Учебное пособие "Компьютерная безопасность и защита информации"

Тема «Компьютерная безопасность и защита информации»

Вирусы – Антивирусы

Преподаватель: Неверова И.Ю.

Компьютерные вирусы

• В мировых электронных сетях циркулирует 55–65 тыс. вирусов, которые создают 10–12 тыс. программистов, и их число увеличивается с каждым днём, т.к. этим «искусством» овладеть несложно, однако вести борьбу с ними почти некому. Борьбой с вирусами занимается, например, в США лишь около 150 человек, поэтому лидерство ещё долго будет оставаться за вирусами.

• Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере.
• Программа, внутри которой находится вирус, называется "зараженной".
• Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память)

Общепринятая классификация различает три основных типа вирусов:

• Традиционный вирус – программа, которая попадает в компьютер, самовоспроизводит себя и вызывает различные проблемы (уничтожает файлы и др.).
• Компьютерные «Черви» - проникают в компьютер через сети, заставляя программы рассылки электронной почты рассылать вирус по имеющимся в памяти адресам.
• Вирус «Троянский конь» - проникает в систему и позволяет хакерам получать доступ к имеющейся информации, базам данных и позволяет перехватить управление компьютером.

Один из авторитетных «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:

• По среде обитания вируса: - Сетевые (распространяются по компьютерной сети ); - Файловые (внедряются в выполняемые файлы); - Загрузочные (внедряются в загрузочный сектор диска).

• По способу заражения среды обитания:

- Резидентные (находятся в памяти ПК и активны до его выключения );

- Не резидентные (являются активными ограниченное время и не заражают память ПК ).

• По особенностям алгоритма вируса:

- Вирусы – спутники (создают файлы спутники расширения .com для файлов с расширением .exe );

- Вирусы – черви (рассылают свои копии по сети, вычисляя сетевые адреса);

- Вирусы – паразитические (изменяют содержимое дисковых секторов или файлов);

- Вирусы – невидимки (перехватывают обращения дисковой операционной системы к заражённым файлам или секторам диска и подставляют вместо себя незаражённые участки);

- Вирусы – призраки(самомодифицирующиеся) (труднообнаруживаемы, т.к. основное тело вируса зашифровано, а сама вирусная программа не имеет ни одного постоянного участка кода);

- Вирусы – троянский конь (проникает в систему и позволяет хакерам получать доступ к имеющейся информации и позволяет перехватить управление компьютером);

- Макро вирусы (пишутся не в машинных кодах, а на WordBasic, живут в документах Word и переписывают себя в Normal.dot).

Методы маскировки вирусов

• Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки.
• Многие резидентные вирусы предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Примером таких программ могут послужить Adinf фирмы «Диалог-Наука», Norton AntiVirus и др.
• Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов никаких подозрительных текстовых строк пользователь не увидит.
• Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения - модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами – в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися. Имеются программы-детекторы, способные обнаруживать полиморфные вирусы, например, Dr.Web фирмы «Диалог-Наука».

Признаки проникновения вируса

При активизации зараженного вирусом файла управление сразу передается на вирус, который выполняет свои разрушительные действия, а также параллельно приписывается к другим программам и файлам. Затем технологически происходит возврат к тем действиям, которые выполнялись на компьютере. При высоком быстродействии компьютера подобное «отвлечение» от регламентированного хода работ для пользователя остается абсолютно незамеченным. Нанесенный ущерб может обнаружиться не сразу. Внешние проявления присутствия вируса в компьютере могут быть самыми различными, например:

• мерцание экрана;
• появление на экране непредусмотренного сообщения;
• непредусмотренное требование снять защиту записи с дискеты;
• изменение даты и времени создания зараженных файлов;
• зависание компьютера и невозможность преодолеть эту проблему;
• опадание букв на экране (иногда с музыкальным сопровождением);
• исчезновение некоторых программных файлов по пятницам, приходящихся на 13-е число месяца;
• необычное аварийное завершение работы;
• уничтожение информационных файлов или их частичное разрушение;
• замедление работы компьютера;
• блокирование ввода с клавиатуры;
• звучание музыки;
• поворот символов на экране;
• блокировка записи на жесткий диск;
• другие виды необычного «поведения» компьютера.

Как уберечься от вируса

Особенно опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с быстрой потерей всей хранящейся там информации. Поскольку от проникновения вируса не застрахован ни один пользователь, то можно, по крайней мере, сократить до минимума возможные последствия от присутствия в компьютере вируса. Для этого необходимо соблюдать несколько простых правил:

1) Каждую свою дискету, если она «побывала» на другом компьютере, следует обязательно проверить любой доступной антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» дискету. Особенно это касается игровых программ, т.к. большинство вирусов распространяется именно через них.

2) Аналогичные проверки необходимо устраивать для файлов, полученных через сеть.

3) Антивирусная программа очень быстро морально стареет. Поэтому рекомендуется ее периодически обновлять новой версией. Период обновления программ такого рода составляет от одной недели до одного квартала.

4) Не снимать защиту записи с дискеты в ходе повседневных работ, если это не предусмотрено технологией решения задач.

5) При обнаружении вируса не предпринимать необдуманных действий, т.к. это может привести к потере той информации, которую еще можно было бы спасти. Самое правильное в такой ситуации – это выключить компьютер, чтобы блокировать деятельность вируса. Затем загрузить компьютер с эталонной дискеты операционной системой. После этого запустить антивирусную программу, в функциях которой предусмотрено не только обнаружение инфицированных файлов, но и их лечение. Далее выполнить антивирусную программу повторно. Если все операции по удалению вируса были сделаны правильно, то результатом ее работы должно быть информирование пользователя о полном отсутствии вирусов. Но следует помнить, что программа не должна быть морально устаревшей.

В последнее время при работе в сетях, особенно при пользовании электронной почтой, участилось проникновение вирусов в компьютер пользователя посредством чтения почтовых сообщений. Поэтому здесь также следует соблюдать несколько простых правил:

1) Не открывать прикрепленные к письму файлы, кроме случая, когда есть предварительная договоренность с отправителем об их отправке.

2) Не открывать прикрепленные к письму файлы, пришедшие от антивирусных лабораторий, компании Microsoft и прочих. Компании никогда не занимаются рассылкой файлов.

3) Не открывать прикрепленные к письму файлы, если тема письма и само письмо пустые.

4) Удалять все подозрительные письма.

5) При длительном отсутствии следует прервать подписку на различные электронные рассылки.

АНТИВИРУСНЫЕ ПРОГРАММЫ

Для защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать вирус, определять его тип и уничтожать их.

Антивирусы (антивирусные программы) – это программы для быстрой проверки файлов и секторов диска на наличие вирусного кода, которая при обнаружении вируса способна уничтожить его, возвращая файлы и сектора диска в исходное состояние.

Классификация антивирусных программ

Программы - детекторы

Детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах, и при обнаружении выдают соответствующее сообщение.

Недостаток: они могут находить только те вирусы, которые известны разработчикам таких программ, из-за постоянного появления новых вирусов быстро устаревают. ) - Scan, Aidstest (фирмы McAfee Associates), AVSP, Norton Antivirus (Antivirus Software Protection ф. диалог-МГУ), MSAV (Microsoft Antivirus для MS-DOS).

Программы – доктора (фаги)

Фаги ищут вирусы в оперативной памяти и уничтожают их, а затем удаляют из файла тело программы-вируса и возвращают файлы в исходное состояние.

Среди фагов выделяют полифаги (программы – доктора), которые предназначены для уничтожения большого количества вирусов.

Недостаток: из-за постоянного появления новых вирусов быстро устаревают, и требуется регулярное обновление версий.

Doctor Web Д.Н. Лозинского), (ф. диалог-МГУ), Касперского, Panda Platinum 7.0, AntiVir (ф. Avira), Nod 32

Программы - ревизоры

Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражён вирусом, а затем периодически после загрузки операционной системы или по желанию пользователя сравнивают текущее состояние с исходным состоянием. Обнаруженные изменения выводятся на экран монитора.

При сравнении проверяются: длина файла, код циклического контроля суммы файлов, дата и время модификации файлов, атрибуты файлов.

Достоинства: Это самые надёжные средства защиты. Эти программы имеют развитые алгоритмы и могут обнаружить даже стелс – вирусы; могут очистить изменения версии проверяемой программы от изменений, внесённых вирусом.

ADinf (фирмы Диалог-Наука)

Программы – фильтры (сторожа)

Это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, характерных для вирусов, при работе компьютера.

Проверяемые действия :

• Попытки коррекции файлов с расширениями .com, .exe
• Изменение атрибутов фалов
• Прямая запись на диск по абсолютному адресу
• Запись в загрузочные сектора диска
• Загрузка резидентной программы

При попытке, какой либо программы произвести выше указанные действия, «сторож» посылает сообщение пользователю и предлагает запретить или разрешить соответствующее действие.

Достоинства : способны обнаружить вирус на самой ранней стадии его существования до размножения.

Недостатки :

• не «лечат» файлы и диски;
• их «назойливость» при выдаче предупреждений;
• возможны конфликты с другим программным обеспечением.

Vsafe (входит в состав пакета утилит MS DOS), AVG и Avast Home Edition (ф. Grisoft), Faervol

Программы – вакцины (иммунизаторы)

Это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их как заражённые и не будет в них внедряться.

Недостатки : Вакцинация возможна только от известных вирусов. Иногда другие программы не воспринимают модифицированные программы и возникают затруднения в их совместимости при работе.

Своевременное обнаружение заражённых вирусами файлов и дисков, полное уничтожение вирусов на каждом компьютере позволяют избежать распространения эпидемии на другие компьютеры!