КОМПЬЮТЕРНЫЕ ВИРУСЫ И БОРЬБА С НИМИ
Компьютерные вирусы и антивирусные программы Персональный компьютер играет в жизни современного человека важную роль, поскольку он помогает ему почти во всех областях его деятельности. Современное общество все больше вовлекается в виртуальный мир Интернета. Но с активным развитием глобальных сетей актуальным является вопрос информационной безопасности, так как проникающие их сети вирусы могут нарушить целостность и сохранность вашей информации. Защита компьютера от вирусов – это та задача, решать которую приходится всем пользователям, и особенно тем, кто активно пользуется Интернетом или работает в локальной сети.
ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain (англ. «мозг» ) «заражал» дискеты персональных компьютеров. В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры и распространяющихся по компьютерным сетям.
Что же такое вирус? И чем биологический вирус отличается от компьютерного? Обратимся к вирусной энциклопедии «Лаборатории Касперского» , электронной энциклопедии Кирилла и Мефодия и к толковому словарю русского языка С. И. Ожегова и Н. Ю. Шведовой
Вирус – мельчайшая неклеточная частица, размножающаяся в живых клетках, возбудитель инфекционного заболевания. Толковый словарь русского языка С. И. Ожегова и Н. Ю. Шведовой
Компьютерный вирус – специально созданная небольшая программа, способная к саморазмножению, засорению компьютера и выполнению других нежелательных действий. Энциклопедия вирусов «Лаборатории Касперского http: //www. viruslist. com/ru/viruses/encyclopedi a
Что же общего между биологическим и компьютерным вирусами? 1. 2. 3. Способность к размножению. Вред для здоровья человека и нежелательные действия для компьютера. Скрытность, т. к. вирусы имеют инкубационный период.
ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ Первый прототип вируса появился еще в 1971 г. . Программист Боб Томас, пытаясь решить задачу передачи информации с одного компьютера на другой, создал программу Creeper, самопроизвольно «перепрыгивавшую» с одной машины на другую в сети компьютерного центра. Правда эта программа не саморазмножалась, не наносила ущерба.
ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ Первые исследования саморазмножающихся искусственных конструкций проводилась в середине прошлого столетия учеными фон Нейманом и Винером.
Джон фон Нейман (1903 - 1957) Норберт Винер (1894 - 1964) Фред Коэн 1984
ЧЕМ ОПАСЕН КОМПЬЮТЕРНЫЙ ВИРУС? После заражения компьютера вирус может активизироваться и начать выполнять вредные действия по уничтожению программ и данных. Активизация вируса может быть связана с различными событиями: • наступлением определённой даты или дня недели • запуском программы • открытием документа…
В настоящее время нет единой классификации вирусных программ, но их можно выделить по следующим признакам: • по среде обитания; • по способу заражения среды обитания; • по степени воздействия; • по особенностям алгоритма.
В зависимости от СРЕДЫ ОБИТАНИЯ вирусы можно разделить на: -загрузочные -файловые -макро-вирусы -сетевые вирусы
Виды вирусов. Загрузочные вирусы заражают загрузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера.
Виды вирусов. Файловые вирусы различными способами внедряются в исполнимые файлы и обычно активизируются при их запуске. Файловые вирусы бывают: -перезаписывающие -вирусы-компаньоны -паразитические вирусы.
Виды вирусов. Макро - вирусы. Наибольшее распространение получили макро -вирусы для интегрированного офисного приложения Microsoft Office. Вредные действия макро - вирусов реализуются с помощью встроенных макросов.
Виды вирусов. Сетевые вирусы. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера.
Лавинообразное заражение компьютеров почтовым вирусом: Вирус Адрес1 Адрес2 Адрес3 Адрес4 Адрес1 Адрес2 Вирус Адрес3 Адрес4 Вирус Адрес5 Адрес6 Вирус Адрес7 Адрес8 Вирус Вирус
5 мая 2000 года Началась всемирная эпидемия заражения почтовым вирусом, когда десятки миллионов, подключенных к сети Интернет, получили почтовое сообщение: рус Ви I Love You
ПО СПОСОБУ ЗАРАЖЕНИЯ ВИРУСЫ ДЕЛЯТСЯ НА n резидентные n нерезидентные.
РЕЗИДЕНТНЫЙ ВИРУС n n при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п. ) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
НЕРЕЗИДЕНТНЫЕ ВИРУСЫ n не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды: n Неопасные n Очень опасные
НЕОПАСНЫЕ ВИРУСЫ n не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
ОПАСНЫЕ ВИРУСЫ n могут привести к различным нарушениям в работе компьютера
ОЧЕНЬ ОПАСНЫЕ n их воздействие может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы могут классифицироваться n n n Простейшие вирусы Сетевые черви Троянские программы Программы показа рекламы Хакерские утилиты
ПРОСТЕЙШИЕ ВИРУСЫ n паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей: Всемирную паутину, электронную почту, интерактивное общение, файлообменные сети и т. д. Многие сетевые черви используют более одного способа распространения своих копий по компьютерам локальных и глобальных сетей. Активация сетевого червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя.
ПОЧТОВЫЕ ЧЕРВИ Почтовые черви для своего распространения используют электронную почту. Червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе. Код червя активируется при открытии (запуске) зараженного вложения или при открытии ссылки на зараженный файл. Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.
ЧЕРВИ, ИСПОЛЬЗУЮЩИЕ «УЯЗВИМОСТИ» ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Червь ищет в сети компьютеры, на которых используются операционная система и приложения, содержащие уязвимости. Червь посылает на компьютер специально оформленный сетевой пакет или запрос, в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение на зараженном компьютере. Профилактическая защита от таких червей состоит в том, что рекомендуется своевременно скачивать из Интернета и устанавливать обновления системы безопасности операционной системы и приложений.
ЧЕРВИ, ИСПОЛЬЗУЮЩИЕ ФАЙЛООБМЕННЫЕ СЕТИ Для внедрения в файлообменную сеть червь копирует себя в папку обмена файлами на одном из компьютеров. В 2001 году стал стремительно распространяться сетевой червь «Nimda» , который атаковал компьютеры сразу несколькими способами: через сообщения электронной почты, через открытые ресурсы локальных сетей, а также используя уязвимости в системе безопасности операционной системы серверов Интернета. Профилактическая защита от таких сетевых червей состоит в том, что рекомендуется своевременно скачивать из Интернета и обновлять антивирусную программу и вирусную базу данных.
ТРОЯНСКИЕ ПРОГРАММЫ Троянская программа, троянец (от англ. trojan) – вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам. Троянские программы обычно проникают на компьютер как сетевые черви, а различаются между собой по тем действиям, которые они производят на зараженном компьютере.
ТРОЯНСКИЕ УТИЛИТЫ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе. В 2003 году широкое распространение получила троянская программа Backdoor. Win 32. ВО, которая осуществляет следующие действия: • высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версию системы, информацию об установленных устройствах; • посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл; • отключает пользователя от сети; • «завешивает» компьютер; • читает или модифицирует системный реестр.
ТРОЯНСКИЕ ПРОГРАММЫ, ВОРУЮЩИЕ ИНФОРМАЦИЮ Троянские программы ворующие информацию, при запуске ищут файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа к Интернету и др. ) и отсылают ее по указанному в коде троянца электронному адресу или адресам. Троянцы данного типа также сообщают информацию о зараженном компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п. ). Некоторые троянцы воруют регистрационную информацию к программному обеспечению.
ТРОЯНСКИЕ ПРОГРАММЫ – ИНСТАЛЛЯТОРЫ ВРЕДОНОСНЫХ ПРОГРАММ Троянские программы этого класса скрытно инсталлируют другие вредоносные программ и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ. Загруженные без ведома пользователя из Интернета программы либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.
ТРОЯНСКИЕ ПРОГРАММЫ – ИНСТАЛЛЯТОРЫ ВРЕДОНОСНЫХ ПРОГРАММ Троянские программы этого класса скрытно инсталлируют другие вредоносные программ и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ. Загруженные без ведома пользователя из Интернета программы либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.
Программы показа рекламы Рекламные программы встраивают рекламу в основную полезную программу. Реклама демонстрируется пользователю в процессе работы основной программы в виде графических баннеров или бегущей строки. Программы шпионы иногда проникают на компьютер под видом рекламных программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей программы. Иногда шпионские программы обнаруживаются в распространенных программных продуктах известных на рынке производителей.
Рекламно – Шпионская программа «mwsbar» В марте 2005 года под видом поисковой панели для браузера Internet Explorer начала распространяться рекламно – шпионская программа «mwsbsr» . Программа регистрирует себя в системном Реестре и добавляет в загрузку, что приводит к изменению настроек браузера и перенаправлению результатов поиска в Интернете на сайт злоумышленника.
Пути проникновения вирусов
Глобальная сеть Internet Электронная почта Локальная сеть Компьютеры «Общего назначения» Пиратское программное обеспечение Ремонтные службы Съемные накопители
Пути проникновения вирусов Глобальная сеть Интернет Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Возможно заражение через страницы Интернет ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, Active. X-компоненты, Java-апплетов. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта, а ничего не подозревающие пользователи зайдя на такой сайт рискуют заразить свой компьютер.
Пути проникновения вирусов Электронная почта Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
Пути проникновения вирусов Локальные сети Третий путь «быстрого заражения» — локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере На следующий день пользователи при входе в сеть запускают зараженные файлы с сервера, и вирус, таким образом, получает доступ на компьютеры пользователей.
Пути проникновения вирусов Персональные компьютеры «общего пользования» Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из учащихся принес на своих носителях вирус и заразил какой-либо учебный компьютер, то очередную «заразу» получат и носители всех остальных учащихся, работающих на этом компьютере. То же относится и к домашним компьютерам, если на них работает более одного человека. Пиратское программное обеспечение Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных «зон риска» . Часто пиратские копии на дисках содержат файлы, зараженные самыми разнообразными типами вирусов.
Пути проникновения вирусов Ремонтные службы Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники — тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности. Съемные накопители В настоящее время большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP 3 -плееры), сотовые телефоны.
ЗАЩИТА ПРОГРАММНЫХ СРЕДСТВ организационные, правовые, технические и технологические меры, направленные на предотвращение возможных несанкционированных действий по отношению к программным средствам и устранение последствий этих действий. (ГОСТ Р 51188 -98)
ПРОФИЛАКТИКА систематические действия эксплуатационного персонала, цель которых - выявить и устранить неблагоприятные изменения в свойствах и характеристиках используемых программных средств, в частности проверить эксплуатируемые, хранимые и (или) вновь полученные программные средства на наличие компьютерных вирусов. (ГОСТ Р 51188 -98)
Признаки заражения компьютера n n Вывод на экран непредусмотренных сообщений или изображений Произвольный запуск какихлибо программ Частые «зависания» и сбои в работе компьютера Исчезновение или изменение файлов и папок И т. д.
Что делать в случае заражения ? ! n n Отключить компьютер от локальной сети и Интернета (если был подключен) Запустить антивирусную программу.
программные методы борьбы с вирусами n - сканирование; n- обнаружение изменений; n - эвристический анализ; n - резидентные "сторожа"; n - вакцинирование.
МЕТОД СКАНИРОВАНИЯ n n заключается в том, что специальная антивирусная программа, называемая сканером, последовательно просматривает проверяемые файлы в поиске так называемых "сигнатур" известных вирусов. При этом под сигнатурой понимают уникальную последовательность байтов, принадлежащую конкретному известному вирусу и не встречающуюся в других программах.
МЕТОД ОБНАРУЖЕНИЯ ИЗМЕНЕНИЙ n n заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению вируса, а затем периодически проверяет их. Если изменение этих характеристик будет обнаружено, то такая программа сообщит пользователю, что, возможно, в компьютер попал вирус. Антивирусные программы, основанные на обнаружении изменений программной среды, называются ревизорами
МЕТОД ЭВРИСТИЧЕСКОГО АНАЛИЗА n n реализуется с помощью антивирусных программ, которые проверяют остальные программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вируса. Так, например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти.
В МЕТОДЕ РЕЗИДЕНТНЫХ СТОРОЖЕЙ n n используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.
ВАКЦИНИРОВАНИЕ n устанавливает способ защиты любой конкретной программы от вируса, при котором к этой программе присоединяется специальный модуль контроля, следящий за ее целостностью.
АНТИВИРУСНЫЕ программы
Антивирусные программы предназначены для обнаружения, удаления и защиты от компьютерных вирусов Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных такими программами файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом.
РАЗЛИЧАЮТ СЛЕДУЮЩИЕ ВИДЫ АНТИВИРУСНЫХ ПРОГРАММ: программы-детекторы n программы-доктора или фаги n программы-ревизоры n программы-фильтры n программы-вакцины или иммунизаторы n
ПРОГРАММЫ-ДЕТЕКТОРЫ n n осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
ПРОГРАММЫ-ДОКТОРА ИЛИ ФАГИ, А ТАКЖЕ ПРОГРАММЫВАКЦИНЫ n n n не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы -доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton Anti. Virus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают. и требуется регулярное обновление версий
ПРОГРАММЫ-РЕВИЗОРЫ n n n относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.
ПРОГРАММЫ-ФИЛЬТРЫ ИЛИ «СТОРОЖА» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: n попытки коррекции файлов с расширениями COM, EXE n изменение атрибутов файла n прямая запись на диск по абсолютному адресу n запись в загрузочные сектора диска n загрузка резидентной программы n
ВАКЦИНЫ ИЛИ ИММУНИЗАТОРЫ n n это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы -доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Опрос пользователей ПК
Антивирусные программы Самые популярные и широко используемые антивирусные программы для защиты компьютеров: AVG, Kaspersky, NOD 32, Dr. Web и многие другие.
Антивирусные программы
Скачать презентацию КОМПЬЮТЕРНЫЕ ВИРУСЫ И БОРЬБА С НИМИ Компьютерные
ИБ-Комп.вирусы.ppt