Практическое занятие №4

Практическое занятие №4

Тема: Диагностика Антивируса Касперского

Цель работы:  изучить принципы диагностики антивирусной защиты, проверить работоспособность установленного Антивируса Касперского, получить навыки работы с резервным хранилищем и карантином

Время работы: 2 часа.

Оборудование: Компьютер с установленным программным обеспечением и подключенный к Internet

Ход работы

Задание 1. Тестовый вирус

Тестовый вирус, разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).

EICAR представляет собой небольшой 68-байтный файл. Его расширение можно варьировать в зависимости от сценария тестирования. Если добавить .com, то запуск получившегося файла eicar.com на незащищенном компьютере вызовет только показ уведомления "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Иных, свойственных вирусам проявлений он не несет. Однако если на компьютере стоит и исправно работает антивирус, EICAR будет заблокирован. Это происходит потому, что все ведущие производители антивирусных программ договорились между собой - считать EICAR вирусом и применять к нему все правила и действия, применяемые к настоящим вредоносным программам.

Для более подробного тестирования можно применять другие расширения. Например, если указать .txt, можно проверить проверяются ли текстовые файлы. Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.

Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-

TEST-FILE!$H+H*

Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор, набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).

EICAR также всегда можно загрузить с сайта Европейского института компьютерных антивирусных исследований http://www.eicar.org .

Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.

Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус, а именно:

Создаются эти файлы по следующему принципу. 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации - приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:

CURE-X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

В этом задании нужно создать тестовые вирусы EICAR, CURE-EICAR и SUSP-EICAR.

В этом задании нужно будет создать три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com. Для того, чтобы антивирус не заблокировал тестовые вирусы еще на подготовительном этапе, нужно временно отключить постоянную защиту.

Для этого вызовите контекстное меню иконки Антивируса Касперского в системной панели и выберите пункт Приостановка защиты

 В открывшемся окне Приостановка защиты оставьте предложенный по умолчанию вариант После перезапуска приложения и нажмите ОК

 После этого появится сообщение о том, что защита не работает, а иконка Антивируса Касперского обесцветится. Постоянная защита отключена

 Запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск / Программы / Стандартные / Блокнот

 В открывшемся окне наберите строку

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-

TEST-FILE!$H+H*

 Сохраните получившийся файл в папку С:\Test

Если она на диске отсутствует, создайте ее под именем eicar.com. Для этого воспользуйтесь меню Файл / Сохранить как…

 В открывшемся окне перейдите к полю Имя файла и наберите в нем "С:\Test\eicar.com"

 Вернитесь к окну Блокнота, нажав Сохранить

Модифицируйте EICAR, добавив к нему приставку "CURE-"

Сохраните получившийся файл под именем "С:\Test\cure-eicar.com", воспользовавшись командой Файл / Сохранить как…

 Аналогично создайте SUSP-EICAR, повторив пункты 9-10, но для приставки "SUSP-"

 Закройте окно текстового редактора Блокнот

В результате этих действий в папке C:\Test должно появиться три файла: eicar.com, cure-eicar.com и susp-eicar.com. Убедитесь в этом.

Откройте папку C:\Test,

 Проверьте размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне.

Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com - по 73 байта

 Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого запустите eicar.com, дважды щелкнув по нему курсором мыши

 Поскольку EICAR представляет собой приложение MS DOS, то при его запуске откроется окно сеанса MS DOS, которое сразу же после выполнения программы закроется. Для того, чтобы увидеть сообщение про то, что EICAR - это тестовый вирус, нужно запустить его через командную строку.

Воспользуйтесь системным меню Пуск / Программы/ Стандартные / Командная строка

 В открывшемся окне перейдите к каталогу Test. Для этого нужно набрать команду

cd C:\Test

и нажать клавишу Enter

 Перейдя к нужному каталогу, запустите файл eicar.com, набрав команду

eicar.com

и нажав Enter

 Ознакомьтесь с сообщением, которое вывел EICAR

 Закройте окно командной строки, набрав

exit

и нажав клавишу Enter

Задание 2. Тестирование с помощью EICAR

В этом задании нужно будет протестировать способность установленного Антивируса Касперского обнаруживать вирусы на примере базового тестового вируса EICAR. Предлагается это сделать с помощью задачи поиска вирусов, запускаемой из контекстного меню объектов.

В задании нужно будет при выключенной постоянной защите перейти к папке с тестовыми файлами , найти в ней eicar.com и проверить его на вирусы.

Антивирус Касперского должен найти вирус в eicar.com и запросить дальнейшие действия у пользователя. Поскольку EICAR неизлечим, функция лечения недоступна. Такие файлы всегда рекомендуется удалять, что и нужно будет выбрать в этом задании.

Дополнительно нужно проследить, что удаленные файлы не удаляются, а сначала перемещаются в резервное хранилище.

1. Пе рейдите к папке с тестовыми вирусами

1. Вызовите контекстное меню файла eicar.com и выберите пункт Проверить на вирусы

1. Как результат, почти одновременно должны появиться два окна

2. В нашем случае окна появляются почти одновременно потому что файл для проверки всего один. В общем случае сначала появляется окно статистики, в котором отображается ход проверки. Окно с запросом действия будет выводиться отдельно для каждого вируса по мере их обнаружения . Сначала окно статистики выполнения задачи поиска вирусов

1. Поверх него в левом углу экрана - окно с запросом действия.

Обратите внимание, что окно запроса действия разделено на две области. Вверху - информация об обнаруженном вирусе: имя вируса с гиперссылкой на его описание6Эта и подобные ссылки ведут на сайт вирусной энциклопедии Лаборатории Касперского www.viruslist.ru, где всегда можно получить самые последние сведения о вирусах, других угрозах и методах борьбы с ними и полный путь к зараженному файлу.

Ниже, в группе Действие, приводится описание заражения файла (в данном случае написано, что файл заражен вирусом EICAR и лечение его невозможно). Рядом расположены кнопки: Лечить, Удалить, Пропустить. Поскольку вылечить EICAR нельзя, то первая кнопка неактивна.

Вы можете либо пропустить, либо удалить eicar.com. Поскольку как уже говорилось ранее, все зараженные файлы удаляются не насовсем, а всего лишь перемещаются в изолированное резервное хранилище, в случае невозможности лечения рекомендуется выбирать удаление.

Нажмите Удалить

1. Обратите внимание на информационное сообщения, появившееся на несколько секунд в левом нижнем углу экрана

1. После того как Вы выбрали действие, Антивирус Касперского применит его к инфицированному файлу, в данном случае - удалит eicar.com. Это сразу же отобразится в окне статистики. Изучите представленные в нем данные и нажмите Закрыть

1. Проверьте, что удаленный файл eicar.com появился в резервном хранилище. Для этого откройте главное окно интерфейса, дважды кликните на иконке Антивируса Касперского в системной панели

1. В открывшемся окне обратите внимание на группу " Статистика " в информационной части окна.

Несмотря на то, что eicar.com был обнаружен задачей проверки по требованию, а сейчас Вы находитесь в разделе Защита, значение поля Обнаружено увеличилось на единицу. Нужно помнить, что в этом окне выводится общая статистика

1. Перейдите к разделу Сервис, а затем к подразделу Файлы данных

2. Обратите внимание на сводную информацию о резервном хранилище, расположенную в группе " Резервное хранилище ". Теперь в нем хранится один файл и следовательно размер резервного хранилище уже отличен от нуля7Несмотря на то, что размер файла eicar.com равен 68 байтам, тут приведено значение 1 КБ, поскольку в сводном отчете приводится общая информация о занимаемом резервном хранилище месте, а не сумма размеров помещенных в него файлов .

Перейдите к окну с подробной информацией о резервном хранилище, нажав на группу " Резервное хранилище "

1. Ознакомьтесь с внешним видом окна резервного хранилища. Для того, чтобы получить управление над каким-либо объектом из резервного хранилище, его нужно выделить.

Выделите строку " Заражен: вирус EICAR-Test-File "

1. Как только был выбран объект, стали активными кнопки управления им: Удалить и Восстановить. Напомним, что восстанавливать файлы из резервного хранилища настоятельно не рекомендуется.

Удалите eicar.com, нажав Удалить

1. Убедитесь, что резервное хранилище теперь пусто и закройте окно статистики, нажав Закрыть

Контрольные вопросы:

1. Что такое вирус

2. Какие виды вирусов Вы знаете?

3. Какие антивирусные программы необходимы для лечения вирусов?