Реферат: Компьютерные вирусы и антивирусные программы

ФГОУ ВПО «Саратовскийгосударственный аграрный университет имени Н.И. Вавилова»

 

 

 

 

 

 

 

 

 

 

 

РЕФЕРАТ

Тема:Компьютерные вирусы и антивирусные программы

Студент I курса

Заочное отделение

Специальность: земельный кадастр

Ермачков Денис Александрович

Преподаватель: Гаманюк НиколайГригорьевич

Саратов 2010г.

1. Понятие «компьютерноговируса» и его свойства

Компьютерный вирус — этовредоносный самораспространяющийся в информационной среде программный код. Онможет внедряться в исполняемые и командные файлы программ, распространятьсячерез загрузочные секторы дискет и жестких дисков, документы офисныхприложений, через электронную почту, Web-сайты, по другим электронным каналам.Проникнув в компьютерную систему, вирус может ограничиться безобиднымивизуальными или звуковыми эффектами, но может и вызвать потерю или искажениеданных, утечку личной и конфиденциальной информации. В худшем случаекомпьютерная система, пораженная вирусом, окажется под полным контролемзлоумышленника.

(Virus — с лат.) — видпрограмм, характеризующихся способностью скрытого от пользователясаморазмножения для поражения других программ, компьютеров или сетей.

Основную массу вирусовсоздают студенты и школьники, которые только что изучили язык ассемблера, хотятпопробовать свои силы. Значительная часть таких вирусов их авторами часто нераспространяется.

Вторую группу составляюттакже молодые люди (чаще — студенты), которые еще не полностью овладелиискусством программирования, но уже решили посвятить себя написанию ираспространению вирусов. Как правило, они создают многочисленные модификации «классических»вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Выходконструкторов вирусов, при помощи которых можно создавать новые вирусы даже приминимальных знаниях об операционной системе и ассемблере значительно облегчилим работу.

Став старше и опытнее,многие из подобных вирусописателей попадают в третью, наиболее опасную группу,которая создает и запускает в мир «профессиональные» вирусы. Этотщательно продуманные и отлаженные программы. Такие вирусы нередко используютдостаточно оригинальные алгоритмы, недокументированные и мало кому известныеспособы проникновения в системные области данных.

Четвертая группа автороввирусов — «исследователи». Эта группа состоит из талантливыхпрограммистов, которые занимаются изобретением принципиально новых методовзаражения, скрытия, противодействия антивирусам и т.д. Они же придумываютспособы внедрения в новые операционные системы, конструкторы вирусов иполиморфик-генераторы. Эти программисты пишут вирусы не ради собственновирусов, а скорее ради «исследования» потенциалов «компьютернойвирусологии».

При заражении компьютеравирусом важно его обнаружить, для этого следует знать основные признаки егопроявления:

— прекращение работы илинеправильная работа ранее успешно функционировавших программ;

— медленная работакомпьютера;

— невозможность загрузкиоперационной системы;

— исчезновение файлов икаталогов или искажение их содержимого;

— изменение даты ивремени модификации файлов;

— изменение размерафайлов;

— неожиданноезначительное увеличение количества файлов на диске;

— существенное уменьшениеразмера свободной оперативной памяти;

— вывод на экраннепредусмотренных сообщений или изображений;

— подачанепредусмотренных звуковых сигналов;

— частые зависания и сбоив работе компьютера.

Следует отметить, чтовышеперечисленные явления необязательно вызываются присутствием вируса, а могутбыть следствием других причин. Поэтому всегда затруднена правильная диагностикасостояния компьютера. Заразиться компьютерным вирусом можно только в оченьограниченном количестве случаев. Это:

— запуск на компьютереисполняемой программы, заражённой вирусом;

— загрузка компьютера сдискеты, содержащей загрузочный вирус;

— подключение к системезаражённого драйвера;

— открытие документа,заражённого макровирусом;

— установка на компьютерезаражённой операционной системы.

Компьютер не может бытьзаражён, если:

— на него переписывалисьтекстовые и графические файлы (за исключением файлов, предусматривающих выполнениемакрокоманд);

— на нём производилоськопирование с одной дискеты на другую при условии, что ни один файл с дискет незапускался;

— на компьютерепроизводится обработка принесённых извне текстовых и графических файлов, файловданных и информационных файлов (за исключением файлов, предусматривающихвыполнение макрокоманд);

— переписывание накомпьютер заражённого вирусом файла ещё не означает заражения его вирусом.Чтобы заражение произошло нужно либо запустить заражённую программу, либоподключить заражённый драйвер, либо открыть заражённый документ (либо,естественно, загрузиться с заражённой дискеты). Иначе говоря, заразить свойкомпьютер можно только в том случае, если запустить на нём непроверенныепрограммы и (или) программные продукты, установить непроверенные драйвера и(или) операционные системы, загрузиться с непроверенной системной дискеты илиоткрыть непроверенные документы, подверженные заражению макровирусами.

 

2. Классификациякомпьютерных вирусов

На сегодняшний деньизвестны десятки тысяч различных вирусов. Несмотря на такое изобилие, числотипов вирусов, отличающихся друг от друга механизмом распространения ипринципом действия, весьма ограниченно. Существуют и комбинированные вирусы,которые можно отнести одновременно к нескольким типам. Таким образом, вирусыможно классифицировать по следующим признакам:

— среде обитания;

— способу заражения средыобитания;

— степени воздействия;

— особенностям алгоритма.

1. В зависимости от средыобитания вирусы делят на:

1) сетевые – распространяютсяпо различным компьютерным сетям;

2) файловые — поражаютфайлы с расширением .com,.ехе, реже .sys или оверлейные модули.ехе файлов.Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяютего таким образом, чтобы первыми получить управление. Получив управление, вирусможет заразить другие программы, внедриться в оперативную память компьютера ит.д. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, врезультате чего он оказывается неработоспособным и не подлежащим восстановлению;

3) загрузочные — получаютуправление на этапе инициализации компьютера, еще до начала загрузки ОС. Призаражении дискеты или жесткого диска загрузочный вирус заменяет загрузочнуюзапись BR или главную загрузочную запись MBR. При начальной загрузке компьютераBIOS считывает загрузочную запись с диска или дискеты, в результате чего вирусполучает управление еще до загрузки ОС. Затем он копирует себя в конецоперативной памяти и перехватывает несколько функций BIOS. В конце процедурызаражения вирус загружает в память компьютера настоящий загрузочный сектор ипередает ему управление. Далее все происходит, как обычно, но вирус уженаходится в памяти и может контролировать работу всех программ и драйверов;

4) файлово–загрузочные –комбинированные вирусы, объединяющие свойства файловых и загрузочных. Вкачестве примера можно привести широко распространенный когда-тофайлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирусзаражает главную загрузочную запись. Во время загрузки вирус постепенно шифруетсекторы жесткого диска, начиная с самых последних секторов. Вирус OneHalfиспользует различные механизмы маскировки.

2. По способузаражения среды обитания вирусы делятся на:

1) резидентные — призаражении (инфицировании) компьютера оставляет в оперативной памяти своюрезидентную часть, которая потом перехватывает обращение операционной системы кобъектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется вних. Резидентные вирусы находятся в памяти и являются активными вплоть довыключения или перезагрузки компьютера;

2) нерезидентные вирусыне заражают память компьютера и являются активными ограниченное время.

3. По степенивоздействия вирусы можно разделить на:

1) неопасные, не мешающиеработе компьютера, но уменьшающие объем свободной оперативной памяти и памятина дисках, действия таких вирусов проявляются в каких-либо графических илизвуковых эффектах;

2) опасные вирусы,которые могут привести к различным нарушениям в работе компьютера;

3) особо опасные, воздействиекоторых может привести к потере программ, уничтожению данных, стираниюинформации в системных областях диска.

4. По особенностямалгоритма:

Большое разнообразиевирусов вызывает трудности в их классификации по данному признаку.

1) Простейшие вирусы — паразитические,они изменяют содержимое файлов и секторов диска и могут быть достаточно легкообнаружены и уничтожены;

2) вирусы-невидимки(стелс-вирусы) – пытаются скрыть свое присутствие в компьютере. Они имеютрезидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этотмодуль перехватывает обращения к дисковой подсистеме компьютера. Если ОС илидругая программа считывают файл зараженной программы, то вирус подставляетнастоящий, незараженный, файл программы. Для этого резидентный модуль можетвременно удалять вирус из зараженного файла. После окончания работы с файлом онзаражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когдакакая-либо программа считывает данные из загрузочного сектора, вместозараженного подставляется настоящий загрузочный сектор.

3) макрокомандные вирусы.Файлы документов Microsoft Office могут содержать в себе небольшие программыдля обработки этих документов, составленные на языке Visual Basic forApplications. Это относится и к базам данных Access, а также к файлампрезентаций Power Point. Такие программы создаются с использованиеммакрокоманд, поэтому вирусы, живущие в офисных документах, называютсямакрокомандными. Макрокомандные вирусы распространяются вместе с файламидокументов. Чтобы заразить компьютер таким вирусом, достаточно просто открытьфайл документа в соответствующем приложении. Распространнености данного видавирусов в немалой степени способствует популярность Microsoft Office. Они могутизменять зараженные документы, оставаясь незамеченными долгое время.

Кроме вирусов принятовыделять еще, по крайней мере, три вида вредоносных программ. Это троянскиепрограммы, логические бомбы и программы-черви. Четкого разделения между ними несуществует: троянские программы могут содержать вирусы, в вирусы могут бытьвстроены логические бомбы и др.

4) Троянские программы — по основному назначению троянские программы совершенно безобидны или дажеполезны. Но когда пользователь запишет программу в свой компьютер и запуститее, она может незаметно выполнять вредоносные функции. Чаще всего троянскиепрограммы используются для первоначального распространения вирусов, дляполучения удаленного доступа к компьютеру через Интернет, кражи данных или ихуничтожения;

5) логические бомбы — программа или ее отдельные модули, которые при определенных условиях выполняютвредоносные действия. Логическая бомба может, например, сработать по достиженииопределенной даты или тогда, когда в базе данных появится или исчезнет запись,и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже вобычные программы;

6) программы-червинацелены на выполнение определенной функции, например, на проникновение всистему и модификацию данных. Можно, скажем, создать программу-червь,подсматривающую пароль для доступа к банковской системе и изменяющую базуданных. Широко известная программа-червь была написана студентом Корнельскогоуниверситета Робертом Моррисом. Червь Морриса был запущен в Интернет 2 ноября1988 г. и за 5 часов смог проникнуть более чем на 6000 компьютеров. Некоторыевирусы-черви (например, Code Red) существуют не внутри файлов, а в видепроцессов в памяти зараженного компьютера. Это исключает их обнаружениеантивирусами, сканирующими файлы и оставляющими без внимания оперативную памятькомпьютера;

7) вирусы в системахдокументооборота — документы, хранящиеся в базах данных таких системдокументооборота, как Lotus Notes и Microsoft Exchange, тоже могут содержатьвирусы, точнее, вредоносные макрокоманды. Они могут активизироваться привыполнении каких-либо действий над документом (например, когда пользовательщелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а взаписях баз данных, для защиты от них требуются специализированные антивирусныепрограммы;

8) новые и экзотическиевирусы. По мере развития компьютерных технологий совершенствуются икомпьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Так,новый вирус W32/Perrun, сообщение о котором есть на сайте компании NetworkAssociates, способен распространяться… через файлы графических изображенийформата JPEG. Сразу после запуска W32/Perrun ищет файлы с расширением .JPG идописывает к ним свой код. Надо сказать, что данный вирус не опасен и требуетдля своего распространения отдельной программы. Среди других «достижений»создателей вредоносных программ заслуживает внимания вирус Palm.Phage. Онзаражает приложения «наладонных» компьютеров PalmPilot, перезаписываяфайлы этих приложений своим кодом. Появление таких вирусов, как W32/Perrun иPalm.Phage, свидетельствует о том, что в любой момент может родитьсякомпьютерный вирус, троянская программа или червь нового, неизвестного ранеетипа, либо известного типа, но нацеленного на новое компьютерное оборудование.Новые вирусы могут использовать неизвестные или не существовавшие ранее каналыраспространения, а также новые технологии внедрения в компьютерные системы.

 

3. Антивирусныепрограммы

 

Антивирус- это программа, предназначенная для сканирования и распознавания на компьютерепользователя программ или скриптов (скрипт— текстовый файл, содержащийсекции, параметры секций и значения параметров секций, описывающие действия,которые необходимо выполнить интерпретатору скрипта), макросов (макрос — этонабор команд, которые можно применить, нажав всего лишь одну клавишу). Спомощью макроса можно автоматизировать любое действие, которое выполняется виспользуемом приложении, которое может причинить вред пользователю илисущественно замедлить работу компьютера.Антивирусныепрограммы можно разделить на несколько типов: — Детекторы.Их назначение — лишь обнаружить вирус. Детекторы вирусов могут сравниватьзагрузочные сектора дискет с известными загрузочными секторами, формируемымиоперационными системами различных версий, и таким образом обнаружитьзагрузочные вирусы или выполнять сканирование файлов на магнитных дисках сцелью обнаружения сигнатур известных вирусов. Такие программы в чистом виде внастоящее время редки. — Доктора(Фаги. Фаг) — это программа, которая способна не только обнаружить, но иуничтожить вирус, т.е. удалить его код из зараженных программ и восстановить ихработоспособность (если возможно). Известнейшим в России фагом являетсяAidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы впамяти не было резидентных антивирусов, блокирующих запись в программные файлы,поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентнойпрограмме, либо воспользоваться соответствующей утилитой. — Ревизоры.Программа-ревизор контролирует возможные пути распространения программ-вирусови заражения компьютеров. Программы-ревизоры относятся к самым надежнымсредствам защиты от вирусов и должны входить в арсенал каждого пользователя.Ревизоры являются единственным средством, позволяющим следить за целостностью иизменениями файлов и системных областей магнитных дисков. Наиболее известна вРоссии программа-ревизор ADinf, разработанная Д.Мостовым. — Вакцины.Так называются антивирусные программы, ведущие себя подобно вирусам, но ненаносящие вреда. Вакцины предохраняют файлы от изменений и способны не толькообнаружить факт заражения, но и в некоторых случаях «вылечить»пораженные вирусами файлы. В настоящее время антивирусные программы-вакцинышироко не применяются, так как в прошлые годы некоторыми некорректноработающими вакцинами был нанесен ущерб многим пользователям.Длянахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. онмоделирует выполнение остальных файлов с помощью программной модели микропроцессораI-8086 и тем самым создает среду для проявления вирусов и их размножения. Такимобразом, программа Dr Web может бороться не только с полиморфными вирусами, нои вирусам, которые только еще могут появиться в перспективе.Основнымифункциональными особенностями Dr Web являются:·защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware,программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;·обновление антивирусных баз до нескольких раз в час, размер каждого обновлениядо 15 KB;·проверка системной памяти компьютера, позволяющая обнаружить вирусы, несуществующие в виде файлов (например, CodeRed или Slammer);·эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выходасоответствующих обновлений вирусных баз.Любойсовременный антивирусный продукт — это не только набор отдельных технологийдетектирования, но и сложная система защиты, построенная на собственномпонимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносныхпрограмм.АнтивирусКасперского Personal предназначен для антивирусной защиты персональныхкомпьютеров, работающих под управлением операционных систем Windows 98/ME,2000/NT/XP, от всех известных видов вирусов, включая потенциально опасное программноеобеспечение. Программа осуществляет постоянный контроль всех источниковпроникновения вирусов — электронной почты, интернета, дискет, компакт-дисков ит.д. Уникальная система эвристического анализа данных эффективно нейтрализуетнеизвестные вирусы. Можно выделить следующие варианты работы программы (онимогут использоваться как отдельно, так и в совокупности):·Постоянная защита компьютера — проверка всех запускаемых, открываемых исохраняемых на компьютере объектов на присутствие вирусов.·Проверка компьютера по требованию — проверка и лечение как всего компьютера вцелом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можетезапускать самостоятельно или настроить ее регулярный автоматический запуск.Программасоздает надежный барьер на пути проникновения вирусов через электронную почту.Антивирус Касперского Personal автоматически осуществляет проверку и лечениевсей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP иэффективно обнаруживает вирусы в почтовых базах. Программа поддерживает болеесемисот форматов архивированных и сжатых файлов и обеспечивает автоматическуюантивирусную проверку их содержимого, а также удаление вредоносного кода изархивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE. В состав АнтивирусаКасперского включен специальный компонент, обеспечивающий защиту файловой системыкомпьютера от заражения — Файловый Антивирус. Он запускается при стартеоперационной системы, постоянно находится в оперативной памяти компьютера ипроверяет все открываемые, сохраняемые и запускаемые вами или программамифайлы.