Компьютерные вирусы и борьба с ними. Сидоров В.С.

Оглавление

Введение 3

1 Характеристика и классификация компьютерных вирусов. 4

1.1 Понятие компьютерного вируса и их классификация. 4

1.2 Распространение компьютерных вирусов. Каналы и механизмы распространения. 8

2 Защита от компьютерных вирусов и борьба с ними. 10

2.1 Профилактика и лечение без использования антивирусных программ. 10

2.2 Антивирусное программное обеспечение. 16

2.3 Антивирус от Eset Software ESET NOD32 Smart Security 5. 22

Заключение 25

Список источников 26

Приложение А. Рейтинг антивирусов за 1-й квартал 2012 года. 28

Приложение Б. Рейтинг корпоративных антивирусов за 1-й квартал 2012 года. 29

Приложение Б. Рейтинг мобильных антивирусов за 1-й квартал 2012 года. 30

Введение

Без сомнения, компьютерные технологии плотно вошли в нашу повседневную жизнь. Компьютеры используются практически во всех сферах жизни человеческого общества: от школьных кабинетов информатики до компьютерных систем охраны государственной безопасности.

При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы.

Вирусные атаки на компьютеры с каждым годом набирают свои обороты. Количество создаваемых компьютерных вирусов возрастает катастрофическими темпами.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

Актуальной выбранной темы заключается в том, что вопрос о защите компьютерной среды от вирусных атак с каждым годом принимает все большее значение.

Если раньше на предприятии было достаточно ограничить доступ к сменным носителям и среде интернет, на сегодняшний день выполнение этой задачи требует больших затрат (как финансов так и времени) на организацию и поддержание системы непрерывной защиты.

Цель работы заключается в ознакомлении с основами компьютерной вирусологии и рассмотрении методов борьбы с вирусами.

В процессе написания работы были поставлены следующие задачи:

1. Определение понятия компьютерного вируса и их классификация.

2. Рассмотрение механизмов и каналов распространения компьютерных вирусов.

3. Рассмотрение способов защиты от вирусов стандартными средствами.

4. Знакомство с представленными на отечественном рынке программами-антивирусами.

5. Наиболее подробное рассмотрение одной из антивирусных программ.

При написании работы были использованы труды отечественных и зарубежных ученых, учебная литература, материалы периодических изданий, журналов и энциклопедий, а также информация из сети Интеренет.

1 Характеристика и классификация компьютерных вирусов.

1.1 Понятие компьютерного вируса и их классификация.

Для начала необходимо дать определение понятию компьютерный вирус. Нужно сразу отметить, что единое конкретное определение данного термина отсутствует, но наиболее полным и точным можно считать следующее: Компью́терный ви́рус — это разновидность вредоносных компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Основополагающим словом в данном определении является слово «Вредоносный». Сам собой возникает вопрос: «Так чем же опасны компьютерные вирусы?»

Многие пользователи считают компьютерные вирусы либо совершенно бесполезным, пустым приложением, которое ничего не делает либо программой, которая “взрывает мониторы”, выводит из строя блоки питания и снимает все деньги с баланса на текущем счёте в банке.

Чего же на самом деле следует ожидать от компьютерного вируса, а чего – нет.

Начнём с того, что вирусы сейчас точно не могут сделать - это вывести из строя какой-либо железный компонент Вашего персонального компьютера или другого зараженного устройства напрямую.

Не смотря на то, что вирусы не могут на текущий момент использовать компоненты компьютера глубже, чем операционные системы, существует отличный от нуля шанс, что однажды подобные вирусы всё-таки могут появиться. Они будут знать, как надо будет напрямую общаться с устройствами, чтобы переводить их в технологические режимы или менять что-то непосредственно в микропрограмме или настройках. Наиболее уязвимым в этом плане звеном на текущий момент является жёсткий диск, на котором установлено операционная система и хранится вся информация.

Теперь же перейдем к рассмотрению реальных угроз со стороны вирусных программ (вирусы могут):

- блокировать доступ к операционной системе или программе;

- необратимо модифицировать, удалять и шифровать данные;

- при помощи методов социальной инженерии извлекать из пользователя финансовую выгоду;

- следить за действиями пользователя: фиксировать вводимые пароли, посещаемые ресурсы, открываемые документы;

- превращать инфицированную операционную систему в участника Botnet-сети, который по команде может формировать DDos атаки, рассылать спам, производить любые другие действия, диктуемые специальным Botnet-сервером;

- сканировать записные книжки, документы, извлекая из них почтовые адреса, отправляя последние спамерам или производя собственную рассылку, вкладывая в тело письма вирус;

- нарушать работу банковских и прочих финансовых и корпоративных программ, получить из них личные данные, переправлять эти данные злоумышленникам;

- размножаться через электронную почту, локальную сеть, интернет сеть, жёсткие диски, флэш носители, любые информационные носители, через инфицированные файлы, p2p клиенты, онлайн игры, службы мгновенного обмена сообщениями (ICQ, MSN, Yahoo!), VoIP программы (Skype) и пр.;

- скачивать новые вирусы, превращая компьютер в рассадник вирусов;

- значительно замедлять работу операционной системы и программ;

- выводить из строя операционную систему, программы.

В целом же проблемы от вирусов могут быть самые разнообразные: некоторые можно устранить, некоторые – нет. Почти всех этих сложностей можно избежать, или хотя бы свести к минимуму вероятность их появления. Для этого достаточно иметь в системе рабочий антивирус с актуальными базами.

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени появляются нетипичные отклонения в работе компьютера.

Существует ряд признаков, которые могут сопутствовать заражению вирусом:

- появление на экране непредусмотренных сообщений и запросов, изображений и звуковых сигналов;

- самопроизвольный запуск программ без участия пользователя;

- попытки неизвестных программ подключиться к Интернету без ведома пользователя и т. п.

О поражении вирусом через почту может свидетельствовать то, что друзья и знакомые пользователя говорят о сообщениях от него, которые он не отправлял; наличие в почтовом ящике большого количества сообщений без обратного адреса и заголовков. Однако эти признаки не всегда являются следствием присутствием вирусов. Например, в случае с почтой заражённые сообщения могут рассылаться с обратным адресом пользователя с других компьютеров.

Среди косвенных признаков можно назвать частые зависания и сбои в работе компьютера, замедленная (по сравнению с изначальным поведением) работа компьютера при запуске программ, невозможность загрузки операционной системы, исчезновение файлов и каталогов или искажение их содержимого, частое обращение к жёсткому диску (часто мигает лампочка на системном блоке), браузер Internet Explorer «зависает» или ведёт себя неожиданным образом (например, окно программы невозможно закрыть). Но основной причиной для подобных симптомов являются всё же не вирусы, а сбои в аппаратном обеспечении, конфликты между программами и баги (ошибки) в них.

В настоящее время известно более 70000 программных вирусов, их можно классифицировать по следующим признакам:

1. Среда обитания.

2. Способ заражения.

3. Методы воздействия.

4. Особенности алгоритма.

Рассмотрим приведенную классификацию более подробно.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

- неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

- очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Теперь поподробнее о некоторых из этих групп.

Загрузочные вирусы

В загрузочных вирусах выделяют две части: голову и т.н. хвост. Хвост может быть пустым.

Пусть у вас имеются чистая флешка, зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в USB-порте появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная флешка, он приступает к заражению. вирус производит следующие действия: выделяет некоторую область диска и помечает ее как недоступную операционной системе, копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой организует цепочку передачи управления.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

При загрузке компьютера с винчестера а ни с флешки/диска первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах/флешках, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в boot-секторе загрузочного диска.

Файловые вирусы

В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину»

Вирус ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла.

Кроме своей основной функции - размножения, вирус вполне может сделать что- нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения: он не обязан менять длину файла неиспользуемые участки кода не обязан менять начало файла

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код.

Таким образом, при запуске любого файла вирус получает управление

(операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.

Загрузочно-файловые вирусы представляют собой комбинацию двух рассмотренных выше разновидностей.