Министерство образования Республики Башкортостан ГАОУ СПО Уфимский топливно-энергетический колледж Уфа, 2014

Министерство образования Республики Башкортостан
ГАОУ СПО Уфимский топливно-энергетический колледж
Вирусы и антивирусные программы
в помощь студенту
Уфа, 2014
1
2
Компьютерный вирус – это программа, способная
создавать свои копии (саморазмножение), внедрять их в
различные объекты или ресурсы компьютерных систем, сетей и
производить определенные действия без ведома пользователя.
Признаки появления компьютерных вирусов
· неправильная работа нормально работавших программ;
· медленная работа компьютера;
· невозможность загрузки ОС;
· исчезновение файлов и каталогов;
· изменение размеров файлов;
· неожиданное увеличение количества файлов на диске;
· уменьшение размеров свободной ОП;
· вывод на экран неожиданных сообщений и изображений;
· подача непредусмотренных звуковых сигналов;
· частые зависания и сбои в работе компьютера.
Если вы замечаете, что с компьютером происходит подобное то,
с большой степенью вероятности, можно предположить, что
ваш
компьютер
поражен
вирусом.
Кроме того, есть некоторые характерные признаки поражения
вирусом через электронную почту:
1. друзья или знакомые говорят вам о сообщениях от вас,
которые вы не отправляли;
2. в вашем почтовом ящике находится большое количество
сообщений без обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются
присутствием вирусов. Иногда они могут быть следствием
других причин. Например, в случае с почтой зараженные
сообщения могут рассылаться с вашим обратным адресом, но не
с
вашего
компьютера.
Есть также косвенные признаки заражения вашего компьютера:
1. частые зависания и сбои в работе компьютера;
2. медленная работа компьютера при запуске программ;
3. невозможность загрузки операционной системы;
4. исчезновение файлов и каталогов или искажение их
содержимого;
3
5. частое обращение к жесткому диску (часто мигает
лампочка на системном блоке);
6. интернет-браузер
«зависает»
или
ведет
себя
неожиданным образом (например, окно программы
невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в
аппаратном или программном обеспечении. Несмотря на то, что
подобные симптомы с малой вероятностью свидетельствуют о
заражении, при их появлении рекомендуется провести полную
проверку вашего компьютера установленной на нем
антивирусной программой.
История компьютерной вирусологии
Естественно, что вирусы появляются не самостоятельно, а
их создают кракеры – вандалы.
В далеком 1983 году один студент по имени Фред Коэн
занимался
написанием
программы
на
занятиях
в
калифорнийском университете. Его целью было
создать
программу, которая способна была бы распространяться
паразитически по сетям. Надо сказать,
что получилось у него это достаточно
быстро. И уже 11 ноября того же года
он представил результаты своей
работы своему. В истории развития
компьютерных систем именно этот
день принято считать первым днем
появления
информационного
терроризма в новой форме. Но на
самом деле, хоть данная дата считается
официальной и утвержденной, Фред Коэн, автор первого
первый
компьютерный
вирус компьютерного вируса
появился гораздо раньше. Его
создателем был американский ученый, выходец из Венгрии,
Джон фон Нейман.
4
В 1949 году Нейман написан статью под названием
«Теория и организации сложных автоматов». В этой статье он
рассматривал возможность создания программы, которая могла
бы размножаться.
Первый сетевой вирус
Как известно, прототипом Интернета является сеть
Пентагона. Считается, что первый сетевой вирус Creeper
появился здесь. Та программа, которая там выступала в качестве
вируса, могла сама выйти в сеть и оставить на удаленной
машине свою копию. Тот вирус выполнял функции, которые
соответствуют функциям современного антивируса. Он
распространялся по сети, после чего обнаруживал вирус Creeper
и уничтожал его. Однако конкретно слова «вирус» тогда не
было. Получается. Что Фред Коэн скорее является не автором
вируса, а создателем термина. Тем не
менее, Фред Коэн считается одним из
самых авторитетных специалистов в
области безопасности компьютерных
сетей. Также он еще в 1987 году доказал,
что нельзя создать алгоритм для
стопроцентного
обнаружения
всех
возможных вирусов. Пользователям
рекомендуется только чаще обновлять
антивирусное программное обеспечение.
В наши дни созданием вирусов обычно занимаются
энтузиасты – одиночки. Ими могут быть и профессиональные
программисты, и исследователи и обычные студенты,
начинающие изучать программирование.
Несколько лет назад был зафиксирован случай, когда был
создан компьютерный вирус, автор которого был смертельно
болен. Он разработал вирус, который стал причиной гибели
людей – в одном из госпиталей Нидерландов, пациенты
получили летальную дозу морфия по той причине, что ПК был
заражен вирусом и выдавал неверную информацию.
5
Классификация вирусов
По среде обитания они делятся на сетевые, файловые,
загрузочные и файлово –загрузочные вирусы.
Сетевые вирусы распространяются по различным
компьютерным сетям.
Загрузочные вирусы внедряются в загрузочный сектор
диска (Boot – сектор) или в сектор, содержащий программу
загрузки системного диска (Master Boot Record – MBR).
Некоторые вирусы записывают свое тело в свободные сектора
диска, помечая их в FAT – таблице как “плохие” (Bad cluster).
Файловые вирусы инфицируют исполняемые файла
компьютера, имеющие расширения com и exe. К этому же
классу относятся и макровирусы, написанные помощью
макрокоманд. Они заражают неисполняемые файлы (например,
в текстовом редакторе MS Word или в электронных таблицах
MS Excel).
Загрузочно – файловые вирусы способны заражать и
загрузочные секторы и файлы.
По способу заражения – на резидентные и нерезидентные
вирусы.
Резидентные вирусы оставляют в оперативной памяти
компьютера свою резидентную часть, которая затем
перехватывает обращения неинфицированных программ к
операционной системе, и внедряются в них. Свои
деструктивные действия и заражение других файлов,
резидентные вирусы могут выполнять многократно.
Нерезидентные вирусы не заражают оперативную память
компьютера и проявляют свою активность лишь однократно
при запуске инфицированной программы.
По степени опасности – на неопасные, опасные и очень
опасные вирусы.
Действия вирусов могут быть не опасными, например, на
экране появляется сообщение: “Хочу чучу”. Если с клавиатуры
набрать слово “чуча”, то вирус временно “успокаивается”.
6
Значительно опаснее последствия действия вируса,
который уничтожает часть файлов на диске.
Очень опасные вирусы самостоятельно форматируют
жесткий диск и этим уничтожают всю имеющуюся
информацию. Примером очень опасного вируса может служить
вирус CIN (Чернобыль), активизирующийся 26 числа каждого
месяца и способный уничтожать данные на жестком диске и в
BIOS.
Еще одна существующая классификация вирусов – по их
деструктивным возможностям.
- Безвредные вирусы – оказывают незначительное влияние
на работу ПК, занимая часть системных ресурсов. Нередко
пользователи даже не подозревают об их присутствии.
- Неопасные вирусы – также занимают часть ресурсов
компьютера, но об их присутствии пользователь знает хорошо.
Обычно они проявляются в виде визуальных и звуковых
эффектов и не вредят данным пользователя.
- Опасные вирусы – программы, которые нарушают
нормальную работу пользовательских приложений или всей
системы.
- Очень опасные вирусы – программы, задача которых
заключается в уничтожении файлов, выводе из стоя программ и
ОС или рассекречивании конфиденциальных данных.
По особенностям алгоритма различают:
- Простейшие вирусы – вирусы, которые при
распространении
своих
копий
обязательно
изменяют
содержимое дисковых секторов или файлов, поэтому его
достаточно легко обнаружить.
- Вирусы-спутники (компаньоны)- вирус, который не
внедряется в сам исполняемый файл, а создает его зараженную
копию с другим расширением.
- Стелс-вирус (невидимка) – вирусы, скрывающие свое
присутствие в зараженных объектах, подставляя вместо себя
незараженные участки.
7
- Полиморфик-вирусы - самошифрование и полиморфичность
используются практически всеми типами вирусов для того,
чтобы максимально усложнить процедуру детектирования
вируса. Полиморфик - вирусы (polymorphic) - это достаточно
трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не
содержащие ни одного постоянного участка кода. В
большинстве случаев два образца одного и того же
полиморфик-вируса не будут иметь ни одного совпадения. Это
достигается шифрованием основного тела вируса и
модификациями программы-расшифровщика.
- Макровирус – вирусы, которые заражают документы
Microsoft Office.
- Троянская программа – вредоносная программа, которая
выполняет несанкционированную пользователем передачу
управления компьютером удаленному пользователю, а также
действие по удалению, модификации, сбору и пересылке
информации третьим лицам.
- Черви – это вредительские компьютерные программы,
которые способны саморазмножаться, но, в отличие от вирусов
не заражают другие файлы. Свое название черви получили
потому,
что
для
распространения
они
используют
компьютерные сети и электронную почту.
По целостности – на монолитные и распределенные
вирусы.
Программа монолитного вируса представляет собой
единый
блок,
который
можно
обнаружить
после
инфицирования.
Программа распределенного вируса разделена на части.
Эти части содержат инструкции, которые указывают
компьютеру, как собрать их воедино, чтобы воссоздать вирус.
Таким образом, вирус почти все время находится в
распределенном состоянии, и лишь на короткое время
собирается в единое целое.
8
Методы защиты информации
Существует несколько групп методов защиты
информации:
От
оборудования
программного
обеспечения
От
преднамеренной
потери
искажения
сбоев
и
 Систематическое архивирование
информации
 Резервное копирование файлов
 Профилактические меры
 Антивирусные программы
или
От
несанкционированного
доступа
 Шифрование и введение паролей
 “Электронные замки”
 Административные
и
правоохранительные меры
От
случайной
потери
или
искажения
 Автоматический
запрос
на
подтверждение выполнения команд,
изменяющих содержимое файла
 Установка
специальных
атрибутов файла (архивный, только
чтение и пр.)
 Отмена последнего действия
 Разграничение
доступа
пользователей к ресурсам файловой
системы
9
Виды антивирусных программ
Наиболее эффективны в борьбе с компьютерными
вирусами антивирусные программы. Однако сразу хотелось бы
отметить, что не существует антивирусов, гарантирующих
стопроцентную защиту от вирусов, и заявления о
существовании таких систем можно расценить как либо
недобросовестную
рекламу,
либо
непрофессионализм.
Самыми популярными и эффективными антивирусными
программами являются антивирусные сканеры (другие
названия: фаг, полифаг, программа-доктор). Следом за ними по
эффективности и популярности следуют CRC-сканеры (также:
ревизор, checksumer, integrity checker). Часто оба приведенных
метода объединяются в одну универсальную антивирусную
программу, что значительно повышает ее мощность.
Применяются также различного типа блокировщики и
иммунизаторы.
Сканеры. Используются для периодической проверки
компьютера. После запуска проверяют файлы и оперативную
память на наличие вирусов и обеспечивают их нейтрализацию.
Программы-сканеры нужно регулярно обновлять, так как они
быстро устаревают и не могут выявлять новые виды вирусов.
Следует отметить, что программы-сканеры могут обнаружить
только те вирусы, которые ей известны.
Мониторы это программы (сторожа), которые
постоянно находятся в оперативной памяти и оповещают
пользователя обо всех попытках какой-либо программы
выполнить подозрительные действия. В качестве примера такой
антивирусной программы можно назвать VSafe. Заметим, что
она не способна обезвредить даже известные вирусы. Для
"лечения"
обнаруженных
фильтром
вирусов
нужно
использовать программы-доктора.
Программы – ревизоры - это программы, которые
анализируют текущее состояние файлов и системных областей
диска и сравнивают с информацией, сохраненной ранее в одном
из файлов ревизора. При этом проверяется длина файлов, их
время создания, атрибуты, контрольные суммы.
10
Антивирусные блокировщики — это программы,
перехватывающие «вирусоопасные» ситуации на ранней стадии
до его размножения и сообщающие об этом пользователю.
Доктора - не только находят файлы, зараженные
вирусами, но и лечат их, удаляя из файла тело программывируса. Программы-доктора, которые позволяют лечить
большое число вирусов, называются полифагами.
11
Статья 23. Пункт 2.
Каждый имеет право
на тайну переписки,
телефонных
переговоров,
почтовых,
телеграфных и иных
сообщений.
Органы
государственной
власти и органы
местного
самоуправления, их
должностные лица
обязаны обеспечить
каждому
возможность
ознакомиться с
документами и
материалами,
непосредственно
затрагивающими его
права и свободы,
если иное не
Статья 24. Пункт 1.
Сбор, хранение,
использование и
распространение
информации о частной
жизни лица без
согласия не
допускаются.
Конституция Российской Федерации
«Об органах
Федеральной
службы
безопасности в
Российской
Федерации»
«Об оперативнорозыскной
деятельности в
Российской
Федерации»
«Об информации,
информатизации и
защите
информации»
Закон
Российской
Федерации
Уголовный кодекс
Российской Федерации
ПРАВОВЫЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ
Статья 2. Человек, его
права и свободы
являются высшей
ценностью.
Признание,
соблюдение и защита
прав и свобод
человека и
гражданина –
обязанность
государства.
Статья 23. Пункт 1.
Каждый имеет право
на
неприкосновенность
частной жизни,
личную и семейную
тайну, защиту своей
части и доброго
времени.
12
В заключение
Нужно четко представлять себе, что никакие аппаратные,
программные и любые другие решения не смогут гарантировать
абсолютную
надежность
и
безопасность
данных
в
информационных системах. В то же время можно существенно
уменьшить риск потерь при комплексном подходе к вопросам
безопасности.
Средства
защиты
информации
нельзя
проектировать, покупать или устанавливать до тех пор, пока
специалистами не произведен соответствующий анализ.
13
Для заметок
14