Реферат: Вредоносные программы, классификация. Методы защиты

Вступление

Вредоносная программа — компьютернаяпрограмма или переносной код, предназначенный для реализации угроз информации, хранящейсяв компьютерной системе, либо для скрытого нецелевого использования ресурсовсистемы, либо иного воздействия, препятствующего нормальному функционированиюкомпьютерной системы.

К вредоносному программномуобеспечению относятся сетевые черви, классические файловые вирусы, троянскиепрограммы, хакерские утилиты и прочие программы, наносящие заведомый вредкомпьютеру, на котором они запускаются на выполнение, или другим компьютерам всети.

Независимо от типа, вредоносныепрограммы способны наносить значительный ущерб, реализуя любые угрозыинформации — угрозы нарушения целостности, конфиденциальности, доступности.

Местом глобальногораспространения вредоносных программ является, конечно же, Internet.

Интернет, без сомнения, вещь внаше время нужная, для кого-то просто необходимая. За небольшой отрезок времениможно найти нужную информацию, ознакомиться с последними новостями, а такжепообщаться с множеством людей и все это не выходя из дома, офиса и т.д. Но незабывайте, что по этой «толстой трубе» хакеры легко могут влезть вваш компьютер и получить доступ к вашей личной информации.

Хотя поставщики аппаратного ипрограммного обеспечения, а также официальные лица в правительстве принимаютпозы защитников личной информации, в которую постороннее вторжение недопустимо,имеются серьезные основания опасаться, что наши путешествия по Internet неостанутся без внимания чьих-то «внимательных» глаз, анонимность ибезопасность не гарантируется. Хакеры могут легко читать послания поэлектронной почте, а Web-серверы протоколируют все и вся, включая даже переченьпросматриваемых Web-страниц.


1. Эволюция вирусных систем1.1 Первые вирусные программы

1949 год. Американский ученыйвенгерского происхождения Джон фон Науманн (John von Naumann) разработалматематическую теорию создания самовоспроизводящихся программ. Это была перваятеория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес унаучного сообщества.

В начале 60-х инженеры изамериканской компании Bell Telephone Laboratories — В.А. Высотский, Г.Д. Макилройи Роберт Моррис — создали игру «Дарвин». Игра предполагалаприсутствие в памяти вычислительной машины так называемого супервизора,определявшего правила и порядок борьбы между собой программ-соперников,создававшихся игроками. Программы имели функции исследования пространства,размножения и уничтожения. Смысл игры заключался в удалении всех копийпрограммы противника и захвате поля битвы.

Конец 60-х — начало 70-х годов. Появлениепервых вирусов. В ряде случаев это были ошибки в программах, приводивших ктому, что программы копировали сами себя, засоряя жесткий диск компьютеров, чтоснижало их продуктивность, однако считается, что в большинстве случаев вирусысознательно создавались для разрушения. Вероятно, первой жертвой настоящеговируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирусназывался Pervading Animal и заразил только один компьютер — на котором и былсоздан.

1.2 Вредоносные программы в наше время

Проблема вредоносных программ — рекламных и шпионских — заслуживает повышенного внимания как одна из самыхглавных неприятностей, с которыми ежедневно сталкиваются современныепользователи компьютеров. Их пагубное воздействие проявляется в том, что ониподрывают принцип надёжности компьютера и нарушают неприкосновенность личнойжизни, нарушают конфиденциальность и разрывают отношения между защищённымимеханизмами работы компьютера, посредством некоторых комбинаций шпионскихдействий. Подобные программы часто появляются без ведома получателя, и даже приобнаружении от них трудно избавиться. Заметное снижение производительности,беспорядочная смена пользовательских настроек и появление новых сомнительныхпанелей инструментов или аддонов являются лишь немногими страшнымипоследствиями заражения «шпионом» или рекламной программой. «Шпионы»и другие вредоносные программы могут также прилаживаться к более незаметнымрежимам функционирования компьютера и глубоко внедряться в сложные механизмыработы операционной системы так, чтобы в значительной степени осложнить их обнаружениеи уничтожение.

Снижение производительностиявляется, наверное, самым заметным последствием вредоносных программ, так какнапрямую влияет на работу компьютера до такой степени, что даже непрофессионалможет это обнаружить. Если пользователи не так настораживаются, когда то и деловсплывают рекламные окна, пусть компьютер и не подключён к Интернету, тоснижение отзывчивости операционной системы, поскольку потоки вредоносного кодаконкурируют с системой и полезными программами, явно говорит о появлениипроблем. Меняются программные настройки, таинственным образом добавляются новыефункции, необычные процессы появляются в диспетчере задач (иногда их бывает идесяток), или программы ведут себя так, будто их использует кто-то другой, а выпотеряли над ними контроль. Побочные эффекты вредоносных программ (будь торекламная или шпионская программа) приводят к серьёзным последствиям, и, тем неменее, многие пользователи продолжают вести себя легкомысленно, открываянастежь дверь к своему компьютеру.

В современном Интернет в среднемкаждое тридцатое письмо заражено почтовым червем, около 70% всейкорреспонденции — нежелательна. С ростом сети Интернет увеличивается количествопотенциальных жертв вирусописателей, выход новых операционных систем влечет засобой расширение спектра возможных путей проникновения в систему и вариантоввозможной вредоносной нагрузки для вирусов. Современный пользователь компьютеране может чувствовать себя в безопасности перед угрозой стать объектом чей-тозлой шутки — например, уничтожения информации на винчестере — результатовдолгой и кропотливой работы, или кражи пароля на почтовую систему. Точно так женеприятно обнаружить себя жертвой массовой рассылки конфиденциальных файлов илиссылки на порно-сайт. Кроме уже ставших привычными краж номеров кредитных карт,участились случаи воровства персональных данных игроков различных онлайновыхигр — Ultima Online, Legend of Mir, Lineage, Gamania. В России такжезафиксированы случаи с игрой «Бойцовский клуб», где реальнаястоимость некоторых предметов на аукционах достигает тысяч долларов США. Развитиеполучили и вирусные технологии для мобильных устройств. В качестве путипроникновения используются не только Bluetooth-устройства, но и обычныеMMS-сообщения (червь ComWar).


2. Разновидности вредоносных программ2.1 Компьютерный вирус

 

Компьютерный вирус — разновидностькомпьютерных программ, отличительной особенностью которой является способностьк размножению (саморепликация). В дополнение к этому вирусы могут повредить илиполностью уничтожить все файлы и данные, подконтрольные пользователю, от именикоторого была запущена заражённая программа, а также повредить или дажеуничтожить операционную систему со всеми файлами в целом.

Неспециалисты к компьютернымвирусам иногда причисляют и другие виды вредоносных программ, такие как трояны,программы-шпионы и даже спам. (Спам (англ. spam) — рассылка коммерческой,политической и иной рекламы или иного вида сообщений лицам, не выражавшимжелания их получать. Легальность массовой рассылки некоторых видов сообщений,для которых не требуется согласие получателей, может быть закреплена взаконодательстве страны. Например, это может касаться сообщений о надвигающихсястихийных бедствиях, массовой мобилизации граждан и т.п. В общепринятомзначении термин «спам» в русском языке впервые стал употреблятьсяприменительно к рассылке электронных писем) Известны десятки тысяч компьютерныхвирусов, которые распространяются через Интернет по всему миру, организуявирусные эпидемии.

Вирусы распространяются, внедряясебя в исполняемый код других программ или же заменяя собой другие программы. Какое-товремя даже считалось, что, являясь программой, вирус может заразить толькопрограмму — какое угодно изменение не-программы является не заражением, апросто повреждением данных. Подразумевалось, что такие копии вируса не получатуправления, будучи информацией, не используемой процессором в качествеинструкций. Так, например неформатированный текст не мог бы быть переносчикомвируса.

Однако позднее злоумышленникидобились, что вирусным поведением может обладать не только исполняемый код,содержащий машинный код процессора. Были написаны вирусы на языке пакетныхфайлов. Потом появились макровирусы, внедряющиеся через макросы в документытаких программ, как Microsoft Word и Excel.

Некоторое время спустя взломщикисоздали вирусы, использующие уязвимости в популярном программном обеспечении (например,Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающемобычные данные. Вирусы стали распространяться посредством внедрения впоследовательности данных (например, картинки, тексты, и т.д.) специальногокода, использующего уязвимости программного обеспечения.

2.2 Троян2.2.1 Вредоносное воздействие

Троянская программа (также — троян,троянец, троянский конь, трой) — вредоносная программа, проникающая накомпьютер под видом безвредной — кодека, скринсейвера, хакерского ПО и т.д.

«Троянские кони» неимеют собственного механизма распространения, и этим отличаются от вирусов,которые распространяются, прикрепляя себя к безобидному ПО или документам, и«червей», которые копируют себя по сети. Впрочем, троянская программаможет нести вирусное тело — тогда запустивший троянца превращается в очаг«заразы».

Троянские программы крайнепросты в написании: простейшие из них состоят из нескольких десятков строк кодана Visual Basic или C++.

Название «троянскаяпрограмма» происходит от названия «троянский конь» — деревянныйконь, по легенде, подаренный древними греками жителям Трои, внутри которогопрятались воины, впоследствии открывшие завоевателям ворота города. Такоеназвание, прежде всего, отражает скрытность и потенциальное коварство истинныхзамыслов разработчика программы.

Троянская программа, будучизапущенной на компьютере, может:

мешать работе пользователя (вшутку, по ошибке или для достижения каких-либо других целей);

шпионить за пользователем;

использовать ресурсы компьютерадля какой-либо незаконной (а иногда и наносящей прямой ущерб) деятельности и т.д.

2.2.2 Маскировка троянской программы

Для того, чтобы спровоцироватьпользователя запустить троянца, файл программы (его название, иконку программы)называют служебным именем, маскируют под другую программу (например, установкидругой программы), файл другого типа или просто дают привлекательное длязапуска название, иконку и т.п. Злоумышленник может перекомпилироватьсуществующую программу, добавив к её исходному коду вредоносный, а потомвыдавать за оригинал или подменять его.

Чтобы успешно выполнять этифункции, троянец может в той или иной степени имитировать (или даже полноценнозаменять) задачу или файл данных, под которые она маскируется (программаустановки, прикладная программа, игра, прикладной документ, картинка). Схожиевредоносные и маскировочные функции также используются компьютерными вирусами,но в отличие от них, троянские программы не умеют распространятьсясамостоятельно.

2.2.3 Распространение

Троянские программы помещаютсязлоумышленником на открытые ресурсы (файл-серверы, открытые для записинакопители самого компьютера), носители информации или присылаются с помощьюслужб обмена сообщениями (например, электронной почтой) из расчета на их запускна конкретном, входящем в определенный круг или произвольном «целевом»компьютере.

Иногда использование трояновявляется лишь частью спланированной многоступенчатой атаки на определенныекомпьютеры, сети или ресурсы (в том числе, третьи).

2.2.4 Методы удаления

Трояны обладают множеством видови форм, поэтому не существует абсолютно надёжной защиты от них.

Для обнаружения и удалениятроянов необходимо использовать антивирусные программы. Если антивируссообщает, что при обнаружении трояна он не может удалить его, то можнопопробовать выполнить загрузку ОС с альтернативного источника и повторитьпроверку антивирусом. Если троян обнаружен в системе, то его можно такжеудалить вручную (рекомендуется «безопасный режим»).

Чрезвычайно важно дляобнаружения троянов и другого вредоносного ПО, регулярно обновлять антивируснуюбазу данных установленного на компьютере антивируса, так как ежедневнопоявляется множество новых вредоносных программ.

2.3 Шпионское программное обеспечение2.3.1 Определение

Spyware (шпионскоепрограммное обеспечение) — программа, которая скрытным образомустанавливается на компьютер с целью полного или частичного контроля за работойкомпьютера и пользователя без согласия последнего.

В настоящий момент существуетмножество определений и толкований термина spyware. Организация «Anti-SpywareCoalition», в которой состоят многие крупные производители антишпионскогои антивирусного программного обеспечения, определяет его как мониторинговыйпрограммный продукт, установленный и применяемый без должного оповещенияпользователя, его согласия и контроля со стороны пользователя, то естьнесанкционированно установленный.

2.3.2 Особенности функционирования

Spyware могут осуществлятьширокий круг задач, например:

собирать информацию о привычкахпользования Интернетом и наиболее часто посещаемые сайты (программаотслеживания);

запоминать нажатия клавиш наклавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и вдальнейшем отправлять информацию создателю spyware;

несанкционированно и удалённоуправлять компьютером (remote control software) — бэкдоры, ботнеты, droneware;

инсталлировать на компьютерпользователя дополнительные программы;

использоваться длянесанкционированного анализа состояния систем безопасности (security analysissoftware) — сканеры портов и уязвимостей и взломщики паролей;

изменять параметры операционнойсистемы (system modifying software) — руткиты, перехватчики управления (hijackers)и пр. — результатом чего является снижение скорости соединения с Интернетом илипотеря соединения как такового, открывание других домашних страниц или удалениетех или иных программ;

перенаправлять активностьбраузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражениявирусами.

Законные виды применения «потенциальнонежелательных технологий»

Tracking Software (программыотслеживания) широко и совершенно законно применяются для мониторингаперсональных компьютеров.

Adware может открыто включатьсяв состав бесплатного и условно-бесплатного программного обеспечения, ипользователь соглашается на просмотр рекламы, чтобы иметь какую-либодополнительную возможность (например — пользоваться данной программой бесплатно).В таком случае наличие программы для показа рекламы должно явно прописываться всоглашении конечного пользователя (EULA).

Программы удалённого контроля иуправления могут применяться для удалённой технической поддержки или доступа ксобственным ресурсам, которые расположены на удалённом компьютере.

Дозвонщики (диалеры) могутдавать возможность получить доступ к ресурсам, нужным пользователю (например — дозвонк Интернет-провайдеру для подключения к сети Интернет).

Программы для модификациисистемы могут применяться и для персонализации, желательной для пользователя.

Программы для автоматическойзагрузки могут применяться для автоматической загрузки обновлений прикладныхпрограмм и обновлений ОС.

Программы для анализа состояниясистемы безопасности применяются для исследования защищённости компьютерныхсистем и в других совершенно законных целях.

Технологии пассивногоотслеживания могут быть полезны для персонализации веб-страниц, которыепосещает пользователь.

2.3.3 История и развитие

Согласно данным AOL и NationalCyber-Security Alliance от 2005 года 61% респондентных компьютеров содержали туили иную форму spyware, из них 92% пользователей не знали о присутствии spywareна их машинах и 91% сообщили, что они не давали разрешения на инсталляциюspyware.

К 2006 году spyware стали однимиз превалирующих угроз безопасности компьютерных систем, использующих Windows. Компьютеры,в которых Internet Explorer служит основным браузером, являются частичноуязвимыми не потому, что Internet Explorer наиболее широко используется, ноиз-за того, что его тесная интеграция с Windows позволяет spyware получатьдоступ к ключевым узлам ОС.

До релиза Internet Explorer 7браузер автоматически выдавал окно инсталляции для любого компонента ActiveX,который веб-сайт хотел установить. Сочетание наивной неосведомлённостипользователя по отношению к spyware и предположение Internet Explorer, что всекомпоненты ActiveX безвредны, внесло свой вклад в массовое распространениеspyware. Многие компоненты spyware также используют изъяны в JavaScript,Internet Explorer и Windows для инсталляции без ведома и/или разрешенияпользователя.

Реестр Windows содержитмножество разделов, которые после модифицирования значений ключей позволяютпрограмме исполняться автоматически при загрузке ОС. Spyware могут использоватьтакой шаблон для обхождения попыток деинсталляции и удаления.

Spyware обычно присоединяют себяиз каждого местонахождения в реестре, позволяющего исполнение. Будучизапущенным, spyware контролирует периодически, не удалено ли одно из этихзвеньев. Если да, то оно автоматически восстанавливается. Это гарантирует, чтоspyware будет выполняться во время загрузки ОС, даже если некоторые (илибольшинство) звенья в реестре автозапуска удалены.

2.3.4 Spyware, вирусы и сетевые черви

В отличие от вирусов и сетевыхчервей, spyware обычно не саморазмножается. Подобно многим современным вирусам,spyware внедряется в компьютер преимущественно с коммерческими целями. Типичныепроявления включают в себя демонстрацию рекламных всплывающих окон, кражуперсональной информации (включая финансовую, например, номера кредитных карт),отслеживание привычки посещения веб-сайтов или перенаправление адресногозапроса в браузере на рекламные или порносайты.

2.3.5 Телефонное мошенничество

Создатели spyware могутсовершать мошенничество на телефонных линиях с помощью программ типа «диалер».Диалер может перенастроить модем для дозвона на дорогостоящие телефонные номеравместо обычного ISP. Соединение с этими не вызывающими доверия номерами идёт помеждународным или межконтинентальным тарифам, следствием чего являютсянепомерно высокие суммы в телефонных счетах. Диалер не эффективен накомпьютерах без модема или не подсоединённых к телефонной линии.

2.3.6 Методы лечения и предотвращения

Если угроза со стороны spywareстановится более чем назойливой, существует ряд методов для борьбы с ними. Срединих программы, разработанные для удаления или блокирования внедрения spyware,также как и различные советы пользователю, направленные на снижение вероятностипопадания spyware в систему.

Тем не менее, spyware остаётсядорогостоящей проблемой. Когда значительное число элементов spywareинфицировало ОС, единственным средством остаётся сохранение файлов данныхпользователя и полная переустановка ОС.

2.3.7 Антиspyware программы

Программы, такие как Ad-Aware (бесплатнодля некоммерческого использования, дополнительные услуги платные) от Lavasoft иSpyware Doctor от PC Tools (бесплатное сканирование, удаление spyware платное) стремительнозавоевали популярность как эффективные инструменты удаления и, в некоторыхслучаях, препятствия внедрению spyware. В 2004 году Microsoft приобрела GIANTAntiSpyware, переименовав её в Windows AntiSpyware beta и выпустив её какбесплатную загрузку для зарегистрированных пользователей Windows XP и WindowsServer 2003. В 2006 году Microsoft переименовал бета-версию в Windows Defenderкоторый был выпущен для бесплатной загрузки (для зарегистрированныхпользователей) с октября 2006 года и включён как стандартный инструмент вWindows Vista.

2.4 Сетевые черви

 

Сетевой червь — разновидностьсамовоспроизводящихся компьютерных программ, распространяющихся в локальных иглобальных компьютерных сетях. Червь является самостоятельной программой.

2.4.1 История

Одни из первых экспериментов поиспользованию компьютерных червей в распределённых вычислениях были проведены висследовательском центре Xerox в Пало Альто Джоном Шочем (John Shoch) и ЙономХуппом (Jon Hupp) в 1978. Термин возник под влиянием научно-фантастическихроманов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера«На ударной волне»

Одним из наиболее известныхкомпьютерных червей является «Червь Морриса», написанный РобертомМоррисом (Robert Morris) младшим, который был в то время студентом КорнельскогоУниверситета. Распространение червя началось 2 ноября 1988, после чего червьбыстро заразил большое количество компьютеров, подключённых к интернету.

2.4.2 Механизмы распространения

Черви могут использоватьразличные механизмы («векторы») распространения. Некоторые червитребуют определенного действия пользователя для распространения (например,открытия инфицированного сообщения в клиенте электронной почты). Другие червимогут распространяться автономно, выбирая и атакуя компьютеры в полностьюавтоматическом режиме. Иногда встречаются черви с целым набором различныхвекторов распространения, стратегий выбора жертвы, и даже эксплойтов подразличные операционные системы.

2.4.3 Структура

Часто выделяют так называемыеОЗУ-резидентные черви, которые могут инфицировать работающую программу инаходиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можноизбавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такиечерви состоят в основном из «инфекционной» части: эксплойта (шелл-кода)и небольшой полезной нагрузки (самого тела червя), которая размещается целикомв ОЗУ. Специфика таких червей заключается в том, что они не загружаются череззагрузчик как все обычные исполняемые файлы, а значит, могут рассчитыватьтолько на те динамические библиотеки, которые уже были загружены в памятьдругими программами.

Также существуют черви, которыепосле успешного инфицирования памяти сохраняют код на жёстком диске и принимаютмеры для последующего запуска этого кода (например, путём прописываниясоответствующих ключей в реестре Windows). От таких червей можно избавитьсятолько при помощи антивируса или подобных инструментов. Зачастую инфекционнаячасть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку,которая загружается в ОЗУ и может «догрузить» по сети непосредственносамо тело червя в виде отдельного файла. Для этого некоторые черви могутсодержать в инфекционной части простой TFTP-клиент. Загружаемое таким способомтело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшеесканирование и распространение уже с инфицированной системы, а также можетсодержать более серьёзную, полноценную полезную нагрузку, целью которой можетбыть, например, нанесение какого-либо вреда (например, DoS-атаки).

Большинство почтовых червейраспространяются как один файл. Им не нужна отдельная «инфекционная» часть,так как обычно пользователь-жертва при помощи почтового клиента добровольноскачивает и запускает червя целиком.

2.5 Руткиты2.5.1 Определение

Руткит (Rootkit) — программаили набор программ, использующих технологии сокрытия системных объектов (файлов,процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений ипр) посредством обхода механизмов системы.

Термин руткит исторически пришелиз мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливаетна взломанном им компьютере после получения первоначального доступа. Это, какправило, хакерский инструментарий (снифферы, сканеры) и троянские программы,замещающие основные утилиты Unix. Руткит позволяет хакеру закрепиться вовзломанной системе и скрыть следы своей деятельности.

В системе Windows под терминомруткит принято считать программу, которая внедряется в систему и перехватываетсистемные функции, или производит замену системных библиотек. Перехват имодификация низкоуровневых API функций в первую очередь позволяет такойпрограмме достаточно качественно маскировать свое присутствие в системе,защищая ее от обнаружения пользователем и антивирусным ПО. Кроме того, многиеруткиты могут маскировать присутствие в системе любых описанных в егоконфигурации процессов, папок и файлов на диске, ключей в реестре. Многиеруткиты устанавливают в систему свои драйверы и сервисы (они естественно такжеявляются «невидимыми»).

В последнее время угрозаруткитов становится все более актуальной, т.к разработчики вирусов, троянскихпрограмм и шпионского программного обеспечения начинают встраиватьруткит-технологии в свои вредоносные программы. Одним из классических примеровможет служить троянская программа Trojan-Spy. Win32. Qukart, которая маскируетсвое присутствие в системе при помощи руткит-технологии. Ее RootKit-механизмпрекрасно работает в Windows 95, 98, ME, 2000 и XP.

2.5.2 Классификация руткитов

Условно все руткит-технологииможно разделить на две категории:

Руткиты работающие в режимепользователя (user-mode)

Руткиты работающие в режиме ядра(kernel-mode)

Первая категория основана наперехвате функций библиотек пользовательского режима, вторая — на установке всистему драйвера, осуществляющего перехват функций уровня ядра.

Также, руткиты можно классифицироватьпо принципу действия и по постоянству существования. По принципу действия:

2.5.3 Изменяющие алгоритмы выполнения системных функций

Изменяющие системные структурыданных


3. Признаки заражения компьютера вирусом. Действия при обнаружении заражения

Присутствие вирусов накомпьютере обнаружить сложно, потому что они маскируются среди обычных файлов. Вданной статье наиболее подробно описаны признаки заражения компьютера, а такжеспособы восстановления данных после вирусной атаки и меры по предотвращению ихпоражения вредоносными программами.

Признаки заражения:

вывод на экран непредусмотренныхсообщений или изображений;

подача непредусмотренныхзвуковых сигналов;

неожиданное открытие и закрытиелотка CD-ROM-устройства;

произвольный, без вашегоучастия, запуск на компьютере каких-либо программ;

при наличии на вашем компьютеремежсетевого экрана, появление предупреждений о попытке какой-либо из программ вашегокомпьютера выйти в интернет, хотя вы это никак не инициировали.

Если вы замечаете, что скомпьютером происходит подобное то, с большой степенью вероятности, можнопредположить, что ваш компьютер поражен вирусом.

Кроме того, есть некоторыехарактерные признаки поражения вирусом через электронную почту:

друзья или знакомые говорят вамо сообщениях от вас, которые вы не отправляли;

в вашем почтовом ящике находитсябольшое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегдатакие признаки вызываются присутствием вирусов. Иногда они могут бытьследствием других причин. Например, в случае с почтой зараженные сообщениямогут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Есть также косвенные признакизаражения вашего компьютера:

частые зависания и сбои в работекомпьютера;

медленная работа компьютера призапуске программ;

невозможность загрузкиоперационной системы;

исчезновение файлов и каталоговили искажение их содержимого;

частое обращение к жесткомудиску (часто мигает лампочка на системном блоке);

интернет-браузер «зависает»или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенныхсимптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря нато, что подобные симптомы с малой вероятностью свидетельствуют о заражении, приих появлении рекомендуется провести полную проверку вашего компьютераустановленной на нем антивирусной программой

Действия при обнаружениизаражения:

Отключите компьютер от интернета(от локальной сети).

Если симптом заражения состоит втом, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдаетошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты отсбоев или с диска аварийной загрузки Windows, который вы создавали приустановке операционной системы на компьютер.

Прежде чем предприниматькакие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету,CD-диск, флэш-накопитель и т.д.).

Установите антивирус, если навашем компьютере не установлено никаких антивирусных программ.

Получите последние обновленияантивирусных баз. Если это возможно, для их получения выходите в интернет не сосвоего компьютера, а с незараженного компьютера друзей, интернет-кафе, с работы.Лучше воспользоваться другим компьютером, поскольку при подключении к интернетус зараженного компьютера есть вероятность отправки вирусом важной информациизлоумышленникам или распространения вируса по адресам вашей адресной книги. Именнопоэтому при подозрении на заражение лучше всего сразу отключиться от интернета.

Запустите полную проверкукомпьютера.


4. Методы защиты от вредоносных программ

Стопроцентной защиты от всехвредоносных программ не существует: от эксплойтов наподобие Sasser илиConficker не застрахован никто. Чтобы снизить риск потерь от воздействиявредоносных программ, рекомендуется:

использовать современныеоперационные системы, имеющие серьёзный уровень защиты от вредоносных программ;

своевременно устанавливать патчи;если существует режим автоматического обновления, включить его;

постоянно работать наперсональном компьютере исключительно под правами пользователя, а неадминистратора, что не позволит большинству вредоносных программинсталлироваться на персональном компьютере;

использовать специализированныепрограммные продукты, которые для противодействия вредоносным программамиспользуют так называемые эвристические (поведенческие) анализаторы, то есть нетребующие наличия сигнатурной базы;

использовать антивирусныепрограммные продукты известных производителей, с автоматическим обновлениемсигнатурных баз;

использовать персональныйFirewall, контролирующий выход в сеть Интернет с персонального компьютера наосновании политик, которые устанавливает сам пользователь;

ограничить физический доступ ккомпьютеру посторонних лиц;

использовать внешние носителиинформации только от проверенных источников;

не открывать компьютерные файлы,полученные от ненадёжных источников;

отключить автозапуск со сменныхносителей, что не позволит запускаться кодам, которые находятся на нем безведома пользователя (для Windows необходимо gpedit. msc->Административныешаблоны (Конфигурация пользователя) — >Система->Отключитьавтозапуск->Включен «на всех дисководах»).

Современные средства защиты отразличных форм вредоносных программ включают в себя множество программныхкомпонентов и методов обнаружения «хороших» и «плохих» приложений.Сегодня поставщики антивирусных продуктов встраивают в свои программы сканерыдля обнаружения «шпионов» и другого вредоносного кода, таким образом,всё делается для защиты конечного пользователя. Тем не менее, ни один пакетпротив шпионских программ не идеален. Один продукт может чересчур пристальноотноситься к программам, блокируя их при малейшем подозрении, в том числе«вычищая» и полезные утилиты, которыми вы регулярно пользуетесь. Другойпродукт более лоялен к программам, но может пропускать некоторый шпионский код.Так что панацеи, увы, нет.

В отличие от антивирусныхпакетов, которые регулярно показывают 100% эффективности по обнаружению вирусовв профессиональном тестировании, проводящемся такими экспертами, как «VirusBulletin», ни один пакет против рекламных программ не набирает более 90%,а эффективность многих других продуктов определяется между 70% и 80%.

Это объясняет, почемуодновременное использование, например, антивируса и антишпионской программы,наилучшим образом обеспечивает всестороннюю защиту системы от опасностей,которые могут прийти неожиданно. Практика показывает, что один пакет следуетиспользовать в качестве постоянного «блокировщика», которыйзагружается всякий раз при включении компьютера (например, AVP 6.0), в то времякак ещё один пакет (или более) должен запускаться, по крайней мере, раз внеделю, чтобы обеспечить дополнительное сканирование (например, Ad-Aware). Такимобразом, то, что пропустит один пакет, другой сможет обнаружить.


5. Классификация антивирусных программ5.1 Виды антивирусных программ

Евгений Касперский в 1992 годуиспользовал следующую классификацию антивирусов в зависимости от их принципадействия (определяющего функциональность):

Сканеры (устаревшийвариант — «полифаги») — определяют наличие вируса по базе сигнатур,хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективностьопределяется актуальностью вирусной базы и наличием эвристического анализатора(см.: Эвристическое сканирование).

Ревизоры (класс, близкийк IDS) — запоминают состояние файловой системы, что делает в дальнейшемвозможным анализ изменений.

Сторожа (мониторы) — отслеживаютпотенциально опасные операции, выдавая пользователю соответствующий запрос наразрешение/запрещение операции.

Вакцины — изменяютпрививаемый файл таким образом, чтобы вирус, против которого делается прививка,уже считал файл заражённым. В современных (2007 год) условиях, когда количествовозможных вирусов измеряется сотнями тысяч, этот подход неприменим.

Современные антивирусы сочетаютвсе вышесказанные функции.

Антивирусы так же можноразделить на:

Продукты для домашнихпользователей:

Собственно антивирусы;

Комбинированные продукты (например,к классическому антивирусу добавлен антиспам, файрвол, антируткит и т.д.);

Корпоративные продукты:

Серверные антивирусы;

Антивирусы на рабочих станциях(«endpoint»).


5.2 Современные антивирусные средства защиты и их основные функциональныеособенности

BitDefender Antivirus Plus v10.

Основные функциональныеособенности:

функция Heuristics in VirtualEnvironment — эмуляция виртуальной машины, с помощью которой проходят проверкупотенциально опасные объекты с использованием эвристических алгоритмов;

автоматическая проверка данных,передаваемых по протоколу POP3, поддержка наиболее популярных почтовых клиентов(MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes,Pegasus, The Bat и другие);

защита от вирусов,распространяющихся через файлообменные Peer-2-Peer сети;

формирование личного спам-листапользователя.

Минимальные системныетребования: процессор Intel Pentium II 350 МГц, 128 MB RAM, 60 MBсвободного места на жестком диске, наличие системы Windows 98/NT/Me/2000/XP.

Eset NOD32 2.5

Основные функциональныеособенности:

эвристический анализ,позволяющий обнаруживать неизвестные угрозы;

технология ThreatSense — анализфайлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware),phishing-атак и других угроз;

проверка и удаление вирусов иззаблокированных для записей файлов (к примеру, защищенные системой безопасностиWindows библиотеки DLL);

поверка протоколов HTTP, POP3 иPMTP.

Минимальные системныетребования: процессор Intel Pentium, 32 MB RAM, 30 MB свободного места нажестком диске, наличие системы Windows 95/98/NT/Me/2000/XP.

Антивирус Касперского 6.0

Основные функциональныеособенности:

проверка трафика на уровнепротоколов POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих,специальные плагины для Microsoft Outlook, Microsoft Outlook Express и The Bat!;

предупреждение пользователя вслучае обнаружения изменения как в нормальных процессах, так и при выявлениискрытых, опасных и подозрительных;

контроль изменений, вносимых всистемный реестр;

блокирование опасных макросовVisual Basic for Applications в документах Microsoft Office.

Минимальные системныетребования: процессор Intel Pentium 133 МГц, 32 MB RAM, 50 MB свободногоместа на жестком диске, наличие системы Microsoft Windows 98/NT/2000/Me/XP.

McAfee VirusScan Pro 10 (2006)

Основные функциональныеособенности:

защита от вирусов, макровирусов,троянов, Интернет-червей, spyware, adware, вредоносных элементов управленияActiveX и Java;

автоматическая проверка входящей(POP3) и исходящей (SMTP) электронной почты;

технологии ScriptStopper иWormStopper для блокирования вредоносной активности скриптов и червей.

Минимальные системныетребования: процессор Intel Pentium 133 МГц, 64 MB RAM, 40 MB свободногоместа на жестком диске, наличие системы Windows 98/Me/2000/XP.

Dr. Web 4.33а

Основные функциональныеособенности:

защита от червей, вирусов,троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков,adware, хакерских утилит и вредоносных скриптов;

обновление антивирусных баз донескольких раз в час, размер каждого обновления до 15 KB;

проверка системной памятикомпьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например,CodeRed или Slammer);

эвристический анализатор,позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновленийвирусных баз.

Минимальные системные требования:наличие Windows 95/98/NT/Me/2000/XP. Аппаратные требования соответствуютзаявленным для указанных ОС.


Заключение

Если вы до сих пор ни разу несталкивались с компьютерными вирусами, то обязательно с ними встретитесь. Быловремя, когда антивирусные ПО только появлялись, а вирусы уже «орудовали пополной», принося каждый день убытки на миллионы долларов. Сегодня,конечно, вирусы тоже могут сделать нашу жизнь невыносимой, но в большинствеслучаев даже обычный среднестатистический пользователь может очистить свой ПКот вредоносного ПО. А вот несколько лет назад приходилось полностьюформатировать жесткий диск и начинать все с нуля. Но даже это не всегдаприводило к желаемому результату.

Помните: для защиты вашегокомпьютера, на нем необходима установленная и обновленная антивируснаяпрограмма. Не попадайтесь на уловки мошенников, игнорируйте спам, будьтевнимательны при установке на ваш ПК нелицензионных программ.


Список используемых источников

1.  Статья www.compdoc.ru/secur/soft/comparative-review-modern-antivir/

2.  Айтипедия www.itpedia.ru/index. php/

3.  Википедия (свободная энциклопедия) ru. wikipedia.org/wiki/

4.  Статья roox.net.ru/infosec/04/

5.  Статья www.thg.ru/software/malware_spyware_faq/index.html

6.  Статья www.oxpaha.ru/publisher_234_28501

еще рефераты
Еще работы по информатике, программированию