Долинин А.А., учитель информатики и ИКТ МБОУ «Уренская СОШ № 1»

Компьютерные вирусы и антивирусы

Что такое вирус?

Компьютерный вирус – это программа, которая при запуске способна распространяться без участия человека.

Компью́� терные ви� русы — разновидность самовоспроизводящихся компью́терных программ, которые распространяю́тся, внедряя себя в исполняемый код других программ или в документы специального формата, содержащие макрокоманды, такие как MS Word и Excel.

Вирусом можно считать любой код, то есть программу, призванную выполнить действия, неожиданные для пользователя, несанкционированные им.

Первые признаки вируса в компьютере:• вывод на экран непредусмотренных сообщений или изображений,• подача непредусмотренных звуковых сигналов, • неожиданное открытие и закрытие лотка дисковода, • самопроизвольный запуск на компьютере каких-либо программ,• самопроизвольные попытки вашего компьютера выйти в Интернет.

Косвенные признаки вируса в компьютере: • частые зависания и сбои в работе компьютера, • медленная работа компьютера при запуске программ, • невозможность загрузки операционной системы, или ее неправильная

работа • исчезновение или появление файлов и каталогов или искажение их

содержимого, • частое обращение к жесткому диску (часто мигает лампочка на системном

блоке); • уменьшение объема оперативной памяти;• интернет-браузер «зависает» или ведет себя неожиданным образом

(например, окно программы невозможно закрыть). • Рассылка сообщений без ведома автора

Вредные действия вирусов

звуковые и зрительные эффекты

имитация сбоев ОС и аппаратуры

перезагрузка компью́тера

разрушение файловой системы

уничтожение информации

шпионаж – передача секретных данных

массовые атаки на сайты Интернет

Классификация вирусов по степени опасности

Неопасны

е

•не мешают работе, но уменьшают объём оперативной памяти и дисковой памяти, могут проявляться подачей звуковых сигналов, текстовых

или графических сообщений);

Опасные

•могут привести к сбоям в работе, зависанию компьютера

Очень

опасные

•приводят к потере программ, уничтожению данных

Классификация вирусов по способу активации

Нерезидентные

•являются активными ограниченное время и активизируются, например, при запуске зараженных выполняемых программ или при обработке документов текстовым редактором

Резидентны

е

•при заражении оставляет в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной

системы к объектам заражения: файлам, загрузочным

секторам и т.д., и внедряется в них (к ним относятся стелс-вирусы, название которых происходит от названия самолетов-невидимок

STEALTH). Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера

Файловые

•внедряются в исполняемые файлы и активизируются при их запуске

Макровиру

сы

•обычно заражают текстовые

документы

Загрузочные

•записывают себя в загрузочный сектор диска

Сетевые

•распространяются по сетям, к ним

относятся «вирусы-черви», «трояны»,

«Backdoor»

Классификация вирусов по среде обитания

Кто и почему пишет вирусы? Основную их массу создают студенты и школьники, которые только что изучили

язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения.

Вирусописателей можно разделить на четыре группы.

Значительная часть таких

вирусов их авторами часто

не распространяются, и вирусы через некоторое время «умирают» вместе с дискетами на которых

хранятся.

Из-под пера подобных

«умельцев» часто выходят либо

многочисленные модификации

«классических» вирусов, либо вирусы крайне

примитивные и с большим количеством

ошибок.

Это наиболее опасная группа.

Так как она запускает в мир

«профессиональные» вирусы.

Такие вирусы нередко используют достаточно

оригинальные алгоритмы.

«Исследователи».

Эта группа состоит из довольно сообразительных

программистов, которые занимаются

изобретением принципиально

новых методов заражения, скрытия, противодействия

антивирусам и так далее.

По компьютерным вирусам Россия стоит на третьем месте, передает НТВ. По данным американской компании «Софос» (Sophos), больше всего вирусов и прочих зловредных компьютерных программ исходит из США, Китая и России.Злоумышленники при этом делают упор не на массовых интернет-червей, а на сфокусированные атаки с помощью вирусов-троянов.А вот по спаму (нежелательной компьютерной рекламе) Россия заметно отстает. Здесь в тройку лидеров вошли США, Китай и Южная Корея. Наша страна на 11 месте.

Классические вирусы Файловые – заражаю́т файлы *.exe, *.sys, *.dll

(редко – внедряю́тся в тексты программ).

Загрузочные (бутовые, от англ. boot – загрузка) – заражаю́т загрузочные сектора дисков и дискет, при загрузке сразу оказываю́тся в памяти и получаю́т управление.

Полиморфные – при каждом новом заражении немного меняю́т свой код.

Макровирусы – заражаю́т документы с макросами (*.doc, *.xls, *.mdb).

Скриптовые вирусы – скрипт (программа на языке Visual Basic Script, JavaScript, BAT, PHP) заражает командные файлы (*.bat), другие скрипты и Web-страницы (*.htm, *.html).

11

Сетевые вирусы

Почтовые черви – распространяю́тся через электронную́ почту в виде приложения к письму или ссылки на вирус в Интернете; рассылаю́т себя по всем обнаруженным адресам

Сетевые черви – проникаю́т на компью́тер через «дыры» в системе, могут копировать себя в папки, открытые для записи (сканирование – поиск уязвимых компью́теров в сети)

IRC-черви, IM-черви – распространяю́тся через IRC-чаты и интернет-пейджеры (ICQ, AOL, Windows Messenger, MSN Messenger)

P2P-черви – распространяю́тся через файлообменные сети P2P (peer-to-peer)

распространяются через компьютерные сети, используют «дыры» – ошибки в защите Windows, Internet Explorer,

Outlook и др.

Троянские программы

Backdoor – программы удаленного администрирования

воровство паролей (доступ в Интернет, к почтовым ящикам, к платежным системам)

шпионы (введенный с клавиатуры текст, снимки экрана, список программ, характеристики компью́тера, промышленный шпионаж)

DOS-атаки (англ. Denial Of Service – отказ в обслуживании) –массовые атаки на сайты по команде, сервер не справляется с нагрузкой

прокси-сервера – использую́тся для массовой рассылки рекламы (спама)

загрузчики (англ. downloader) – после заражения скачиваю́т на компью́тер другие вредоносные программы

позволяют получать управление удаленным компьютером, распространяются через компьютерные сети, часто при установке

других программ (зараженные инсталляторы)

Что заражают вирусы?

Вирусы

программы – *.exe, *.com загрузочные сектора дисков и

дискет командные файлы – *.bat драйверы – *.sys библиотеки – *.dll документы с макросами – *.doc, *.xls, *.mdb

Web-страницы со скриптами

программы – *.exe, *.com загрузочные сектора дисков и

дискет командные файлы – *.bat драйверы – *.sys библиотеки – *.dll документы с макросами – *.doc, *.xls, *.mdb

Web-страницы со скриптами

заражают не заражают

текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif

звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) лю́бые данные (без программного

кода)

текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif

звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) лю́бые данные (без программного

кода)

Для того, чтобы вирус смог выполнить какие-то действия, он должен оказаться в памяти в виде

программного кода и получить управление.

Для того, чтобы вирус смог выполнить какие-то действия, он должен оказаться в памяти в виде

программного кода и получить управление.

Способы заражения запустить зараженный файл; загрузить компью́тер с зараженной дискеты

или диска; при автозапуске CD(DVD)-диска или флэш-

диска; открыть зараженный документ с макросами

(Word или Excel); открыть сообщение e-mail с вирусом; открыть Web-страницу с вирусом; разрешить установить активное содержимое

на Web-странице.

1. Осторожно относитесь к «почтальонам» - старайтесь не открывать почту от незнакомых адресатов, особенно если имя отправителя

невразумительно, например – mhdf1226hgkjh@mail.ru,

2. Не открывайте письма с откровенно рекламным или непонятным заголовком,

3. Не открывайте ответы от адресатов, которым вы не писали - заголовок такого письма обычно содержит «Re:»,

4. Не скачивайте и не открывайте файлы, вложенные в такие письма независимо от их расширений, особенно если в письме говорится

что все инструкции или пояснения – в файле,

5. Не отвечайте на электронные письма от любых адресатов, просящих уточнить номера ваших телефонов, счетов, паролей,

6. не лазайте по хакерским сайтам и порносайтам – обязательно получите трояна,

7. не рекомендуется кликать на баннеры, предлагающие халявный заработок, отличнейшую работу, безумные скидки, предлагающие

вступить в бесплатную игру - там ничего хорошего не ждёт,

8. установите и настройте комплексную антивирусную программу, желательно лицензионную (например – Dr.Web или Касперского),

обязательно обновляйте антивирусные базы,

9. желательно установить и наладить сетевой экран – файервол / firewall, однако стоит заметить что для рядового пользователя это не

всегда просто,

10. и напоследок – отключайтесь от сети и internet, когда не используете её.

Классификация антивирусных программ.

Антивирусные программы

AVP = Antiviral Toolkit Pro (www.avp.ru) – Е. Касперский DrWeb (www.drweb.com) – И. Данилов Norton Antivirus (www.symantec.com) McAfee (www.mcafee.ru) NOD32 (www.eset.com)

Условно-бесплатные:

Бесплатные: Avast Home (www.avast.com) Antivir Personal (free-av.com) AVG Free (free.grisoft.com)

Есть бесплатные пробные версии!!

Полифаги

основан на проверке файлов, загрузочных секторов дисков и оперативной

памяти и поиске в них известных и новых(неизвестных полифагу) вирусов.Для поиска известных вирусов используется

так называемые маски. Маской вируса является некоторая постоянная последовательность

программного кода, специфичная для конкретного вируса. Если антивирусная программа

обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным

и подлежит лечению.

большие размеры используемых

ими антивирусных баз данных

универсальность

Антивирус Касперского Файловый антивирус (проверка файлов в момент

обращения к ним) Почтовый антивирус (проверка входящих и

выходящих сообщений) Веб-антивирус (Интернет, проверка Web-страниц) Проактивная защита (попытки обнаружить

неизвестные вредоносные программы):▫ слежение за реестром▫ проверка критических файлов▫ сигналы о «подозрительных» обращениях к памяти

Анти-шпион (борьба с Интернет-мошенничеством) Анти-хакер (обнаружение сетевых атак) Анти-спам (фильтр входящей почты)

Антивирус Касперского

ПКМПКМ

Антивирус Касперского

ПКМПКМ

Проводник: запуск через контекстное меню́

23

Антивирус DrWeb (сканер)Запуск: Пуск – Сканер DrWeb

старт

настройкинастройки

выбрать, что проверяем (ЛКМ)

выбрать, что проверяем (ЛКМ)

результатырезультаты

24

Антивирус DrWeb

ПКМПКМ

Проводник: запуск через контекстное меню́

ФагиФаги также как и полифаги не только не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляю́т из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению́» файлов.

Сканеры

Сохранениеконтрольных сумм

Проверка(данные изменились?)

Вирусне обнаружен

Подсчет контрольных

сумм

Обнаружен вирус

Антивирусы-сканеры

• умею́т находить и лечить известные им вирусы в памяти и на диске;

• использую́т базы данных вирусов;• ежедневное обновление баз данных через Интернет.

лечат известные им вирусы

не могут предотвратить заражение чаще всего не могут обнаружить и вылечить

неизвестный вирус

Антивирусы-мониторы

постоянно находятся в памяти в активном состоянии

непрерывное наблю́дение блокирую́т вирус в момент заражения могут бороться с неизвестными вирусами

замедление работы компью́тера в случае ошибки ОС может выйти из строя

• перехватываю́т действия, характерные для вирусов и блокирую́т их (форматирование диска, замена системных файлов);

• блокирую́т атаки через Интернет;• проверяю́т запускаемые и загружаемые в память файлы

(например, документы Word);• проверяю́т сообщения электронной почты;• проверяю́т Web-страницы;• проверяю́т сообщения ICQ

ФильтрыПрограммы-фильтры или «сторожа» представляют собой

небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера,

характерных для вирусов. Такими действиями могут являться:Попытки коррекции файлов с расширениями COM, EXE;

Изменение атрибутов файла;Прямая запись на диск по абсолютному адресу;

Запись в загрузочные сектора диска;Загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает

запретить соответствующее действие.

Иммунизаторы

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать как зараженными и поэтому не внедриться. В настоящее время программы-вакцины имеют ограниченное применение.

Девятка знаменитых антивирусов

1место: Eset(NOD32);2место:Kaspersky;3место:Dr. Web;4место:Norman;5место:McAfee Inc. (formerly Network Associates); 6место:VirusBaster;7место:Sophos;8место:Frisk (F-Prot);9место:Symantec (Norton).

1. Kaspersky anti-virus- 99.46% 2. F-Secure 2006 версия 6.10.330 - 96.92%3. CyberScrub версия 1.0 - 96.62%4. eScan Virus Control версия 2.6.522.9 - 95.21%5. McAfee версия 10.0.27 - 94.80%6. BitDefender версия 9 - 90.75%7. Nod32 версия 2.50.41 - 88.79%8. AntiVir Personal версия 6.32.00.51 - 86.55%9. MKS_VIR 2005 - 86.16%10. Norton Professional версия 2006 - 85.17%11. F-Prot версия 3.16d - 84.96%12. Dr. Web версия 4.33 - 84.68%13. Panda Titanium 2006 версия 5.01.00 - 82.02%14. Virus Chaser версия 5.0a - 79.37%15. AVG версия 7.1.371 - 77.97%16. PC-Cillin 2006 версия 14.00.1341 - 77.84%17. Avast версия 4.6.744 - 76.93%18. BullGuard версия 6 - 74.02%19. UNA версия 1.83 - 69.83% 20. Norman версия 5.83.07 - 69.13%21. Sophos Sweep версия 3.99 - 67.76%22. VBA32 версия 3.10.5 - 63.36%23. Zondex Guard версия 5.3.3 - 56.81%24. Vexira 2005 версия 5.001.32 - 51.62%

% обнаруженных вирусов

26. E-Trust версия 7.0.6.7 - 47.84%27. ZoneAlarm with VET Antivirus версия 6.1.737.000 - 47.70%28. Digital Patrol версия 5.00.08 - 47.02%29. Ewido версия 3.5 - 46.31%30. V3Pro 2004 - 44.16%31. Solo 4.0 версия 3.1.0 - 42.45%32. Fire версия 2.7 - 38.38%33. Protector Plus версия 7.2.H01 - 38.06%34. A Squared Personal версия 1.6 - 35.31%35. Quick Heal версия 8.00 - 33.76%36. ViRobot Expert версия 4.0 - 32.37%37. AntiTrojan Shield версия 2.1.0.14 - 26.45%38. PC Door Guard версия 4.2.0.35- 26.05%39. Trojan Hunter версия 4.2.908 - 11.53%40. VirIT версия 5.2.53 - 10.33%41. Tauscan версия 1.70.1414 - 7.21%42. Trojan Remover версия 6.4.4 - 7.19%43. The Cleaner версия 4.1.42.52 - 5.97%44. CounterSpy версия 1.5.82 - 5.87%45. SpySweeper версия 4.5.7.642 - 2.99%46. IP Armor версия 5.46.0703 - 2.46%47. Hacker Eliminator версия 1.2 - 1.77%48. Spyware Doctor версия 3.2.2.453 - 1.55%49. Abacre 1.3 - 0.00%50. SpyHunter 2.0 - 0.00%

Простые правила работы с антивирусными программами:

- не ставьте на компьютер две антивирусных программы одновременно

- обновляйте вирусные базы регулярно: хороший антивирус предложит вам автообновление - не отказывайтесь!

- не забудьте зайти в "настройки" и изменить умолчания, если необходимо (иначе будете потом ругаться, что, мол, съел он у меня всю почту..."):"что делать с зараженными файлами - удалить, заблокировать, вылечить и т.п""период автообновления - раз в неделю, в месяц и т.п.""назначенные задания - когда и как регулярно производить сканирование компьютера" "типы файлов для проверки - какие сканировать, какие пропустить"

Другие виды антивирусной защитыбрандмауэры (файрволы, сетевые экраны) блокирую́т «лишние» обращения в сеть и запросы из сети

аппаратные антивирусы защита от изменения загрузочного сектора запрет на выполнение кода из области данных аппаратный брандмауэр ZyWALL UTM

(ZyXEL и Лаборатории Касперского)

онлайновые (on-line) антивирусы устанавливаю́т на компью́тер модуль ActiveX,

который проверяет файлы… или файл пересылается на сайт разработчика антивирусов

http://www.kaspersky.ru/virusscannerhttp://www.bitdefender.com http://security.symantec.comhttp://us.mcafee.com/root/mfs/default.asp

чаще всего не умею́т лечить, предлагает купить антивирус-доктор

Профилактика

делать резервные копии важных данных на CD и DVD (раз в месяц? в неделю́?)

использовать антивирус-монитор, особенно при работе в Интернете

при работе в Интернете вклю́чать брандмауэр (англ. firewall) – эта программа запрещает обмен по некоторым каналам связи, которые использую́т вирусы

проверять с помощью́ антивируса-доктора все новые программы и файлы, дискеты

не открывать сообщения e-mail с неизвестных адресов, особенно файлы-приложения

иметь загрузочный диск с антивирусом

Если компьютер заражен… Отклю́чить компью́тер от сети. Запустить антивирус. Если не помогает, то… выклю́чить компью́тер и загрузить его с загрузочного

диска (дискеты, CD, DVD). Запустить антивирус. Если не помогает, то…

удалить Windows и установить ее заново. Если не помогает, то…

отформатировать винчестер (format.com). Если сделать это не удается, то могла быть испорчена таблица разделов диска. Тогда …

создать заново таблицу разделов (fdisk.exe). Если не удается (винчестер не обнаружен), то…

можно нести компью́тер в ремонт.

Используемая литература для презентации

• Презентация К.Полякова «Программное обеспечение»• Леонтьев В. П. Новейшая энциклопедия персонального

компьютера 2006• Угринович Н. Д. Практикум по информатике и

информационным технологиям 10-11 класс• Угринович Н. Д. Информатика и информационные

технологии 10-11 класс• Кривич Е. Я. Персональный компьютер для школьников• Сайт в Интернете www.Roln.ru• Журнал «Мой друг компьютер»