Реферат Вирусы 6
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
от 25%
Подписываем
договор
Федеральная таможенная служба Российской Федерации
Государственное образовательное учреждение
Высшего профессионального образования
«Российская таможенная Академия»
Владивостокский филиал
_________________________________________________________________________________________Кафедра информатики и информационных таможенных технологии
Выполнила:
Студентка 311 группы
Лисичникова М.М.
Проверил:
Чеботарёва О.Л.
Владивосток,2010
Содержание
1. Введение
2. Что такое компьютерный вирус?
3. Зарождение компьютерных вирусов
4. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
5. Признаки появления вирусов
6. Как работает вирус?
7. Свойства вирусов
8. Классификация вирусов
9. Виды вирусов:
Ø Вирусы – программы (W32)
Ø Загрузочные вирусы
Ø Файловые вирусы
Ø Полиморфные вирусы
Ø Стелс – вирусы
Ø Макровирусы
Ø Скрипт – вирусы
Ø «Троянские программы», программные закладки и сетевые черви:
ü Классы троянских программ
ü Сетевые черви
ü Прочие вредоносные программы
10. Что делать при наличии признаков заражения
11.Антивирусные программы
Ø Антивирус Касперского (KAV)
Ø Dr. Web
Ø Norton Antivirus
12.Заключение
13.Список используемой литературы
Введение
| От малых причин бывают весьма важные последствия. |
Козьма Прутков
С прогрессом информационных технологий появляются всё новые и новые проблемы в плане защиты компьютерных систем. Одной из таких проблем являются вирусы. Довольно сложно представить себе, что неживая вычислительная техника может болеть также как и человек. Но это реально и чем совершеннее становятся технические средства, тем хитрее становятся и вирусы. Они являются болезнью, которую очень легко подхватить, но не так-то легко уничтожить. Вирусы портят жизнь компьютера и нашу жизнь, стирая самые нужные файлы; отсылают личные данные пользователя в Интернет без чьего-либо ведома; переворачивают всё содержимое ПК с ног на голову; маскируются под другими программами; создают новые файлы; хозяйничают во всех системах. Порой они уничтожают такие маленькие, но необходимые файлы, от которых «летит» вся операционная система. Вирусы не дают скачивать ссылки или вообще не пускают в Интернет; они тормозят работу процессора, выводят из строя акустическую или видеосистему; занимают лишнее место на диске и делают много чего другого. Самые современные системы антивирусной защиты не дают стопроцентной гарантии на то, что какой-либо умный вирус не залезет в компьютер. Многие вирусы при вылечивании и удалении забирают с собой и поражённый файл, и тогда приходится всё менять заново. Необходимо бороться с вирусами всеми возможными методами, особенно закрыть теневой рынок контрафактной продукции программного обеспечения, потому что в основном оттуда эта гадость и появляется.
Конечно, пользователь не может защитить себя от вирусов полностью, но он может выполнять некоторые правила безопасности для своего ПК и тогда всё будет хорошо.
Что такое компьютерный вирус?
На горе лежит дискета,
У неё запорчен бут.
Через дырочку в конверте
Её вирусы грызут
(Народный фольклор)
Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в «полной изоляции». Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.
История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причем, не смотря на всю мощь современных антивирусных программ, лидерами являются именно вирусы. Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиально новые идеи. Все остальные - «вариации на тему». Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию. Последнее можно оспорить. Например, в 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Или эпидемия известного вируса Dir-II, разразившаяся в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств.
Или всплеск компьютерных вирусов в Великобритании : Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.
Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.
Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.
Зарождение компьютерных вирусов
Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.
Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, которые стали известны в 1940-х годах. В 1951 г. этот знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г. журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый Ф.Ж. Шталь реализовал модель на практике с помощью машинного кода на IBM 650.
Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.
В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.
На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях.
Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Для иллюстрации процесса заражения компьютерной программы вирусом имеет смысл уподобить дисковую память старомодному архиву с папками на тесьме. В папках расположены программы, а последовательность операций по внедрению вируса будет в этом случае выглядеть следующим образом.
Признаки появления вирусов
Есть ряд признаков, свидетельствующих о заражении компьютера:
ü вывод на экран непредусмотренных сообщений или изображений;
ü подача непредусмотренных звуковых сигналов;
ü неожиданное открытие и закрытие лотка CD-ROM-устройства;
ü произвольный, без вашего участия, запуск на компьютере каких-либо программ;
ü при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя вы это никак не инициировали.
Если вы замечаете, что с компьютером происходит подобное то, с большой степенью вероятности, можно предположить, что ваш компьютер поражен вирусом.
Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:
ü друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
ü в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
ü частые зависания и сбои в работе компьютера;
ü медленная работа компьютера при запуске программ;
ü невозможность загрузки операционной системы;
ü исчезновение файлов и каталогов или искажение их содержимого;
ü частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
ü интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой. В случае отсутствия таковой, можно скачать и установить пробную версию Антивируса Касперского Personal или Drweb`а, которая будет полностью работоспособна две недели с момента установки.
Как работает вирус?
Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.
Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.
Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:
Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.
Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один - т.н. сектор начальной загрузки (boot-sector).
В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.
Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
ÿ выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)
ÿ копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
ÿ замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
ÿ организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
появляется новое звено:
ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА
Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки boot-секторе загрузочного диска.
Свойства вирусов.
Вирус – едва ли не главный враг компьютера. Крохотные зловредные программки могут в одночасье испортить плоды вашего многомесячного труда, уничтожить текстовые файлы и электронные таблицы, а то и вообще испортить файловую систему на жёстком диске…
К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.
Прежде всего, вирус - это программа. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно.
Ведут себя компьютерные вирусы точно так же, как вирусы живые: они прячут свой код в теле «здоровой» программы и при каждом её запуске активируются и начинают бурно «размножаться», бесконтрольно распространяясь по всему компьютеру.
Это – одна сторона деятельности вируса. Не самая страшная, кстати. Если бы вирус просто размножался, не мешая работе программ, то с ним, наверное, не стоило бы и связываться. Тем более, что значительное число существующих вирусов принадлежит именно к этой, относительно безвредной категории.
Но, помимо размножения, у вируса есть ещё и другое «хобби» - разрушать и пакостить. Степень «пакостности» вируса может быть разная – одни ограничиваются тем, что выводят на экран навязчивую картинку, мешающую вашей работе, другие, особо не раздумывая, полностью уничтожают данные на жёстком диске.
К счастью, такие «жестокие» вирусы встречаются нечасто. Во всяком случае, лично я столкнулся с такой заразой только однажды. Но, может быть, мне просто повезло?
В любом случае, реальный вред от вирусов сегодня куда больше, чем, скажем, от нашумевшей на весь мир «ошибки 2000 года». Жаль только, что в отличие от этого «мыльного пузыря» вирусы не испытывают желания враз покинуть наш грешный мир с приходом нового тысячелетия. И нет надежды справиться с ними окончательно в какие-то обозримые сроки – ибо таланту авторов антивирусных программ противостоит извращённая фантазия компьютерных графоманов.
Ведь написать вирус – задача не сильно сложная. Студенческих мозгов и умения, во всяком случае, на это хватает. А если ещё и студент талантливый попадётся – будет созданная им «зараза» гулять по миру в течение долгих лет.
Вообще-то век вируса недолог. Антивирусные программы, в отличие от него, бедолаги, умнеют не по дням, а по часам. И вирус, ещё вчера казавшийся неуловимым, сегодня моментально удаляется и обезвреживается. Потому и трудно найти сегодня вирусы, чей возраст превышает год-два – остальные уже давно сохранились лишь в коллекциях.
Сегодня науке известно около 100 тысяч компьютерных вирусов – маленьких вредоносных программок, следующих в своей жизни только трём заповедям – Плодиться, Прятаться и Портить.
Как и обычные вирусы, вирусы компьютерные – паразиты, для размножения им нужен «носитель»-хозяин, здоровая программа или документ, в тело которой они прячут участки своего программного кода. Сам вирус невелик – его размер редко измеряется килобайтами. Однако натворить эта «кроха» может немало. В тот момент, когда вы, ничего не подозревая, запускаете на своём компьютере заражённую программу или открываете документ, вирус активизируется и заставляет компьютер следовать не вашим, а его, вируса, инструкциям. И – прости прощай, ваша любимая информация! Быть ей удалённой, причём чаще всего – безвозвратно. Мало того, современные вирусы исхитряются портить не только программы, но и «железо». Например, вчистую уничтожают содержимое BIOS материнской платы или калечат жёсткий диск.
А стоит за всем этим… простое человеческое тщеславие, глупость и инстинктивная тяга к разрушению. Мы умиляемся, видя сосредоточенно изничтожающего песчаный замок или старый журнал ребёнка, - а позднее такие вот подросшие, но так и не выросшие дети калечат наши компьютеры.
…А началась эта история ни много ни мало – лет тридцать назад. Именно тогда, в конце 60-х, когда о «персоналках» можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. В отличие от программ нормальных, послушно ходивших «по струнке» и выполнявших все распоряжения человека, эти гуляли сами по себе. Занимались в недрах компьютера какими-то понятными только им делами, по ходу дела сильно замедляя работу компьютера. Хорошо хоть, что ничего при этом не портили и не размножались.
Однако продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и даже получившие свои собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading
Animal, а на компьютерах из славного семейства IBM-360/370 поселился вирус Christmas
tree.
К 1980-м годам число активных вирусов измерялось уже сотнями. А появление и распространение персональных компьютеров породило настоящую эпидемию – счёт вирусов пошёл на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 году: впервые его использовал в своём докладе на конференции по информационной безопасности сотрудник Лехайского Университета США Ф. Коэн.
Первые «персоналочные» вирусы были существами простыми и неприхотливыми – особо от пользователей не скрывались, «скрашивали» своё разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными «шутками»: «Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!». Выявить такие вирусы было нетрудно: они «приклеивались» к исполняемым (*.com или *.exe) файлам, изменяя их оригинальные размеры, - чем и пользовались первые антивирусы, успешно выявлявшие нахалов.
Позднее вирусы стали хитрее – они научились маскироваться, запрятывая свой программный код в таких потаённых уголках, до которых, как им казалось, ни один антивирус добраться не мог. Поначалу – действительно, не добирались. Потому и назывались такие вирусы «невидимками» (stealth).
Казалось, фантазия вирусописателей наконец-то истощилась. И когда против stealth-вирусов было наконец-то найдено «противоядие», компьютерный народ вздохнул с облегчением. А всё ещё только начиналось…
Классификация вирусов.
Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам :
* по среде обитания вируса
* по способу заражения среды обитания
* по деструктивным возможностям
* по особенностям алгоритма вируса.
Более подробную классификацию внутри этих групп можно представить примерно так :
| | ù | сетевые | распространяются по компьютерной сети |
| Среда обитания: | ø | файловые | внедряются в выполняемые файлы |
| | ÷ | загрузочные | внедряются в загрузочный сектор диска (Boot-сектор) |
| | | | |
| Способы | ø | резидентные | находятся в памяти, активны до выключения компьютера |
| заражения: | ø | нерезидентные | не заражают память, являются активными ограниченное время |
| | | | |
| | ù | безвредные | практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения |
| Деструктивные | ø | неопасные | уменьшают свободную память, создают звуковые, графические и прочие эффекты |
| возможности: | ø | опасные | могут привести к серьезным сбоям в работе |
| | ÷ | очень опасные | могут привести к потере программ или системных данных |
| | | | |
| | ù | вирусы-«спутники» | вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением ,СОМ |
| | ù | вирусы-«черви» | распространяются по сети, рассылают свои копии, вычисляя сетевые адреса |
| Особенности | ø | «паразитические» | изменяют содержимое дисковых секторов или файлов |
| алгоритма | ø | «студенческие» | примитив, содержат большое количество ошибок |
| вируса: | ø | «стелс»-вирусы (невидимки) | перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки |
| | ÷ | вирусы-призраки | не имеют ни одного постоянного участка кода, труднообнаружи- ваемы, основное тело вируса зашифровано |
| | ÷ | макровирусы | пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot |
Виды вирусов
Вирусы-программы (
W
32)
Со временем вирусы, прятавшие свой код в теле других программ, сдали свои позиции. Во многом это произошло из-за того, что размеры самих вирусов стали больше – а спрятать код размером в сотни килобайт не так-то просто. Да и сами программы и операционные системы резко поумнели, научившись проверять целостность собственных файлов.
В итоге произошло то, что и должно было случиться – «исполняемые» вирусы перестали маскироваться, представ перед публикой в «чистом» виде. Вирус превратился в абсолютно отдельную, независимую программу, не нуждающуюся в «хозяине-переносчике». Однако сразу же перед вирусописателями встал другой вопрос – а как заставить пользователей скачать и запустить у себя на машине этот самый вирус?
«Программные» вирусы, написанные для операционной системы Windows, решили эту проблему, маскируясь под разные «полезные» утилиты – например, под «ломалки» для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный приём распространителей заразы – наряжать свои детища в «одежду» обновлений для операционной системы или даже… антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложений в электронные письма якобы от Microsoft или «Лаборатории Касперского» - а ведь это самый верный путь поселить на свой компьютер вирус!
Большинство вирусов люди запускают на своём компьютере самостоятельно! – увы, несмотря на все усилия борцов с вирусами, некие стереотипы человеческой психологии оказываются непреодолимыми…
В 1995-1999 гг. на просторах Интернета весело развивалась добрая сотня «Windows-совместимых» вирусов. Эти милые зверушки, понятно, развились не просто так… Только за период лета 1998 – лета 1999 г. Мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности вируса Win
95.
CIH, поражающего BIOS системной платы, из строя были выведены около миллиона компьютеров во всех странах мира.
Сообщение об ошибке – результат работы вируса Blaster |
А совсем недавно, в середине 2003г., Сеть оказалась поражена новым «червем» SoBig, распространявшимся в виде вложения в электронные письма. Несмотря на то, что о вредоносных «вложениях» уже давно трубила вся пресса, люди запускали файл-вирус без малейших опасений. И вот результат: по данным аналитиков, в начале 2003 г. каждое 17-е письмо содержало в себе начинку в виде SoBig
!
Впрочем, некоторые вирусы способны атаковать ваш компьютер даже в том случае, если его «тело» физически находится в другом месте. Например, один из самых «модных» вирусов 2003 г. – Blaster
– был способен атаковать все компьютеры в локальной сети с одной-единственной машины! Сканируя локальную сеть, программа обнаруживала бреши в защите каждого компьютера, и самостоятельно пропихивала в эту «дырочку» вредоносный код.
Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно – главным условием вашей безопасности является обязательная и регулярная загрузка обновлений к Windows. А именно – файлов-«заплаток», предназначенных для закрытия уже обнаруженных «дыр» в системе защите операционной системы.
Для получения новых «заплаток» вам необходимо навестить центр обновления Windows – сайт Windows Update (http://windowsupdate.microsoft.com). При этом совершенно не обязательно набирать этот адрес в строке браузера вручную – достаточно зайти в меню Сервис программы Internet Explorer и выбрать пункт Windows Update.
На открывшейся страничке вы увидите полный список обновлений, доступных для загрузки. Учтите – все обновления из раздела «Критические обновления» необходимо устанавливать в обязательном порядке!
Посещайте сайт Windows Update не реже раза в месяц, регулярно обновляйте базы данных вашего антивирусного пакета – и можете считать, что от львиной доли неприятностей вы застрахованы…
Загрузочные вирусы
Активизируются и распространяются в момент загрузки операционной системы, еще до того как пользователь успел запустить какую-либо антивирусную программу. Загрузка компьютера обычно производится с жесткого диска - винчестера, а в аварийных случаях - с системной дискеты. Порядок загрузки зависит от выбора, сделанного в программе BIOS Setup. Пользователь может указать, что компьютер должен загружаться либо только с жесткого диска, либо с дискеты с устройства А, а если такой дискеты нет, то с жесткого диска. Возможны и другие варианты, зависящие от конкретной реализации BIOS (например, загрузка с компакт-диска CD-ROM).
Загрузка компьютера производится следующим образом. Сразу после включения электропитания начинает работать программа инициализации, записанная в ПЗУ базовой системы ввода/вывода BIOS. Она проверяет оперативную память и другие устройства компьютера, а затем передает управление программе начальной загрузки, которая также находится в ПЗУ BIOS. Последняя считывает в оперативную память содержимое самого первого сектора нулевой дорожки жесткого диска, в котором находится главная загрузочная запись Master Boot Record (MBR), либо содержимое самого первого сектора нулевой дорожки дискеты, вставленной в дисковод А. Этот сектор содержит загрузочную запись Boot Record (BR). При загрузке с жесткого диска в память по фиксированному адресу считывается содержимое главной загрузочной записи (MBR) - программа загрузки операционной системы с логического диска. Загрузчик просматривает таблицу разделов диска Partition Table (она находится в том же секторе диска, что и сама запись MBR), ищет раздел, отмеченный как активный и считывает в оперативную память самый первый ceктор этого раздела, сектор загрузочной записи BR. В этом секторе остается еще один загрузчик. Задачей загрузчика ВR является считывание в оперативную память стартовых модулей операционной системы и передача им управления. При загрузке с дискеты этот процесс намного проще, так как формат дискеты в точности соответствует формату логического диска. Самый первый сектор нулевой дорожки дискеты содержит загрузочную запись BR, после считывания в оперативную память ей передается управление. Причем, если дискета - несистемная, в первый сектор ее нулевой дорожки все равно записана программа, единственное назначение которой - вывод сообщения о необходимости вставить в дисковод системную дискету. И данное обстоятельство - присутствие загрузочной записи на несистемной дискете - играет важную роль при распространении загрузочных вирусов.
Таким образом, загрузка операционной системы является многоступенчатым процессом, ход которого зависит от разных обстоятельств. Важно то, что в этом процессе задействовано три программы, которые служат объектом нападения загрузочных вирусов:
- главная загрузочная запись;
- загрузочная запись на логическом диске,
- загрузочная запись на дискете.
Вирусы могут заменять некоторые или все перечисленные объекты, встраивая в них свое тело и сохраняя содержимое оригинального загрузочного сектора в каком-либо другом, более или менее подходящем для этого месте на диске. При последующем включении компьютера программа загрузки заносит в память вирусный код и передает ему управление. Загрузка операционной системы продолжается под контролем вируса, что затрудняет, а в некоторых случаях и исключает его обнаружение антивирусными программами.
Загрузочные вирусы распространяются главным образом при перезапуске (или включении) компьютера с забытой в дисководе зараженной дискетой, именно тогда (при загрузке), вирус проникает в главную загрузочную запись жесткого диска компьютера. Поэтому можно полностью перекрыть доступ к компьютеру для загрузочных вирусов, отключив в ВIOS Setup возможность загрузки с устройства. Кроме того, не следует без крайней необходимости снимать с дискет защиту от записи. Особенно это относится к дистрибутивным дискетам, с которых выполняется установка ПО, и системным дискетам.
Файловые вирусы
По способу заражения файлов вирусы делятся на:
ü перезаписывающие (overwriting);
ü паразитические (parasitic);
ü вирусы-компаньоны (companion);
ü вирусы-ссылки (link);
ü вирусы, заражающие объектные модули (OBJ);
ü вирусы, заражающие библиотеки компиляторов (LIB);
ü вирусы, заражающие исходные тексты программ.
Overwriting
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Parasitic
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.
Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
ü Внедрение вируса в начало файла
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу.
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).
ü Внедрение вируса в конец файла
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.
Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
ü Внедрение вируса в середину файла
Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.
Вторым является метод «cavity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
ü Вирусы без точки входа
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы — Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях. Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле — иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которых вирусы определяют такие адреса внутри файлов, например, поиск в файле последовательности стандартного кода заголовков процедур языков программирования (C/Pascal), дизассемблирование кода файла или замена адресов импортируемых функций.
Companion
К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Прочие способы заражения
Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART.BAT.
Некоторые вирусы записывают свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.
Link-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
Полиморфные вирусы
Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Что это такое.
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
Стелс – вирусы
В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.
Макровирусы
В эпоху «классических» вирусов любой более-менее грамотный пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд ли даже в страшном сне могло присниться, что через несколько лет смертоносной начинкой обзаведутся… текстовые документы! Впрочем, такие сообщения время от времени проскакивали ещё в конце 80-х годов. Но появились они преимущественно первого апреля, так что никакой реакции, кроме смеха, вызвать не могли.
Как оказалось, смеялись напрасно…
В 1995 г., после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100%, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 г. было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95.
А меньше чем через полгода человечество было огорошено вирусами нового, совершенно неизвестного типа и принципа действия. В отличие от всех «приличных» вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office.
Ларчик открывался просто: в текстовый редактор Microsoft Word и табличный редактор Microsoft Excel был встроен свой собственный язык программирования – Visual Basic for Applications (VBA), предназначенный для созданий специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия заражённого файла вирус активировался и заражал все документы Microsoft Office на вашем диске.
Первоначально макровирусы – а именно так называли новый класс вирусов, - вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени макровирусы перешли к своим обычным обязанностям – уничтожению информации.
К такому повороту дел борцы с вирусами явно не были готовы. И потому буквально через несколько дней вирус Concept, поражающий документы Word, распространился по всей планете. Заражённые файлы Word с лакомым содержанием (например, списками паролей к интернет-серверам) путешествовали от пользователя к пользователю через Интернет. Доверчивые хватали «наживку» не задумываясь – ведь даже самые умные из них были убеждены: через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса», этот класс вирусов стал самым многочисленным и опасным.
Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 г., когда вирус Melissa, созданный программистом Дывидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissa
ограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесённым в адресную книгу Microsoft Outlook), его появление наделало немало шума. Именно появление Melissa
заставило Microsoft срочно оснастить программы Microsoft Office защитой от запуска макросов. При открытии любого документа, содержащего встроенные макросы, умный Word и Excel обязательно спросит пользователя: а вы уверены, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку Нет – и вирусу будет поставлен надёжный заслон. Просто удивительно, что несмотря на такую простоту защиты большинство пользователей игнорирует предупреждения программы. И заражаются…
«Майка лидера» принадлежала макровирусам около пяти лет – срок, по меркам компьютерного мира, немалый. Выжить и преуспеть им помог Интернет – в течение последних лет вирусы этого типа распространились в основном по электронной почте. Источником заражения мог быть и присланный компьютерной фирмой прайс-лист, или рассказик, отосланный в виде файла-вложения незадачливым другом.
Сегодня число макровирусов снизилось в несколько раз – сегодня им принадлежит не более 15 % всего вирусного «рынка». Однако опасность заражения макровирусами по-прежнему высока – и поэтому будьте особенно осторожны, если вам часто приходится иметь дело с документами, созданными на других компьютерах. Качественный антивирус в сочетании с включённой защитой от макросов в программах Microsoft Office могут надёжно обезопасить вас от подобной напасти.
Скрипт – вирусы
На самом деле макровирусы являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных программ – скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы Microsoft Office, получили наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.).
Общая черта скрипт-вирусов – это привязка к одному из «встроенных» языков программирования. Каждый вирус привязан к конкретной «дырке» в защите одной из программ Windows и представляет собой не самостоятельную программу, а набор инструкций, которые заставляют в общем-то безобидный «движок» программы совершать не свойственные ему разрушительные действия.
Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и т.д.) не является криминалом, - большинство из них вполне мирно трудится, делая страничку более привлекательной или более удобной. Чат, гостевая книга, система голосования, счётчик – всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутствие на страничке тоже обоснованно – они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором мышки…
Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты – самые настоящие, полноценные программы. Причём многие из них запускаются и работают не где-то там, на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вирус, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны – от простой кражи пароля до форматирования жесткого диска.
Разумеется, со «скриптами-убийцами» вам придётся сталкиваться во сто крат реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.
Настройка уровня безопасности Internet Explorer
Вернёмся на минутку к настройкам Internet Explorer, - а именно в меню Сервис/ Свойства обозревателя/ Безопасность. Internet Explorer предлагает нам несколько уровней безопасности. Помимо стандартного уровня защиты (зона Интернет) мы можем усилить (зона Ограничить) или ослабить свою бдительность (зона Надёжные узлы). Нажав кнопку Другой, мы можем вручную отрегулировать защиту браузера.
Впрочем, большая часть скрипт-вирусов распространяется через электронную почту (такие вирусы чаще называют «Интернет-червями»). Пожалуй, ярчайшими представителями этого семейства являются вирусы LoveLetter и Anna Kournikova, атаки которых пришлись на сезон 2001-2002 г. Оба этих вируса использовали один и тот же приём, основанный не только на слабой защите операционной системы, но и на наивности пользователей.
Мы помним что переносчиками вирусов в большинстве случаев являются сообщения электронной почты, содержащие вложенные файлы. Помним и то, что вирус может проникнуть в компьютер либо через программы (исполняемые файлы с расширением *.exe, *.com.), либо через документы Microsoft Office. Помним и то, что со стороны картинок или звуковых файлов нам никакая неприятность грозить вроде бы не может. А потому, раскопав нежданно-негаданно в почтовом ящике письмо с прикреплённой к нему (судя по имени файла и расширению) картинкой, тут же радостно её запускаем… И обнаруживаем, под картинкой скрывался вредоносный вирусный «скрипт». Хорошо ещё, что обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.
Хитрость создателей вируса проста – файл, который показался нам картинкой, имел двойное расширение! Например, AnnaKournikova
.
jpg
.
vbs
Вот именно второе расширение и является истинным типом файла, в то время как первое является просто частью его имени. А поскольку расширение vbs Windows хорошо знакомо, она, не долго думая, прячет его от глаз пользователей, оставляя на экране лишь имя AnnaKournikova
.
jpg
И Windows поступает так со всеми зарегистрированными типами файлов: разрешение отбрасывается а о типе файла должен свидетельствовать значок. На который, увы, мы редко обращаем внимание.
Хороша ловушка, но различить её легче лёгкого: фокус с «двойным расширением» не проходит, если мы заранее активируем режим отображения типов файлов. Сделать это можно с помощью меню Свойства папки на Панели управления Windows: щёлкните по этому значку, затем откройте закладку Вид и снимите галочку со строчки Скрывать расширения для зарегистрированных типов файлов.
Запомните: в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны файлы txt, jpg, gif, tif, bmp, mp3, wma.
А вот список безусловно опасных типов файлов:
| ü asx | ü com | ü inf | ü msi |
| ü bas | ü cpl | ü ins | ü pif |
| ü bat | ü crt | ü js | ü reg |
| ü cmd | ü exe | ü msc | ü vbs |
Собственно говоря, список потенциальных «вирусоносителей» включает ещё не один десяток типов файлов. Но эти встречаются чаще других.
«Троянские программы», программные закладки и сетевые черви
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы – вносить в них разрушающие функции.
«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.
В качестве примера приведем возможные деструктивные функции, реализуемые «троянскими конями» и программными закладками:
1. Уничтожение информации. Конкретный выбор объектов и способов уничтожения зависит только от фантазии автора такой программы и возможностей ОС. Эта функция является общей для троянских коней и закладок.
2. Перехват и передача информации. В качестве примера можно привести реализацию закладки для выделения паролей, набираемых на клавиатуре.
3. Целенаправленная модификация кода программы, интересующей нарушителя. Как правило, это программы, реализующие функции безопасности и защиты.
Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.
Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь.
Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 80 миллионов компьютеров, подключенных к этой сети.
Классы троянских программ
Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Trojan-PSW — воровство паролей
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
- увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
- организация DoS-атаки (Denial of Service) на какой-либо сервер;
- привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из Интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» Интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper — инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:
| Основной код |
| Файл 1 |
| Файл 2 |
| … |
«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянский компонент инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытная инсталляция троянских программ и/или вирусов;
- защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
ArcBomb — «бомбы» в архивах
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
Сетевые черви
Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия СЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).
Email-Worm — почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI. Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook; считывает адреса из адресной базы WAB; сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты; отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
IM-Worm — черви, использующие интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенные на каком-либо веб-сервере. Данные прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
IRC-Worm — черви в IRC-каналах
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
Net-Worm — прочие сетевые черви
Существуют прочие способы заражения удаленных компьютеров, например:
копирование червя на сетевые ресурсы; проникновение червя на компьютер через уязвимости в операционных системах и приложениях; проникновение в сетевые ресурсы публичного использования; паразитирование на других вредоносных программах. Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.
Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.
Существуют сетевые черви, паразитирующие на других червях и/или троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию. Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.
P2P-Worm — черви для файлообменных сетей
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
Прочие вредоносные программы
К прочим вредоносным относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п.
DoS, DDoS — сетевые атаки
Программы данного типа реализуют атаки на удаленные сервера, посылая на них многочисленные запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service).
DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DoS-атаку на указанный сервер в сети.
Некоторые компьютерные черви содержат в себе DoS-процедуры, атакующие сайты, которые по каким-либо причинам «невзлюбил» автор червя. Так, червь Codered 20 августа 2001 организовал успешную атаку на официальный сайт президента США, а червь Mydoom.a 1 февраля 2004 года «выключил» сайт SCO, производителя дистрибутивов UNIX.
Exploit, HackTool — взломщики удаленных компьютеров
Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа «backdoor») или для внедрения во взломанную систему других вредоносных программ.
Хакерские утилиты типа «exploit» при этом используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере.
Flooder — «замусоривание» сети
Данные хакерские утилиты используются для «забивания мусором» (бесполезными сообщениями) каналов интернета — IRC-каналов, компьютерных пейджинговых сетей, электронной почты и т. д.
Constructor — конструкторы вирусов и троянских программ
Конструкторы вирусов и троянских программ — это утилиты, предназначенные для изготовления новых компьютерных вирусов и «троянцев». Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы.
Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты, наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п. Прочие конструкторы не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.
FileCryptor, PolyCryptor — скрытие от антивирусных программ
Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.
Nuker — фатальные сетевые атаки
Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.
PolyEngine — полиморфные генераторы
Полиморфные генераторы не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.
Обычно полиморфные генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию — вызов программы генератора.
VirTool
Утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.
Что делать при наличии признаков заражения?
Если вы заметили, что ваш компьютер ведет себя «подозрительно»:
1. Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.
2. Отключите компьютер от интернета.
3. Отключите компьютер от локальной сети, если он к ней был подключен.
4. Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows.
5. Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.).
6. Скачайте и установите пробную или же купите полную версию антивируса Dr.web, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ.
7. Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет-кафе или с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. Установите рекомендуемый уровень настроек антивирусной программы.
8. Запустите полную проверку компьютера.
Антивирусные программы
Полностью отсечь вирусы о вашего компьютера вряд ли удастся, разве что вы удалите из системы дисковод, перестанете работать в Интернете и будете пользоваться только легальным программным обеспечением. Но в наших условиях все эти советы – особенно последний – выглядят либо утопией, либо издевательством.
Остаётся один способ: снабдить вашу ОС надёжными сторожами – антивирусными программами, которые смогут вовремя распознать и обезвредить прокравшегося вируса.
Практически все программы, описанные далее, просты и удобны в пользовании, способны отлавливать практически все существующие на сегодня группы вирусов. Большинство антивирусов способны не просто проверять по запросу пользователя диск на наличие вирусов, но и вести незаметную проверку всех запускаемых на компьютере файлов. Наконец, все современные антивирусы снабжены механизмом автоматического обновления антивирусных баз данных через Интернет.
Получается правильный выбор – дело вкуса? Возможно, что так оно и есть. Во всяком случае, существует несколько основных точек зрения на эту проблему.
Ряд пользователей считает, что нет ничего лучше отечественных продуктов, наиболее приспособленных к нашей вирусной «атмосфере». Не стоит сбрасывать со счетов и патриотизм – анекдотично, но даже пользователи пиратских копий отечественных антивирусов свято верят в то, что вносят свой вклад в поддержку российских производителей.
Другая группа пользователей ориентируется на результаты тестов авторитетных западных изданий – и в первую очередь, на хит-парад Virus Bulletin 100% Awards (http://www.virusbtn.com). Кстати, оба отечественных антивируса неизменно присутствуют в Top10 самых надёжных антивирусных программ этого рейтинга, хотя на первых местах оказываются продукты, о которых наши пользователи и не слышали. А единственная по-настоящему популярная в России западная программа – Norton Antivirus – неизменно плетётся в хвосте списка (что не мешает ей получать множество других авторитетных премий)…
Другой независимый сайт, регулярно проводящий тестирование антивирусных программ – российский ресурс Antivirus.Ru (http://www.antivirus.ru). Возможно, авторитет этого сайта не так высок, как у его западного коллеги, однако использовать результаты тестов «для справки» не только допустимо, но и настоятельно рекомендуется.
Антивирус Касперского
(KAV)
Безусловно, самый популярный и мощный из отечественных антивирусов, да и на мировой антивирусной сцене он котируется весьма высоко. Программа «подстроена» под российскую «вирусную атмосферу» и способна дать отпор вирусам отечественного производства (когда ещё они доберутся до лабораторий западных борцов с вирусами?). Кстати, антивирусная база KAV в данный момент насчитывает около 96000 вирусов, при этом новые дополнения к программе выпускаются ежедневно.
Версия KAV Personal Pro состоит из нескольких важных модулей:
Scanner, проверяющий ваши жёсткие диски на предмет зараженности вирусами. Можно задать полный поиск, при котором Антивирус Касперского будет проверять все файлы подряд. Для большей надёжности можно включить также режим проверки архивированных файлов. Правда, такая процедура занимает чересчур много времени. Гораздо лучше выбрать более щадящий режим – Программы по формату, при котором KAV будет проверять не только не только программы, но и документы, созданные в формате Microsoft Office. Кстати, если вы хотите просканировать на наличие вирусов только определённый тип файлов, то можете воспользоваться ещё одним режимом проверки – По маске (в качестве «маски» введите типы проверяемых файлов, например, *.doc, *.xls).
| Антивирус Касперского – Центр Управления |
После обнаружения вирусов программа предлагает вам на выбор несколько вариантов: убрать вирус из файла, удалить сами заражённые файлы или переместить их в специальную папку. Можно также вообще отключить режим лечения – тогда ваш антивирус будет только сигнализировать вам об обнаруженных вирусах.
Вторая составляющая пакета – Monitor. Эта программа автоматически загружается при запуске Windows и доступна через иконку в левой части Панели задач.
Монитор автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки подаёт сигнал тревоги. Более того, в большинстве случаев Monitor просто не даёт заражённому файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, с активными ходоками по Интернету.
Инспектор – модуль, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует в работе совершенно иной метод, нежели «Сканер» и «Монитор», а именно метод контроля изменений размеров файлов. Внедряясь в файл, вирус неизбежно увеличивает его «объем» и вызывает изменение его размера – и тем самым выдаёт себя с головой.
Checker – модуль, отвечающий за проверку «на лету» сообщений электронной почты.
Script
Checker – охотник за вирусными и троянскими скриптами.
Office
Guard – аналогичный модуль для проверки каждого загружаемого документа Microsoft Office.
В версии Personal отсутствуют модули Script
Checker
иOffice
Guard, а самая простая версия Lite, рассчитанная на домашних пользователей, включает лишь базовый модуль и программу автоматического обновления.
У Антивируса Касперского масса достоинств – удобство управления, регулярность и частота выпуска обновлений, а также большое количество версий для различных операционных систем. Возможно, именно поэтому Антивирус Касперского лидирует на корпоративном рынке – большинство фирм используют для защиты своих локальных сетей именно этот продукт.
Однако назвать «Касперского» идеальным антивирусом для дома мешает его громоздкость и медлительность – KAV очень требователен к аппаратным ресурсам. К тому же цену на новые версии KAV трудно назвать низкой. Авторов программы можно понять – в условиях практически стопроцентного пиратства иначе просто не получается. И всё же…
Dr
.
Web
Лет шесть-семь назад, в эпоху DOS, Dr.Web мог с полным правом считать первым и лучшим среди российских антивирусов. Однако запоздание с переходом на Windows-версию сыграло роковую роль: популярность Dr.Web стала стремительно падать… И лишь относительно недавно, после подорожания AVP (сменившего к тому времени название на KAV), интерес к разработке Игоря Данилова вновь вырос. И оказалось, что этот «вечно второй» продукт в большинстве случаев может предложить не худший уровень защиты, чем его коллега «от Касперского».
Антивирусная база Dr.Web меньше, чем у KAV и насчитывает около 71000 записей. Однако создатели уверяют, что на результатах тестирования это не сказывается, поскольку в Dr.Web реализован принципиально иной подход, чем в его коллегах-антивирусах: в программу встроен модуль эвристического анализатора, который позволяет обезвредить не только уже известные программе, но и новые, ещё не опознанные вирусы. В любом случае, малый размер и сравнительно небольшой объём базы не мешают Dr.Web регулярно занимать призовые места в антивирусных «чемпионатах» и сравнительных тестированиях. Кроме того, скорость пополнения баз данных у обоих антивирусов примерно одинакова. А самое главное, Dr.Web работает значительно быстрее своих громоздких конкурентов, а в некоторых случаях – ещё и корректнее. Именно Dr.Web первым из отечественных антивирусов подружился с Windows XP, что и привлекло к нему внимание пользователей.
Программа Doctor Web
Как и KAV, Dr.Web устроен по модульному принципу:
ü Сканер
Dr.Web
Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы.
ü Резидентный сторож (монитор) SpIDer Guard™
Контролирует в режиме реального времени все обращения к файлам, выявляет и блокирует подозрительные действия программ
ü Резидентный почтовый фильтр SpIDer Mail™
Контролирует в режиме реального времени все почтовые сообщения, входящие по протоколу POP3 и исходящие по протоколу SMTP
ü Сканер командной строки Dr.Web®
Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы.
ü Утилита автоматического обновления
Загружает обновления вирусных баз и программных модулей, а также осуществляет процедуру регистрации и доставки лицензионного или демонстрационного ключевого файла.
ü Планировщик заданий
Позволяет планировать регулярные действия, необходимые для обеспечения антивирусной защиты, например, обновления вирусных баз, сканирование дисков компьютера, проверку файлов автозагрузки.
Dr.Web проверяет все категории файлов, которые могут быть заражены: исполняемые файлы, документы Microsoft Word, архивы всех популярных форматов (ARJ, ZIP, RAR, TAR и так далее), скрипты VBS и многие другие.
Norton
Antivirus
NAV является «самым-самым» сразу по целому ряду позиций. Самый красивый, самый логично устроенный. Обладатель самой большой
базы данных вирусов. И – увы! – самый массивный, неповоротливый и требовательный к ресурсам.
Norton Antivirus – программа на редкость «въедливая», из под её контроля не уйдёт ни один запущенный на компьютере процесс. После установки Norton Antivirus о ней можно вообще забыть – NAV сама проконтролирует всё, что нужно.
В частности, этот антивирус умеет перехватывать сообщения электронной почты на полпути к вашему почтовому ящику и обрабатывать их. Почту, уходящую от вас, программа тоже проверяет – на всякий случай. Конечно, обезвреживать почтовые вирусы умеют и другие программы, но только при открытии вложений, NAV же делает это заранее. Кроме того, NAV встраивает защитный механизм в приложения Microsoft Office, контролируя каждый открываемый на компьютере документ… Последние версии Norton Antivirus умеют обнаруживать не только вирусы, но и некоторые «троянские» модули.
Идеология программы – совать свой нос во всё подряд, не затрудняя себя экономией системных ресурсов, а пользователя – работой с настройками программы.
Все эти процессы будут протекать для пользователя невидимо, и привлекать ваше внимание программа будет лишь в момент обнаружения нового вируса или при необходимости обновить антивирусные базы через Интернет.
Увы - Norton Antivirus остаётся лидером не только по простоте работы, но и по медлительности. Этот тяжеловес занимает рекордный объём в оперативной памяти компьютера, а его встроенные «сторожа» существенно замедляют скорость работы с электронной почтой и офисными документами. Наконец, традиционно неудобен механизм обновления – дополнения к «Касперскому» выходят гораздо чаще, к тому же они существенно меньше по размерам, да и канал связи с сервером Symantec работает гораздо хуже.
Norton Antivirus 2005
Зато есть у NAV и привлекательные черты, на которые охотно клюют пользователи-новички. Программа не заставляет вас разбираться с многочисленными настройками, всё просто и удобно. Установил раз – и забыл… Кроме того, встроенные «сторожа» предоставляют вам новые возможности – так, при обнаружении заражённого письма NAV позволяет не только удалить его, но и переместить в карантин.
Наконец, «на руку» программе играет и тот факт, что Norton Antivirus распространяется в составе популярного утилитного комплекта Norton System Works. И стоимость этого комплекта вполне сопоставима с ценой отдельной программы. Кроме того, Norton Antivirus можно приобрести в составе ещё одного комплекта Symantec – Norton Internet Security Professional, в составе которого входит также одноимённый файрволл.
Заключение.
Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами: сканирование; эвристический анализ; обнаружение изменений; резидентные мониторы. Антивирусы могут реализовывать все перечисленные выше методики, либо только некоторые из них.
Защита информации каждого пользователя существенно зависит от организации сети. В одноранговой сети все компьютера равноправны и каждый «владелец» компьютера самостоятельно предоставляет его ресурсы в совместное использование в сети (сам себе администратор). При этом не предусмотрена работа множества пользователей с различной степенью доступа (пароль можно задать один) и, по существу, защиты компьютеров в многопользовательском режиме практически нет.
В сетях с выделенным компьютером - сервером реализуется технология «сервер-клиент», которая требует установки сетевой операционной системы (ОС), состоящей из двух компонентов: ОС - сервера (естественно, для установки на сервер) и ОС - рабочей станции (для установки на все остальные компьютеры в сети). Некоторые операционные системы, например, Windows NT, позволяют при установке Windows NT Workstation или более поздней версии Windows 2000 PRO, Windows XP PRO использовать компьютер в качестве сервера и одновременно работать на нем как на рабочей станции (невыделенный сервер).
Для успешной борьбы с вирусами можно воспользоваться различными программными продуктами отечественного производства, некоторые из которых признаются лучшими в мире.
Список используемой литературы
1. Денисов Т.В. "Антивирусная защита"//Мой Компьютер-№4-2008г.
2. Журнал «Мир ПК» (№13 апрель 2009)
3. Евгений Касперский «Энциклопедия Вирусов AVP»
4. В.П. Леонтьев «Новейшая энциклопедия П.К. 2008-2009»
5. http://www.kasperskylab.ru
6. http://www.kav.ru
7. http://www.viruslist.com
8. http://support.drweb.com/faq
9. http://www.antivir.ru
10. http://www.drweb.ru/com
11. http://www.diwaxx.ru/hak/testav2.html
