Компьютерные вирусы и борьба с ними 5
СОДЕРЖАНИЕ: Министерство образования и науки РФ Казанский государственный технический университет Кафедра вычислительной математики Реферат на тему Компьютерные вирусы и борьба с нимиМинистерство образования и науки РФ Казанский государственный технический университет
Кафедра вычислительной математики
Реферат на тему
Компьютерные вирусы и борьба с ними
Выполнила студентка
Группы 7172 1-го курса
Гаптелхакова Рания Расиховна
Реферат сдан
Казань, 2009
Оглавление ВВЕДЕНИЕ……………………………………………………………………………………………………..…………….3 1. Что такое компьютерный вирус?.........................................................4 Признаки проявления вируса…………………………………….4 2. Классификация вирусов………………………………………………….5 2.1.Вирусы-программы (W32)………………………………………6 2.2.Загрузочные вирусы…………………………………………….7 2.3.Файловые вирусы………………………………….…………….7 2.4.Полиморфные вирусы………………………………………….8 2.5.Стелс-вирусы……………………………………………………..9 2.6.Макровирусы…………………………………………….………9 2.7.Скрипт-вирусы………………………………………..……….10 2.8.«Троянские программы», программные закладки и сетевые черви……………………………………………………..11 Прочие способы заражения………………………………………12 3.Антивирусные программы……………………………………..………..13 3.1.Антивирус Касперского (KAV)……………………………….13 3.2.Dr.web…………………………………………………..………..14 3.3 АнтивирусESETNOD32……………………………..……….15 3.3.NortonAntivirus……………………………………………….17 4. Профилактика против заражения вирусом…………………………18 Заключение…………………………..…………………………….…………..19 Литература ……………………………….…………………………………..20 |
ВВЕДЕНИЕ
В настоящее время очень многие области деятельности человека связаны с применением компьютеров. Почему же эти электронные машины так плотно внедряются в нашу жизнь? Все довольно тривиально. Они выполняют рутинную расчетную и оформительскую работу, освобождая наш мозг для более необходимых и ответственных задач. В результате утомляемость резко снижается, и мы начинаем работать гораздо производительнее, нежели без применения компьютера.
Возможности современных компьютеров поражают самое богатое воображение. Они способны параллельно выполнять несколько задач, сложность которых довольно велика. По этому некоторые производители задумываются над созданием искусственного интеллекта. Да и сейчас работа компьютера напоминает работу интеллектуального электронного помощника человека.
Но кто бы мог подумать, что этому электронному чуду техники свойственны болезни похожие на человеческие.
Он, так же как и человек может подвергнуться атаке вируса но компьютерного. И если не принять мер, компьютер скоро заболеет т.е. начнет выполнять неправильные действия или вообще умрет т.е. повреждения нанесенные вирусом окажутся очень серьезными. О том что такое компьютерные вирусы и как с ними бороться пойдет речь далее.
1. Что такое компьютерный вирус?
Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. заражать их), а также выполнять нежелательные различные действия на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, засоряет оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может заразить. Это означает, что вирус может внедриться в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.
Признаки проявления вируса.
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
- прекращение работы или неправильная работа ранее успешно функционировавших программ
- медленная работа компьютера
- невозможность загрузки операционной системы
- исчезновение файлов и каталогов или искажение их содержимого
- изменение даты и времени модификации файлов
- изменение размеров файлов
- неожиданное значительное увеличение количества файлов на диске
- существенное уменьшение размера свободной оперативной памяти
- вывод на экран непредусмотренных сообщений или изображений
- подача непредусмотренных звуковых сигналов
- частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:
- некоторые программы перестают работать или начинают работать неправильно;
- на экран выводятся посторонние сообщения, символы и т.д.;
- работа на компьютере существенно замедляется;
- некоторые файлы оказываются испорченными и т.д.
К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры.
Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, формируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.
Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.
2. Классификация вирусов
По величине вредных воздействий
вирусы можно разделить на:
- неопасные, действие которых приводит к:
- уменьшению свободной памяти на диске,
- графическим и звуковым эффектам;
- опасные, действие которых приводит к:
- сбоям и зависанию компьютера;
- очень опасные, действие которых приводит к:
- потере программ и данных (изменению или удалению файлов и каталогов)
- форматированию винчестера и т.д.
По «среде обитания»
вирусы можно разделить на:
- файловые - внедряются в исполнимые файлы (не заражают файлы со звуком и изображением);
- загрузочные - записывают себя в загрузочный сектор диска;
- макровирусы - заражают файлы документов Word и электронных таблиц Excel ;
- сетевые - Интернет-черви (передаются в почтовых сообщениях) и скрипт-вирусы (передаются через программы на языках JavaScript , VBScript ).
2.1.Вирусы-программы ( W 32)
Со временем вирусы, прятавшие свой код в теле других программ, сдали свои позиции. Во многом это произошло из-за того, что размеры самих вирусов стали больше – а спрятать код размером в сотни килобайт не так-то просто. Да и сами программы и операционные системы резко поумнели, научившись проверять целостность собственных файлов.
В итоге произошло то, что и должно было случиться – «исполняемые» вирусы перестали маскироваться, представ перед публикой в «чистом» виде. Вирус превратился в абсолютно отдельную, независимую программу, не нуждающуюся в «хозяине-переносчике». Однако сразу же перед вирусописателями встал другой вопрос – а как заставить пользователей скачать и запустить у себя на машине этот самый вирус?
«Программные» вирусы, написанные для операционной системы Windows, решили эту проблему, маскируясь под разные «полезные» утилиты – например, под «ломалки» для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный приём распространителей заразы – наряжать свои детища в «одежду» обновлений для операционной системы или даже… антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложений в электронные письма якобы от Microsoft или «Лаборатории Касперского» - а ведь это самый верный путь поселить на свой компьютер вирус!
Большинство вирусов люди запускают на своём компьютере самостоятельно! – увы, несмотря на все усилия борцов с вирусами, некие стереотипы человеческой психологии оказываются непреодолимыми…
Впрочем, некоторые вирусы способны атаковать ваш компьютер даже в том случае, если его «тело» физически находится в другом месте.
Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно – главным условием вашей безопасности является обязательная и регулярная загрузка обновлений к Windows. А именно – файлов-«заплаток», предназначенных для закрытия уже обнаруженных «дыр» в системе защите операционной системы.
Для получения новых «заплаток» вам необходимо навестить центр обновления Windows – сайт WindowsUpdate (http://windowsupdate.microsoft.com). При этом совершенно не обязательно набирать этот адрес в строке браузера вручную – достаточно зайти в меню Сервис программы InternetExplorer и выбрать пункт WindowsUpdate.
На открывшейся страничке вы увидите полный список обновлений, доступных для загрузки. Учтите – все обновления из раздела «Критические обновления» необходимо устанавливать в обязательном порядке!
Посещайте сайт WindowsUpdate не реже раза в месяц, регулярно обновляйте базы данных вашего антивирусного пакета – и можете считать, что от львиной доли неприятностей вы застрахованы…
2.2.Загрузочные вирусы
Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске отдать управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
2.3.Файловые вирусы
По способу заражения файлов вирусы делятся на:
- перезаписывающие (overwriting);
- паразитические (parasitic);
- вирусы-компаньоны (companion);
- вирусы-ссылки (link);
- вирусы, заражающие объектные модули (OBJ);
- вирусы, заражающие библиотеки компиляторов (LIB);
- вирусы, заражающие исходные тексты программ.
Overwriting
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Parasitic
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.
Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
Companion
К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
2.4.Полиморфные вирусы
Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Что это такое.
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
2.5.Стелс-вирусы
В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.
2.6.Макровирусы
В эпоху «классических» вирусов любой более-менее грамотный пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд ли даже в страшном сне могло присниться, что через несколько лет смертоносной начинкой обзаведутся… текстовые документы!
В 1995 г., после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100%, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 г. было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95.
В текстовый редактор MicrosoftWord и табличный редактор MicrosoftExcel был встроен свой собственный язык программирования – VisualBasicforApplications (VBA), предназначенный для созданий специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов MicrosoftOffice и легко могли быть заменены вирусами. После открытия заражённого файла вирус активировался и заражал все документы MicrosoftOffice на вашем диске.
Первоначально макровирусы – а именно так называли новый класс вирусов, - вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени макровирусы перешли к своим обычным обязанностям – уничтожению информации.
Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 г., когда вирус Melissa , созданный программистом Дывидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissa ограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесённым в адресную книгу MicrosoftOutlook), его появление наделало немало шума. Именно появление Melissa заставило Microsoft срочно оснастить программы MicrosoftOffice защитой от запуска макросов. При открытии любого документа, содержащего встроенные макросы, умный Word и Excel обязательно спросит пользователя: а вы уверены, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку Нет – и вирусу будет поставлен надёжный заслон. Просто удивительно, что несмотря на такую простоту защиты большинство пользователей игнорирует предупреждения программы. И заражаются…
Сегодня число макровирусов снизилось в несколько раз – сегодня им принадлежит не более 15 % всего вирусного «рынка». Однако опасность заражения макровирусами по-прежнему высока – и поэтому будьте особенно осторожны, если вам часто приходится иметь дело с документами, созданными на других компьютерах. Качественный антивирус в сочетании с включённой защитой от макросов в программах MicrosoftOffice могут надёжно обезопасить вас от подобной напасти.
2.7.Скрипт-вирусы
На самом деле макровирусы являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных программ – скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы MicrosoftOffice, получили наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.).
Общая черта скрипт-вирусов – это привязка к одному из «встроенных» языков программирования. Каждый вирус привязан к конкретной «дырке» в защите одной из программ Windows и представляет собой не самостоятельную программу, а набор инструкций, которые заставляют в общем-то безобидный «движок» программы совершать не свойственные ему разрушительные действия.
Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и т.д.) не является криминалом, - большинство из них вполне мирно трудится, делая страничку более привлекательной или более удобной. Чат, гостевая книга, система голосования, счётчик – всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутствие на страничке тоже обоснованно – они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором мышки…
Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты – самые настоящие, полноценные программы. Причём многие из них запускаются и работают не где-то там, на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вирус, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны – от простой кражи пароля до форматирования жесткого диска.
Разумеется, со «скриптами-убийцами» вам придётся сталкиваться во сто крат реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.
Впрочем, большая часть скрипт-вирусов распространяется через электронную почту (такие вирусы чаще называют «Интернет-червями»). Пожалуй, ярчайшими представителями этого семейства являются вирусы LoveLetter и Anna Kournikova . Оба этих вируса использовали один и тот же приём, основанный не только на слабой защите операционной системы, но и на наивности пользователей.
Хитрость создателей вируса проста – файл, который показался нам картинкой, имел двойное расширение! Например, AnnaKournikova . jpg . vbs
Вот именно второе расширение и является истинным типом файла, в то время как первое является просто частью его имени. А поскольку расширение vbsWindows хорошо знакомо, она, не долго думая, прячет его от глаз пользователей, оставляя на экране лишь имя AnnaKournikova . jpg
И Windows поступает так со всеми зарегистрированными типами файлов: разрешение отбрасывается а о типе файла должен свидетельствовать значок. На который, увы, мы редко обращаем внимание.
Хороша ловушка, но различить её легче лёгкого: фокус с «двойным расширением» не проходит, если мы заранее активируем режим отображения типов файлов. Сделать это можно с помощью меню Свойства папки на Панели управления Windows: щёлкните по этому значку, затем откройте закладку Вид и снимите галочку со строчки Скрывать расширения для зарегистрированных типов файлов .
Запомните : в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны файлы txt, jpg, gif, tif, bmp, mp3, wma.
А вот список безусловно опасных типов файлов:
- asx | - com | - inf | - msi |
- bas | - cpl | - ins | - pif |
- bat | - crt | - js | - reg |
- cmd | - exe | - msc | - vbs |
Собственно говоря, список потенциальных «вирусоносителей» включает ещё не один десяток типов файлов. Но эти встречаются чаще других.
2.8.«Троянские программы», программные закладки и сетевые черви.
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или троянизировать другие программы – вносить в них разрушающие функции.
«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.
В качестве примера приведем возможные деструктивные функции, реализуемые «троянскими конями» и программными закладками:
1. Уничтожение информации. Конкретный выбор объектов и способов уничтожения зависит только от фантазии автора такой программы и возможностей ОС. Эта функция является общей для троянских коней и закладок.
2. Перехват и передача информации. В качестве примера можно привести реализацию закладки для выделения паролей, набираемых на клавиатуре.
3. Целенаправленная модификация кода программы, интересующей нарушителя. Как правило, это программы, реализующие функции безопасности и защиты.
Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
В более 80% компьютерных преступлений, расследуемых ФБР, взломщики проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.
Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь.
Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 80 миллионов компьютеров, подключенных к этой сети.
Прочие способы заражения
Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART.BAT.
Некоторые вирусы записывают свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.
Link-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
3.Антивирусные программы
Полностью отсечь вирусы о вашего компьютера вряд ли удастся, разве что вы удалите из системы дисковод, перестанете работать в Интернете и будете пользоваться только легальным программным обеспечением. Но в наших условиях все эти советы – особенно последний – выглядят либо утопией, либо издевательством.
Остаётся один способ: снабдить вашу ОС надёжными сторожами – антивирусными программами, которые смогут вовремя распознать и обезвредить прокравшегося вируса.
Практически все программы, описанные далее, просты и удобны в пользовании, способны отлавливать практически все существующие на сегодня группы вирусов. Большинство антивирусов способны не просто проверять по запросу пользователя диск на наличие вирусов, но и вести незаметную проверку всех запускаемых на компьютере файлов. Наконец, все современные антивирусы снабжены механизмом автоматического обновления антивирусных баз данных через Интернет.
Получается правильный выбор – дело вкуса? Возможно, что так оно и есть. Во всяком случае, существует несколько основных точек зрения на эту проблему.
Ряд пользователей считает, что нет ничего лучше отечественных продуктов, наиболее приспособленных к нашей вирусной «атмосфере». Не стоит сбрасывать со счетов и патриотизм – анекдотично, но даже пользователи пиратских копий отечественных антивирусов свято верят в то, что вносят свой вклад в поддержку российских производителей.
Другая группа пользователей ориентируется на результаты тестов авторитетных западных изданий – и в первую очередь, на хит-парад VirusBulletin 100% Awards (http://www.virusbtn.com). Кстати, оба отечественных антивируса неизменно присутствуют в Top10 самых надёжных антивирусных программ этого рейтинга, хотя на первых местах оказываются продукты, о которых наши пользователи и не слышали. А единственная по-настоящему популярная в России западная программа – NortonAntivirus – неизменно плетётся в хвосте списка (что не мешает ей получать множество других авторитетных премий)…
Другой независимый сайт, регулярно проводящий тестирование антивирусных программ – российский ресурс Antivirus.Ru (http://www.antivirus.ru). Возможно, авторитет этого сайта не так высок, как у его западного коллеги, однако использовать результаты тестов «для справки» не только допустимо, но и настоятельно рекомендуется.
3.1.Антивирус Касперского ( KAV )
Безусловно, самый популярный и мощный из отечественных антивирусов, да и на мировой антивирусной сцене он котируется весьма высоко. Программа «подстроена» под российскую «вирусную атмосферу» и способна дать отпор вирусам отечественного производства (когда ещё они доберутся до лабораторий западных борцов с вирусами?). Кстати, антивирусная база KAV в данный момент насчитывает около 96000 вирусов, при этом новые дополнения к программе выпускаются ежедневно.
Версия KAVPersonalPro состоит из нескольких важных модулей:
Scanner , проверяющий ваши жёсткие диски на предмет зараженности вирусами. Можно задать полный поиск, при котором Антивирус Касперского будет проверять все файлы подряд. Для большей надёжности можно включить также режим проверки архивированных файлов. Правда, такая процедура занимает чересчур много времени. Гораздо лучше выбрать более щадящий режим – Программы по формату , при котором KAV будет проверять не только не только программы, но и документы, созданные в формате MicrosoftOffice. Кстати, если вы хотите просканировать на наличие вирусов только определённый тип файлов, то можете воспользоваться ещё одним режимом проверки – По маске (в качестве «маски» введите типы проверяемых файлов, например, *.doc, *.xls).
После обнаружения вирусов программа предлагает вам на выбор несколько вариантов: убрать вирус из файла, удалить сами заражённые файлы или переместить их в специальную папку. Можно также вообще отключить режим лечения – тогда ваш антивирус будет только сигнализировать вам об обнаруженных вирусах.
Вторая составляющая пакета – Monitor . Эта программа автоматически загружается при запуске Windows и доступна через иконку в левой части Панели задач.
Монитор автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки подаёт сигнал тревоги. Более того, в большинстве случаев Monitor просто не даёт заражённому файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, с активными ходоками по Интернету.
Инспектор – модуль, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует в работе совершенно иной метод, нежели «Сканер» и «Монитор», а именно метод контроля изменений размеров файлов. Внедряясь в файл, вирус неизбежно увеличивает его «объем» и вызывает изменение его размера – и тем самым выдаёт себя с головой.
Mail Checker – модуль, отвечающий за проверку «на лету» сообщений электронной почты.
Script Checker – охотник за вирусными и троянскими скриптами.
Office Guard – аналогичный модуль для проверки каждого загружаемого документа MicrosoftOffice.
В версии Personal отсутствуют модули Script Checker иOffice Guard , а самая простая версия Lite, рассчитанная на домашних пользователей, включает лишь базовый модуль и программу автоматического обновления.
У Антивируса Касперского масса достоинств – удобство управления, регулярность и частота выпуска обновлений, а также большое количество версий для различных операционных систем. Возможно, именно поэтому Антивирус Касперского лидирует на корпоративном рынке – большинство фирм используют для защиты своих локальных сетей именно этот продукт.
Однако назвать «Касперского» идеальным антивирусом для дома мешает его громоздкость и медлительность – KAV очень требователен к аппаратным ресурсам. К тому же цену на новые версии KAV трудно назвать низкой. Авторов программы можно понять – в условиях практически стопроцентного пиратства иначе просто не получается. И всё же…
3.2. Dr . web
Лет шесть-семь назад, в эпоху DOS, Dr.Web мог с полным правом считаться первым и лучшим среди
российских антивирусов. Однако запоздание с переходом на Windows-версию сыграло роковую роль: популярность Dr.Web стала стремительно падать… И лишь относительно недавно, после подорожания AVP (сменившего к тому времени название на KAV), интерес к разработке Игоря Данилова вновь вырос. И оказалось, что этот «вечно второй» продукт в большинстве случаев может предложить не худший уровень защиты, чем его коллега «от Касперского».
Антивирусная база Dr.Web меньше, чем у KAV и насчитывает около 71000 записей. Однако создатели уверяют, что на результатах тестирования это не сказывается, поскольку в Dr.Web реализован принципиально иной подход, чем в его коллегах-антивирусах: в программу встроен модуль эвристического анализатора, который позволяет обезвредить не только уже известные программе, но и новые, ещё не опознанные вирусы. В любом случае, малый размер и сравнительно небольшой объём базы не мешают Dr.Web регулярно занимать призовые места в антивирусных «чемпионатах» и сравнительных тестированиях. Кроме того, скорость пополнения баз данных у обоих антивирусов примерно одинакова. А самое главное, Dr.Web работает значительно быстрее своих громоздких конкурентов, а в некоторых случаях – ещё и корректнее. Именно Dr.Web первым из отечественных антивирусов подружился с WindowsXP, что и привлекло к нему внимание пользователей.
Как и KAV, Dr.Web устроен по модульному принципу:
Сканер Dr.Web
Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы.
Резидентный сторож (монитор) SpIDer Guard™
- Контролирует в режиме реального времени все обращения к файлам, выявляет и блокирует подозрительные действия программ
Резидентный почтовый фильтр SpIDer Mail™
- Контролирует в режиме реального времени все почтовые сообщения, входящие по протоколу POP3 и исходящие по протоколу SMTP
Сканер командной строки Dr.Web®
- Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы.
Утилита автоматического обновления
- Загружает обновления вирусных баз и программных модулей, а также осуществляет процедуру регистрации и доставки лицензионного или демонстрационного ключевого файла.
Планировщик заданий
- Позволяет планировать регулярные действия, необходимые для обеспечения антивирусной защиты, например, обновления вирусных баз, сканирование дисков компьютера, проверку файлов автозагрузки.
- Dr.Web проверяет все категории файлов, которые могут быть заражены: исполняемые файлы, документы MicrosoftWord, архивы всех популярных форматов (ARJ, ZIP, RAR, TAR и так далее), скрипты VBS и многие другие.
3.3. Антивирус ESET NOD32
NOD32 - решение для защиты домашнего компьютера от вирусов, троянских программ, червей, рекламного ПО, шпионских программ, фишинг-атак, руткитов.
Применение передовых технологий позволяет превентивно блокировать работу вирусов, шпионского ПО, троянских и рекламных программ, а также червей и руткитов без снижения производительности системы, не вызывая раздражения упользователя во время работы или игры на компьютере.
Используя антивирусное решение NOD32, нет необходимости жертвовать скоростью работы ПК или другого программного обеспечения. Сканирование или процессы обновления антивируса происходят практически незаметно для пользователя.
Персональный файервол ESET NOD32 Smart Security обеспечивает двустороннюю защиту, обнаружение вторжений и работает в трех режимах.
Обычный режим. Обеспечивает ненавязчивую защиту для повседневного использования, не требующую понимания технологии работы файервола или сложной настройки.
Расширенный режим. Предлагает опытным пользователям удобный интерфейс для детальной настройки файервола.
Режим на основе политик. Позволяет администратору установить и применить для файервола настраиваемую конфигурацию политик (только для бизнес версий).
Все режимы обеспечивают фильтрацию протоколов и обнаружение вторжений.
Мощным средством персонального файервола ESET NOD32 Smart Security является возможность помечать определенные программы как поддерживающие сетевую работу, в дополнение к веб-браузерам Microsoft Internet Explorer и Mozilla Firefox.
Эта функция позволяет помечать любое приложение, которое может использоваться в сети (например, Microsoft Word), для более строгой эвристической проверки сетевых подключений, используемых приложением.
ESET NOD32 назван лучшим антивирусным решением 2006 и 2007 года по результатам тестированиям австрийской тестовой лаборатории Андреаса Клементи.
3.4. Norton Antivirus
NAV является «самым-самым» сразу по целому ряду позиций. Самый красивый, самый логично устроенный. Обладатель самой большой
базы данных вирусов. И – увы! – самый массивный, неповоротливый и требовательный к ресурсам.
NortonAntivirus – программа на редкость «въедливая», из под её контроля не уйдёт ни один запущенный на компьютере процесс. После установки NortonAntivirus о ней можно вообще забыть – NAV сама проконтролирует всё, что нужно.
В частности, этот антивирус умеет перехватывать сообщения электронной почты на полпути к вашему почтовому ящику и обрабатывать их. Почту, уходящую от вас, программа тоже проверяет – на всякий случай. Конечно, обезвреживать почтовые вирусы умеют и другие программы, но только при открытии вложений, NAV же делает это заранее. Кроме того, NAV встраивает защитный механизм в приложения MicrosoftOffice, контролируя каждый открываемый на компьютере документ… Последние версии NortonAntivirus умеют обнаруживать не только вирусы, но и некоторые «троянские» модули.
Идеология программы – совать свой нос во всё подряд, не затрудняя себя экономией системных ресурсов, а пользователя – работой с настройками программы.
Все эти процессы будут протекать для пользователя невидимо, и привлекать ваше внимание программа будет лишь в момент обнаружения нового вируса или при необходимости обновить антивирусные базы через Интернет.
Увы - NortonAntivirus остаётся лидером не только по простоте работы, но и по медлительности. Этот тяжеловес занимает рекордный объём в оперативной памяти компьютера, а его встроенные «сторожа» существенно замедляют скорость работы с электронной почтой и офисными документами. Наконец, традиционно неудобен механизм обновления – дополнения к «Касперскому» выходят гораздо чаще, к тому же они существенно меньше по размерам, да и канал связи с сервером Symantec работает гораздо хуже.
Зато есть у NAV и привлекательные черты, на которые охотно клюют пользователи-новички. Программа не заставляет вас разбираться с многочисленными настройками, всё просто и удобно. Установил раз – и забыл… Кроме того, встроенные «сторожа» предоставляют вам новые возможности – так, при обнаружении заражённого письма NAV позволяет не только удалить его, но и переместить в карантин.
Наконец, «на руку» программе играет и тот факт, что NortonAntivirus распространяется в составе популярного утилитного комплекта NortonSystemWorks. И стоимость этого комплекта вполне сопоставима с ценой отдельной программы. Кроме того, NortonAntivirus можно приобрести в составе ещё одного комплекта Symantec – NortonInternetSecurityProfessional, в составе которого входит также одноимённый файрволл.
4. Профилактика против заражения вирусом
Рассмотрим некоторые меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет.
1. Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.
2. Целесообразно так же скопировать на дискеты служебную информацию вашего диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса NortonUtilities.
3. Следует устанавливать защиту от записи на архивных дискетах.
4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.
5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, скачанные из Интернета.
6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.
7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
8. Используйте программы - фильтры для раннего обнаружения вирусов.
9. Периодически проверяйте диск программами -детекторами или докторами - детекторами или ревизорами для обнаружения возможных провалов в обороне.
10. Обновляйте базу антивирусных программ.
11. Не допускайте к компьютеру сомнительных пользователей.
ЗАКЛЮЧЕНИЕ
В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов я вижу в соблюдении профилактических мер предосторожности при работе на компьютере. А так же нужно прибегать к помощи специалистов для борьбы с компьютерным вирусом. Кроме того, даже если вирус все-таки проник на компьютер, это не повод для паники.
Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность. Пользуясь аналогией Касперского, незнание правил дорожного движения. Люди, недавно научившиеся принимать и отправлять почту, демонизируют компьютерные вирусы, чуть ли не представляя их себе в виде невидимых черных червячков, ползающих по проводам. Вот несколько простых правил, соблюдая которые можно постараться избежать заражение вирусами. Первое: не боятся компьютерных вирусов, все они лечатся. Второе: перевести MicrosoftOutlook в режим функционирования в зоне ограниченных узлов, что запретит ей автоматическое выполнение некоторых программ – основной принцип размножения компьютерных вирусов. Третье: не открывайте письма от подозрительных адресатов. Четвертое: использовать свежий антивирус.
Литература
1. Безруков Н.Н. Классификация компьютерных вирусов и методы защиты от них. Москва, СП ICE, 1995
2. Волков В.И. «Понятный самоучитель работы в Windows». Издательский дом «Питер», С-Пб. 2001
- Денисов Т.В. Антивирусная защита//Мой Компьютер-№4-2001г.
- Журнал «Мир ПК» (№13 апрель 2001)
- Евгений Касперский «Энциклопедия Вирусов AVP»
- Леонтьев В.П. «Новейшая энциклопедия П.К. 2004-2005»
7. Козлов Д. А., Парандовский А. А., Парандовский А. К. Энциклопедия компьютерных вирусов.- М: Солон-Р, 2002.- 458 с.
- Макарова Н.В.. Информатика. - Москва «Финансы и статистика» 2001.
- Файтс Ф., Джонстон П., Кратц М.Компьютерный вирус: проблемы и прогноз, Москва, Мир, 1993
- http://www.antivir.ru
- http://www.diwaxx.ru/hak/testav2.html
- http://support.drweb.com/faq
- http://www.drweb.ru/com
- http://www.esetnod32.ru
- http://www.kasperskylab.ru
- http://www.kav.ru
- http://www.viruslist.com