом не стоит забывать, что убытки от вирусов составляют несколько сотен миллионов долларов ежегодно и в разы превышают расходы на антивирусные программы). Если общее количество вирусов достигнет 20.000, то нетрудно подсчитать, что доход антивирусных фирм от каждого вируса ежегодно составляет минимум 10 тысяч долларов. Конечно же, авторам вирусов не следует надеяться на материальное вознаграждение: как показывает практика, их труд был и остается бесплатным. К тому же на сегодняшний день предложение (новые вирусы) вполне удовлетворяет спрос (возможности антивирусных фирм по обработке новых вирусов).
Во-вторых, мне несколько жаль авторов вирусов, особенно «профессионалов». Ведь для того, чтобы написать подобный вирус, необходимо: a) затратить довольно много сил и времени, причем гораздо больше, чем требуется для того, чтобы разобраться в вирусе занести его в базу данных или даже написать специальный антивирус; и б) не иметь другого, более привлекательного, занятия. Следовательно, вирусописатели –«профессионалы» довольно работоспособны и одновременно с этим маются от безделья - ситуация, как мне кажется, весьма печальная.
Не следует думать, что хакеров интересует только "крупная рыба". Всё чаще они атакуют не защищенные (или слабо защищенные) от вторжения домашние компьютеры, подключенные к интернету. Атака может исходить и изнутри - от программы-шпиона, проникшей на компьютер, например, в качестве вложения в спамерское письмо.
4.Классификация компьютерных вирусов
В настоящее время не существует единой системы классификации и именования вирусов. Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Windows, Unix, Linux, Java и другие), по технологиям используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).
Вирусы можно разделить на классы по следующим основным признакам:
· среда обитания;
· операционная система (OC);
· особенности алгоритма работы;
· деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
· файловые;
· загрузочные;
· макро;
· сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
· резидентность;
· использование стелс-алгоритмов;
· самошифрование и полиморфичность;
· использование нестандартных приемов.
РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
· безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
· неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
· очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус «DenZuk» довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие «COM или EXE» не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным.
Вирусная энциклопедия на сайте Viruslist.com дает понятие следующих видов компьютерных вирусов:
Троянская программа
Синонимы: Троянец
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети).
С появлением и популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.
В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 году, с распространением интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.
Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество таких троянских программ.
«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто — сетевых игр), использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т. п.
Компьютерный вирус
Синонимы: Вирус, Классический вирус
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
· последующего запуска своего кода при каких-либо действиях пользователя;
· дальнейшего внедрения в другие ресурсы компьютера.
В отличие от сетевых червей компьютерные вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия компьютерного вируса попадает на удалённый компьютер только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
· при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
· вирус скопировал себя на съёмный носитель или заразил файлы на нем;
· пользователь отослал электронное письмо с зараженным вирусом вложением.
Некоторые компьютерные вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например backdoor-процедуру или троянскую компоненту уничтожения информации на диске.
Вредоносная программа
Синонимы: Вредоносное программное обеспечение
К вредоносному программному обеспечению относятся сетевые черви, компьютерные вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие какой-либо вред компьютеру, на котором они запускаются, или другим компьютерам в сети.
Сетевой червь
Синонимы: Компьютерный червь
К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
· проникновения на удаленные компьютеры;
· запуска своей копии на удаленном компьютере;
· дальнейшего распространения на другие компьютеры сети.
Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, интернет-пейджеры, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных сетевых червей распространяются в виде файлов: вложений в электронные письма, ссылкой на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и пр.
Некоторые сетевые черви (так называемые "беcфайловые" или "пакетные" черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.
Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.
Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или заражают выполняемые файлы на локальном диске, т. е. имеют свойства троянской программы и/или компьютерного вируса.
5. Проявление наличия вируса в работе на ПЭВМ
Непрофессионалу сложно обнаружить присутствие вирусов на компьютере, поскольку они умело маскируются среди обычных файлов. В данной главе я постарюсь наиболее подробно описать признаки заражения компьютера, а также способы восстановления данных после вирусной атаки и меры по предотвращению их поражения вредоносными программами.
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:
* некоторые программы перестают работать или начинают работать неправильно;
* на экран выводятся посторонние сообщения, символы и т.д.;
* работа на компьютере существенно замедляется;
* некоторые файлы оказываются испорченными и т.д.
К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры.
Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например формируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.
Результатом работы вируса может быть:
· относительно безвредное вмешательство в работу компьютера - например, злая шутка, когда экран гаснет и выдается сообщение, что ваш жесткий диск отформатирован;
· нанесение реального вреда - когда винчестер действительно форматируется, или стираются важные файлы;
· настоящее преступление - когда с помощью троянских программ злоумышленники крадут номера ваших кредитных карт, пароли доступа, другую конфиденциальную информацию.
Есть ряд признаков, свидетельствующих о заражении компьютера:
· вывод на экран непредусмотренных сообщений или изображений;
· подача непредусмотренных звуковых сигналов;
· неожиданное открытие и закрытие лотка CD-ROM-устройства;
· произвольный, без вашего участия, запуск на компьютере каких-либо программ;
· при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.
Если вы замечаете, что с компьютером происходит подобное, то с большой степенью вероятности можно предположить, что ваш компьютер поражен вирусом.
Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:
· друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
· в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
· частые зависания и сбои в работе компьютера;
· медленная работа компьютера при запуске программ;
· невозможность загрузки операционной системы;
· исчезновение файлов и каталогов или искажение их содержимого;
· частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
· интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой.
Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными
6.Методы защиты от компьютерных вирусов
Каким бы не был вирус, пользователю необходимо знать основные методы защиты
от компьютерных вирусов.
Для защиты от вирусов можно использовать:
* общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
* профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
* специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
* копирование информации - создание копий файлов и системных областей дисков;
* разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов.
Антивирусная программа (антивирус) — программа для обнаружения и, возможно, лечения программ, заражённых компьютерным вирусом, а также, возможно, для предотвращения заражения файла вирусом (например, с помощью вакцинации).
Первые, наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.
К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал — 100%-е детектирование) и алгоритмов лечения заражённых файлов.
Антивирусное программное обеспечение состоит из компьютерных программ которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Хорошая антивирусная программа должна:
· Обеспечивать эффективную защиту в режиме реального времени. Резидентная часть (монитор) программы должна постоянно находиться в оперативной памяти вашего компьютера и производить проверку всех файловых операций (при создании, редактировании, копировании файлов, запуске их на исполнение), сообщений электронной почты, данных и программ, получаемых из интернета.
· Позволять проверять все содержимое локальных дисков "по требованию", запуская проверку вручную или автоматически по расписанию.
· Защищать ваш компьютер даже от неизвестных вирусов: программа должна включать в себя технологии поиска неизвестных вирусов, основанные на принципах эвристического анализа.
· Уметь проверять и лечить архивированные файлы.
· Давать возможность регулярно (ежедневно!) обновлять антивирусные базы (через Интернет, с дискет или CD - как вам удобнее).
Исследование эффективности антивирусного программного обеспечения (интернет-энциклопедия вирусов «Викепедия»)
Исследовали четыре антивирусных комплекса от различных производителей (Symantec Antivirus Corporate Edition 8.1, Kaspersky Antivirus, Ukrainian National Antivirus, Dr Web).
Целью данного исследования являлось определение скорости проверки файлов на наличие вирусной инфекции (следовательно, и комфортность работы с ПК при использовании данного антивируса) и эффективность проверки файлов на вирусы.
Тестирование каждого из антивирусов проводилось в 4 этапа: 2 теста на быстродействие и 2 на качество детектирования вирусов.
Цель тестов по быстродействию заключалась в измерении скорости работы антивирусного ядра каждого из продуктов в двух режимах: настройки по умолчанию и максимальные настройки работы. Именно от скорости работы антивирусного ядра (скорости проверки одного файла) будет зависеть быстродействие каждого из модулей.
Тесты на быстродействие
DrWeb 4.31b
Настройки по умолчанию: сканер тестирует файлы "по формату", архивы, почтовые базы, упакованные файлы и SFX-архивы. Эвристический анализатор настроен на максимальный уровень проверки.
Результаты проверки:
Время
06:20
Количество проверенных объектов
6607 (включая архивы, количество архивов антивирус не выдает).
Скорость тестирования
17,39 файлов в секунду
Kaspersky AntiVirus (KAV 4.5.0.95)
Настройки по умолчанию: сканер тестирует все файлы и проверяет архивы, почтовые базы, вложенные объекты и SFX.
Результаты проверки:
Время
11:33
Количество проверенных объектов
11962 (включая 218 архивов)
Скорость тестирования
17,26 файлов в секунду
Ukrainian National Antivirus (UNA 1.83 kernel 246)
Настройки по умолчанию: сканер тестирует "расширенный набор" файлов и проверяет архивы. Эвристический анализатор отключен.
Результаты проверки:
Время
04:41
Количество проверенных объектов
5729 (включая 17 архивов)
Скорость тестирования
20,61 файлов в секунду
Symantec Antivirus Corporate Edition 8.1 (SAV)
Настройки по умолчанию: сканер тестирует все файлы и проверяет архивы вложением до 3-х.
Результаты проверки:
Время
15:07
Количество проверенных объектов
7651
Скорость тестирования
8,44 файла в секунду
Итоговая диаграмма:
Сводная таблица тестирования на быстродействие при настройках по умолчанию:
Наименование антивируса
Скорость тестирования (файлов в секунду)
Всего проверено файлов
Затраченное время, секунд
DrWeb
17,39
6607
380
KAV
17,26
11962
693
UNA
20,61
5792
281
SAV
8,44
7651
907
Второй тест - проверка каталога с максимальными настройками, но при отключенной проверке архивов. Для тестирования использовалась та же система, что и для предыдущего теста (K6 2 - 350, Windows98 SE).
Итоговая диаграмма:
Сводная таблица тестирования антивирусов на быстродействие при максимальных настройках:
Наименование антивируса
Скорость тестирования (файлов в секунду)
Всего проверено файлов
Затраченное время, секунд
DrWeb
12,00
3168
264
KAV
9,70
3201
330
UNA
5,97
3126
524
SAV
5,26
3128
595
Проверка на детектирование ITW вирусов.
Для проведения этого теста было отобрано 593 вируса (за основу брался список, приведенный на сайте WildList.com и используемый при тестировании английским журналом Virus Bulletin. Из него были вычеркнуты вирусы, которые не встречались на территории СНГ за последние 2 месяца и добавлены те вирусы/трояны, которые не фигурируют в VB-списке, но тем не менее зафиксировано их неоднократное появление у конечных пользователей на территории СНГ), которые были зафиксированы в диком виде в течение последних 2-х месяцев.
Этот тест был проведен на компьютере Pentium IV - 1800 256 Mb RAM с установленной операционной системой Windows XP SP1 RUS. При проведении данного теста основной задачей антивирусов было детектирование максимального количества вирусов, в связи с этим все сканеры были настроены на максимальный уровень проверки.
Методика проведения теста.
Тест осуществляется следующим образом: На "чистую" (настроенную систему, в которой отсутствуют антивирусные продукты) устанавливается тестируемый антивирусный продукт, антивирусные базы продукта доводятся до актуального состояния; Запускается сканер с интерфейсом GUI (если есть несколько вариантов интерфейса, запускается профессиональный вариант), и его настройки устанавливаются в состояние максимального качества детектирования (на максимум включаются все модули эвристического сканирования, подключаются все базы); В качестве объекта тестирования выбирается папка, содержащая коллекцию вирусов в виде набора инфицированных файлов, собранная для тестирования продуктов; Запускается сканирование в режиме создания отчёта с записью в log-файл (без выполнения действий над инфицированными файлами); По окончании выполнения тестирования полученный отчёт о тестировании сохраняется, и снимаются окончательные результаты работы: количество проверенных объектов, количество обнаруженных инфицированных файлов, количество обнаруженных "подозрительных" файлов. Далее система восстанавливается к состоянию до выполнения пункта 1. и начинается тестирование следующего антивирусного продукта.
Результаты тестирования приведены в сводной таблице:
Антивирус
% обнаружения
Проверено
Тел вирусов
Подозрительных файлов
DrWeb
97,65
596
582
1
KAV
100,00
593
593
UNA
100,00
593
593
SAV
94,60
593
561
Итоговая диаграмма
Таким образом, антивирусные программы DrWeb 4.31b и SYMANTEC ANTIVIRUS CORPORATE EDITION 8.1 (SAV), к сожалению, показали недостаточный уровень детектирования ITW вирусов.
Тест на развернутой коллекции вирусов
Этот тест был проведен на той же системе, что и ITW-тест (Pentium IV - 1800 256RAM ОС Windows XP). Для тестирования использовался расширенный набор вирусов. Размер коллекции составлял около 2.5 Gb и насчитывал более 30 тысяч инфицированных файлов. Как и в предыдущем тесте, главной задачей антивирусов было детектирование максимального количества инфицированных файлов.
Результаты тестирования приведены в сводной таблице:
Наименование антивируса
Обнаружено тел вирусов
Обнаружено модификаций вирусов
Обнаружено подозрительных файлов
Всего файлов проверено
DrWeb
27930
472
720
31372
KAV
30814
7
18
31262
UNA
30976
62
31206
SAV
Тест не пройден
С SYMANTEC ANTIVIRUS CORPORATE EDITION 8.1 (SAV) получилось следующее: антивирусу, как и всем остальным его конкурентам, было дано задание протестировать папку, содержащую файлы с вирусами, в режиме "только отчёт". В то время как остальным антивирусам для этого потребовалось около 30 минут (DrWeb - 30:05, KAV - 30:12, UNA - 25:14) Symantec Antivirus затратил на эту операцию 934 минуты (!), и при этом тестирование ещё не было завершено. У нас попросту закончилось терпение, и мы так и не дождались окончательных результатов. К тому моменту, как Symantec Antivirus был остановлен, он успел протестировать 29966 файлов и в них нашёл 26233 инфицированных файла.
Итоговая диаграмма:
Какой антивирус выбрать?
Вскоре после появления персональных компьютеров и начала массового распространения вирусов появилось огромное количество антивирусных программ. Качество их было самое разное, были и очень хорошие, но почему-то не получившие широкого распространения, были и просто ужасные. Выжили очень немногие. Сейчас в России используются главным образом две очень хорошие, проверенные, качественные антивирусные программы: Dr.WEB и Антивирус Касперского. Каждая из них имеет несколько разновидностей, ориентированных на разные сферы применения: для использования на домашних компьютерах, для малого и среднего бизнеса, для крупных корпоративных клиентов, для защиты локальных сетей, для почтовых, файловых серверов, серверов приложений . Обе эти программы, безусловно, отвечают всем вышеперечисленным требованиям (и умеют много чего еще). Замечены за ними обеими и некоторые недостатки, в частности, частенько конфликтуют с некоторыми запускаемыми из-под Windows MSDOS-приложениями (ну никак не получается, что ни говорите, полностью избавиться от MS-DOS программ десятилетней давности!).
Так что какой антивирус выбрать - Dr.WEB или Касперского - это скорее дело вашего вкуса (или давней привязанности).
И еще. Ни в коем случае не устанавливайте на свой компьютер сразу две (или больше) антивирусные программы разных разработчиков. В этом случае антивирусы немедленно начинают замечать друг за другом "подозрительную активность", и работа на компьютере превращается в мучение. Если хотите сменить антивирусную программу, то перед инсталляцией новой полностью деинсталлируйте старую (речь не об установке новой версии применяемой вами программы, а о переходе на иной антивирус, другого разработчика).
7.Действия при заражении вирусом
Если вы заметили, что ваш компьютер ведет себя «подозрительно»: Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний. Отключите компьютер от интернета. Отключите компьютер от локальной сети, если он к ней был подключен. Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows, который вы создавали при установке операционной системы на компьютер. Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.). Скачайте и установите пробную или же купите полную версию Антивируса Касперского Personal, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ. Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, из интернет-кафе, с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отклю читься от интернета. (Если вы используете Антивирус Касперского, вы можете получить обновления антивирусных баз на дискете или диске у «Лаборатории Касперского» или ее дистрибьюторов и обновить свои базы из этого источника). Установите рекомендуемый уровень настроек антивирусной программы. Запустите полную проверку компьютера.
8.Использование антивируса Касперского для защиты вашего компьютера от вирусов
«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама. Старейший и популярнейший российский компьютерный журнал «Мир ПК» по результатам опроса читателей назвал Антивирус Касперского лучшим продуктом 2006 года. Четырнадцатый ежегодный читательский опрос проводился в 45 номинациях, охватывающих основные виды аппаратного и программного обеспечения, представленные на рынке.
Большинство читателей издания признали Антивирус Касперского лучшим на российском рынке. Ранее различные версии Антивируса Касперского не раз становились «Антивирусным продуктом года». К примеру, с 2002 по 2004 годы он три раза подряд удостаивался этого звания.
Учитывая тот факт, что в опросе участвовали сотни и тысячи пользователей, принимавшие решение в соответствии со своим опытом использования антивирусной продукции, их оценка является наиболее объективным свидетельством того признания, которого добился Антивирус Касперского на российском и мировом рынках.
В новое тысячелетие "Лаборатория Касперского" вошла уже признанным лидером российского и одним из ведущих игроков мирового рынка антивирусного программного обеспечения.
«Лаборатория Касперского», компания «Ками-Север» и городской центр развития образования встали на защиту ярославских школ от компьютерных вирусов
Это первый шаг не только на пути внедрения в ярославские школы антивирусного программного обеспечения, но и организации дальнейшего обучения школьников вопросам обеспечения защиты своего компьютера и всей компьютерной сети в целом от проникновения вирусов.
Обучение проводилось в два этапа. На первом этапе был организован тренинг для методистов городского центра развития образования. На втором этапе сотрудники, прошедшие обучение, совместно со специалистами компании «КАМИ-Север» в течение недели обучали преподавателей информатики школ города Ярославля по материалам «Лаборатории Касперского».
Организаторы тренингов решали две задачи. С одной стороны, научить преподавателей, которые зачастую являются еще и системными администраторами в своих школах, как правильно обеспечить антивирусную защиту компьютерной сети. С другой стороны, с покупкой программного обеспечения «Лаборатория Касперского» предоставляет специально разработанный учебный курс по антивирусной безопасности для учеников старших классов школ. Методические материалы помогут учителям проводить уроки и факультативные занятия по теме антивирусной безопасности, - одной из самых актуальных на сегодня тем в сфере информационных технологий.
Возможность
Антивирус Касперского ®5.0
Антивирус Касперского®6.0
Постоянная антивирусная защита при работе с электронной почтой и в сети интернет
Антивирусная проверка выбранных объектов по запросу или расписанию
Технология потокового сканирования для увеличения скорости проверки
Защита от вирусов, троянских программ и червей
Защита от spyware и adware
Проверка и лечение архивированных файлов
Блокирование опасных макросов в документах Microsoft Office
Проактивная защита от новых и неизвестных вредоносных программ
Проверка только новых или измененных файлов при каждой последующей проверке
Приостановка антивирусного сканирования при увеличении пользовательской активности
Ежечасные автоматические обновления баз
Поддержка технологии Intel Centrino для мобильных ПК
Выбор графической оболочки пользовательского интерфейса
"Лаборатория Касперского" - самый известный в России производитель систем защиты от вирусов, спама и хакерских атак. Компания входит в десятку ведущих мировых разработчиков программного обеспечения для защиты информации от интернет-угроз.
Антивирусные программные модули "Лаборатории Касперского" обеспечивают надежную защиту всех потенциальных объектов вирусных атак - рабочих станций, файловых и веб-серверов, почтовых шлюзов, межсетевых экранов и карманных компьютеров. Удобные средства управления позволяют максимально автоматизировать антивирусную защиту компьютеров и корпоративных сетей.
Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0 – представители нового поколения персональных продуктов "Лаборатории Касперского". Kaspersky Internet Security 6.0 надежно защищает персональный компьютер от проникновения всех типов вирусов и шпионских программ благодаря ряду новых возможностей, включающих в себя проверку электронной почты и интернет-трафика «на лету», систему проактивной защиты от новых вредоносных программ, защиту от новых типов вредоносных программ - «руткит», и др.
Многие технологии, без которых трудно представить себе современный антивирус, впервые разработаны именно "Лабораторией Касперского". Не случайно программное ядро Антивируса Касперского используют в своих продуктах многие другие разработчики: Nokia ICG (США), F-Secure (Финляндия), Aladdin (Израиль), Sybari (США), G Data (Германия), Deerfield (США), Alt-N (США), Microworld (Индия), BorderWare (Канада) и т.д.
Клиенты "Лаборатории Касперского" пользуются широким спектром дополнительных услуг, гарантирующих максимально эффективную работу наших продуктов. Антивирусная База обновляется ежечасно, а база Антиспама - от 12 до 24 раз в сутки. Клиенты компании обеспечены круглосуточной технической поддержкой на нескольких языках (по телефону и электронной почте).
Во время вирусных эпидемий "Лаборатория Касперского" выпускает бесплатные утилиты для лечения зараженных файлов. Вы в любой момент можете проверить подозрительный файл на вашем компьютере самой свежей версией Антивируса Касперского.
-
Заключение
Прошли те времена, когда самым большим источником опасности для наших данных были дискеты, зараженные "классическими" вирусами.
Сегодня и работа, и отдых немыслимы без интернета, и этим активно пользуются авторы вирусов, хакеры и спамеры - часто в одном лице. Хакеры создают новые вирусы и другие вредоносные программы, чтобы незаконно проникать на наши компьютеры, подчинять их себе и затем рассылать с них спам. Угрозы информационной безопасности становятся всё более комплексными. К ним добавляются и угрозы особого вида, внутренние: утечка конфиденциальной информации, кража личности и другие.
Количество вредоносных программ, уже приближается к ста тысячам, появились десятки новых их типов и разновидностей - всё чаще смешанных, объединяющих все последние достижения "черной" компьютерной индустрии. Сама эта индустрия набирает обороты, уже начались "гангстерские войны" между кланами компьютерных преступников.
Только зарегистрированные потери от компьютерных преступлений исчисляются уже десятками миллиардов долларов, и цифры эти растут угрожающими темпами.
Профилактика лучше лечения! Вы можете купить и установить антивирусные программные продукты и вам не придется тратить время и деньги на борьбу с последствиями вирусных эпидемий или хакерских атак.
Экспертный сайт о компьютерных угрозах Viruslist.com уже несколько лет предоставляет всем пользователям интернета возможность оперативно узнавать обо всех вновь обнаруживаемых вредоносных программах в самой большой в мире Вирусной энциклопедии. Сайт подробно рассказывает о существующих киберугрозах, знакомит с новостями и раскрывает тенденции, содержит аналитическую и статистическую информацию. Вы можете подписаться на новости о вирусах и спаме, чтобы всегда быть в курсе последних новостей с компьютерного фронта.
Целью данной работы была ознакомление с опасностью, угрожающей пользователям компьютеров со стороны компьютерных вирусов, методами их обнаружения, способами защиты, проверка быстродействия сканеров антивирусов и эффективности (умения распознавать вирусы) у различных продуктов. Выводы же, какой антивирус лучше использовать, каждый из нас сделает для себя сам.
Список использованных материалов.
1. А.И.Гусева “Технология межсетевых взаимодействий” М. “Диалог – МИФИ” 1997г., - 272с.
2. К. Хант “ПК в сетях TCP/IP”
3. Галатенко В.А. Информационная безопасность. –М.: Финансы и статистика, 1997. –158 с.
4. Мафтик С.М. Механизмы защиты в сетях ЭВМ. - М.: Мир, 1993. – 256 с.
5. М. Рааб (M. Raab) Защита сетей: наконец-то в центре внимания // Компьютеруорлд Москва, 1994, № 29, стр. 18.
6. Д.Ведеев Защита данных в компьютерных сетях // Открытые системы Москва, 1995, № 3, стр. 12-18.
7. Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: проблемы и прогноз". Москва, "Мир", 1993 г.
8. Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS методы защиты от них". Москва, СП "ICE", 1990 г.
9. Игер Б. Работа в Internet / Под ред. А. Тихонова; Пер. c англ. - М.: БИНОМ, 1996. - 313 c.
10. Крол Эд. Все об Internet: Руководство и каталог / Пер. c англ. С.М. Тимачева. - Киев: BNV, 1995. 591 c.
1. http://www.avp.ru/
2. http://www2.dialognauka.ru/
3. http://ru.wikipedia.org
4. http://www.xakege.narod.ru
5. http://www.viruslist.ru