Вирусы антивирусные программы. Реферат: Вирусы и антивирусные программы. Как защититься от вирусов

Тема 1.3: Системное программное обеспечение

Тема 1.4: Сервисное программное обеспечение и основы алгоритмизации

Введение в экономическую информатику

1.4. Сервисное программное обеспечение ПК и основы алгоритмизации

1.4.1. Сервисные программные средства (стандартные и служебные программы, архивация данных, антивирусные программы)

1.4.1.3. Защита от компьютерных вирусов

Компьютерные вирусы и их методы классификации

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных.

Известно много различных способов классификации компьютерных вирусов.

Одним из способов классификации компьютерных вирусов – это разделение их по следующим основным признакам:

• среда обитания;
• особенности алгоритма;
• способы заражения;
• степень воздействия (безвредные, опасные, очень опасные).

В зависимости от среды обитания основными типами компьютерных вирусов являются:

1. Программные (поражают файлы с расширением. СОМ и.ЕХЕ) вирусы.
2. Загрузочные вирусы.
3. Макровирусы.
4. Сетевые вирусы.

Программные вирусы – это вредоносный программный код, который внедрен внутрь исполняемых файлов (программ). Вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением.

По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удаляя информации, хранящиеся на жестком диске. Этот процесс называется вирусной атакой.

Загрузочные вирусы – поражают не программные файлы, а загрузочный сектор магнитных носителей (гибких и жестких дисков).

Макровирусы – поражают документы, которые созданы в прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся документы текстового процессора WORD, табличного процессора Excel. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Сетевые вирусы пересылаются с компьютера на компьютер, используя для своего распространения компьютерные сети, электронную почту и другие каналы.

По алгоритмам работы различают компьютерные вирусы:

• черви (пересылаются с компьютера на компьютер через компьютерные сети, электронную почту и другие каналы);
• вирусы-невидимки (Стелс-вирусы);
• троянские программы;
• программы – мутанты;
• логические бомбы;
• и другие вирусы.

В настоящее время к наиболее распространенным видам вредоносных программ, относятся: черви, вирусы, троянские программы.

Признаки заражения ПК вирусом

Желательно не допускать появление вирусов в ПК, но при заражении компьютера вирусом очень важно его обнаружить.

Основные признаки появления вируса в ПК:

• медленная работа компьютера;
• зависания и сбои в работе компьютера;
• изменение размеров файлов;
• уменьшение размера свободной оперативной памяти;
• значительное увеличение количества файлов на диске;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов.
• И другие признаки.

Способы защиты от компьютерных вирусов

Одним из основных способов борьбы с вирусами является своевременная профилактика.

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса.
2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков.
3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры.
4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.
5. создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки
6. Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

1. Эвристический модуль – для выявления неизвестных вирусов.
2. Монитор – программа, которая постоянно находится в оперативной памяти ПК
3. Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов
4. Почтовая программа (проверяет электронную почту)
5. Программа сканер – проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков
6. Сетевой экран – защита от хакерских атак

К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

Антивирус Касперского 7.0

Программа состоит из следующих компонентов:

1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.
2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.
3. Веб-Антивирус – компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.
4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

Рис. 1.

Антивирус Касперского 7.0 – это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО.

Основные функции:

AVAST!

Антивирусная программа avast! v. home edition 4.7 (бесплатная версия) русифицирована и имеет удобный интерфейс, содержит резидентный монитор, сканер, средства автоматического обновление баз и т.д.

Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая система, электронная почта и т.д. К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта.

Рис. 2.

Norton AntiVirus

Состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.

Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.

Автозащита автоматически:

1. Обнаруживает и защищает ПК от всех типов вирусов, включая макро-вирусы, вирусы загрузочных секторов, вирусы резидента памяти и троянских коней, червей и других вредоносных вирусов.
2. Защищает компьютер от вирусов, которые передаются через сеть Интернет, проверяя все файлы, которые загружаются из Интернета.

Чтобы пользоваться предварительным просмотром презентаций создайте себе аккаунт (учетную запись) Google и войдите в него: https://accounts.google.com

Подписи к слайдам:

Компьютерные вирусы и антивирусные программы

Компьютерный вирус – это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно измененные) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причем эти копии сохраняют возможность к «размножению».

Процесс внедрения вирусом своей копии в другую программы называется заражением, а программа или иной объект, содержащий вирус – зараженным. Активизация компьютерного вируса может вызывать уничтожение программ и данных.

Большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ. Одним из "пионеров" среди компьютерных вирусов считается вирус " Brain ", созданный пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров. В на­стоящее время известно более пятидесяти тысяч вирусов, заражающих компьютеры с различными операционными системами и распространяющихся по компьютерным сетям.

Дискеты. Самый распространённый канал заражения в 1980-1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах. Флеш-накопители (цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, мобильные телефоны) Электронная почта Системы обмена мгновенными сообщениями. Веб-страницы. Жесткий диск, на который попал вирус в результате работы с зараженными программами; Вирус, оставшийся в оперативной памяти после предшествующего пользователя. Основные источники вирусов:

уменьшение объема свободной оперативной памяти; замедление загрузки и работы компьютера; непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов; ошибки при загрузке операционной системы; невозможность сохранять файлы в нужных каталогах; непонятные системные сообщения, музыкальные и визуальные эффекты и т.д. Признаки активной фазы вируса: исчезновение файлов; форматирование жесткого диска; невозможность загрузки файлов или операционной системы. Основные ранние признаки заражения компьютера вирусом:

П о величине вредных воздействий вирусы можно разделить на: неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, графическими, звуковыми и другими внешними эффектами; опасные, которые могут привести к сбоям и зависаниям при работе компьютера; очень опасные, активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и так далее.

по поражаемым объектам по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux); по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты); по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.); по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.). Принято разделять вирусы:

Загрузочные вирусы передаются через зараженные загрузочные сектора при загрузке ОС и внедряется в оперативную память(ОП), заражая другие файлы. Очень опасные, могут привести к полной потере всей информации, хранящейся на диске! Правила защиты: 1)Не рекомендуется запускать файлы сомнительного источника (например, перед загрузкой с диска А – проверить антивирусными программами); 2) установить в BIOS ПК (Setup) защиту загрузочного сектора от изменений. По среде обитания вирусы бывают:

2) Файловые вирусы способны внедряться в программы и активизируются при их запуске. Из ОП вирусы заражают другие программные файлы (com , exe , sys) меняя их код вплоть до момента выключения ПК. Передаются с нелегальными копиями популярных программ, особенно компьютерных игр. Но не могут заражать файлы данных (изображения, звук). 3) загрузочно-файловые вирусы способные поражать как код boot -секторов, так и код файлов;

4) Макровирусы - заражают файлы данных (документов Office, Autocad и др.). Эти вирусы являются фактически макрокомандами (макросами) и встраиваются в документ, заражая стандартный шаблон документов. Угроза заражения прекращается после закрытия приложения. При открытии документа в приложениях Word и Excel сообщается о присутствии в них макросов и предлагается запретить их загрузку. Выбор запрета на макросы предотвратит загрузку от зараженных, но и отключит возможность использования полезных макросов в документе. 5) вирусы-невидимки или Стелс-вирусы фальсифицируют информацию прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth -технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах; 6) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать нетрудоспособными;

7) Сетевые вирусы – распространяются по компьютерной сети посредством сетевых служб и протоколов. (рассылка почты, доступ к файлам по FTP, доступ файлам через службы локальных сетей) Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение. Троянские программы - имитируют какие-либо полезные программы, новые версии популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия. утилиты скрытого администрирования. Они самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, перезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, уничтожения данных.

Троянские программы: Логические бомбы (временные) - удаляющие/модифицирующие) информацию в определенное время либо по условию. Шпионы – собирающие информацию и складирующие ее или отправляющие данные по эл. почте Back Door программы – удаленное управление компьютером или получение команд от злоумышленников

В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности: Не работать под привилегированными учётными записями без крайней необходимости. Не запускать незнакомые программы из сомнительных источников. Стараться блокировать возможность несанкционированного изменения системных файлов. Отключать потенциально опасный функционал системы (например, autorun -носителей в MS Windows, сокрытие файлов, их расширений и пр.). Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя. Пользоваться только доверенными дистрибутивами. Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы. Профилактика и лечение

Антивирусные программы

Антивирусная программа - программа, предназначенная для борьбы с компьютерными вирусами. В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов. Для нормальной работы на ПК каждый пользователь должен следить за обновлением антивирусов. Если антивирусная программа обнаруживает вирус в файле, то она удаляет из него программный код вируса. Если лечение невозможно, то зараженный файл удаляется целиком.

Антивирусные сканеры Детекторы(Полифаги) Антивирусные сторожа (мониторы) CRC – СКАНЕРЫ (Ревизоры) Блокировщики Типы антивирусных программ

После запуска проверяют файлы и оперативную память и обеспечивают нейтрализацию найденного вируса. Антивирусные сканеры

проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Самые универсальные и эффективные антивирусные программы. Проверяют файлы, загрузочные сектора дисков и ОП на поиск новых и неизвестных вирусов. Недостаток - возможность защиты только от известных вирусов. Занимают много места, работают не быстро. Программы-детекторы Norton Antivirus Dr web Avast Kaspersky AntiVirus

постоянно находятся в ОП и обеспечивают проверку файлов в процессе их загрузки в ОП, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций. Программы-мониторы (программы-фильтры) Process Monitor

Следят за изменениями файловой системы, для этого они запоминают названия файлов и папок, размеры файлов и их контрольные суммы. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании. Достоинствами ревизоров как антивирусов являются: Быстрота проверки. В отличие от сканеров, которые должны содержимое файлов сверить с тысячами известных вирусных сигнатур, ревизор подсчитывает лишь контрольную сумму. Это даёт экономию времени в десятки раз. Выявление любых новых вирусов. Если вирус отсутствует в базе данных (еще не занесён в базу или у данного пользователя устаревшая база), то сканер обычно не замечает вирус. Но любой вирус изменяет систему данных на диске, следовательно, выявляется ревизором. Возможность восстановления некоторых испорченных и уничтоженных файлов, а также лечения некоторых файлов, заражённых неизвестными вирусами. Ревизоры сохраняют копии коротких файлов, наиболее важных файлов и файлов, чаще всего становящихся жертвами вирусов. Ревизоры не в состоянии защитить компьютер от всех угроз, поэтому они обычно используются в комплексе с другими антивирусными средствами. Программы - Ревизоры ADinf32

Блокировщики перехватывающие вирусо опасные ситуации и сообщающие об этом пользователю. К вирусо опасным относятся вызовы на открытие для записи в выполняемые файлы, запись в boot -сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний. Антивирусные блокировщики могут входить в BIOS Setup .

В России наибольшее распространение получили антивирусные программы Лаборатории Касперского (Anti-IViral Toolkit Pro) и ДиалогНаука (Adinf,Dr.Web). Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер, резидентный сторож AVP Монитор, программу администрирования установленных компонентов, Центр управления и ряд других. AVP Сканер помимо традиционной проверки выполняемых файлов и файлов документов обрабатывает базы данных электронной почты.

Антивирусные программы семейства Dr.Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы. DrWeb

Ревизор диска ADinf32 - Эта антивирусная программа фиксирует любые изменения в файловой системе компьютера и обладает удобным пользовательским интерфейсом. Оставаясь одним из самых надежных средств обнаружения и удаления компьютерных вирусов, программа ADinf уже давно многими используется как повседневное средство контроля за состоянием информации на дисках компьютера. Может найти потерявшийся файл, проанализировать результаты сбоя компьютера, убедиться в сохранности баз данных и документов, найти, куда вдруг пропало все свободное место на диске, обнаружить и обезвредить компьютерный вирус. ADinf32

популярная бесплатная антивирусная программа для операционных систем Windows, Linux, Mac OS, а также для КПК на платформе Palm, Android иWindows CE. Всего же антивирусом avast ! пользуются почти 200 миллионов пользователей во всём мире. Avast

Norton Antivirus является «самым-самым» сразу по целому ряду позиций. Обладатель самой большой базы данных вирусов. Norton Antiviras - программа на редкость «въедливая», из-под ее контроля не уйдет ни один запущенный на компьютере процесс. Включает: защиту от вирусов, защиту от программ-шпионов, защиту от руткитов, импульсные обновления и др. Norton Antivirus

В состав Kaspersky AntiVirus Personal Pro входят: Kaspersky AntiVirus Сканер, Kaspersky AntiVirus Монитор, Kaspersky AntiVirus Центр управления. AVP Сканер имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов: полиморфных или самошифрующихся вирусов; стелс-вирусов или вирусов-невидимок; макро вирусов, заражающих документы Word и таблицы Excel . Антивирус Касперского

: ознакомить учащихся с понятием вирус, антивирусная программа, видами вирусов, современными антивирусами, со способами борьбы с вирусами.

Оборудование:

• Компьютерный класс
• Проектор
• Программное обеспечение: электронная лекция (Приложение 1 ), программы Microsoft Power Point, Microsoft Excel, Microsoft Security, Avast
• Флеш-карта, зараженная вирусом
• Жетоны с номерами

Литература:

• Н.Д. Угринович Информатика. Базовый курс 7 класс. Москва, БИНОМ, 2005
• www.metod-kopilka.ru (презентация учителя Журавлёва А.А. МБОУ СОШ № 3 г. Донецк)
• http://ru.wikipedia.org/
• http://www.ctspi.ru/
• http://informatika.sch880.ru/
• http://www.leon4ik.com (мультфильм)

• Словесный (лекция, беседа-дискуссия).
• Наглядный (электронная презентация, обзор антивирусов).
• Игровой (опрос учеников по теме)

Ход урока

1. Организационный момент

2. Введение нового материала (используется электронная презентация).

1. Исторические сведения

Первое заражение вирусом произошло в 1986 в США. Вирус по имени «Brain» (мозг) заражал дискеты, создал его пакистанский программист Алви. Только в США этот вирус поразил свыше 18 тысяч ПК.

Когда стали разрабатывать вирусы, то преследовали только исследовательский характер, но постепенно это превратилось во вражеское отношение к пользователям.

2. Что такое компьютерные вирусы?

Компьютерные вирусы – это грамотно написанная программа, которая может размножаться, самовольно копироваться, самопроизвольно присоединяться к другим программам и незаметно для пользователей внедрять свой код в файлы документы, Web-страницы Интернета и сообщения электронной почты

3. Признаки появления вирусов

1. Прекращение работы или неправильная работа программ, которые ранее функционировали.
2. Медленная работа ПК
3. Невозможность загрузки ОС
4. Исчезновение файлов и папок или искажение их содержимого.

4. Чем опасен компьютерный вирус?

После заражения ПК вирус может активизироваться (или проснуться) и начать свои вредоносные действия.

Активизация вируса может быть связана с какими-то событиям; (например):

• Наступление определенной даты
• Запуск программы
• Открытие документа

5. Виды компьютерных вирусов

Компьютерные вирусы различают по среде обитания и по степени воздействия.

По «степени воздействия»

Компьютерные вирусы по «среде обитания»

6. Это надо знать

Если при переходе на, какой то сайт у вас возникло сообщение, что ваш компьютер заражен одним или несколькими антивирусами, не спешите соглашаться с предлагаемой проверкой вашего компьютера и установкой для этих целей бесплатной программы. Сейчас получили распространение так называемые rogueware, ложные антивирусы, цель которых заставить пользователя заплатить деньги за платную версию, якобы качественного антивирусного обеспечения. Если вы согласитесь с такой установкой, программа, работающая на вашем компьютере, будет продолжать «блокировать и уничтожать» вирусы, показывая свое «качество». Реально программа ничего не делает, а просто выдает окна об обнаруженных вирусах и предложениях купить платную версию. По данным Symantec, в США уже существуют десятки миллионов компьютеров, на которых установлены более 250 разновидностей таких ложных антивирусных программ.

7. Опасные вирусы

Наибольшую опасность создают почтовые сетевые вирусы, которые распространяются по компьютерным сетям во вложенных в почтовое сообщение файлах. Активизация почтового вируса и заражение компьютера может произойти при просмотре сообщения электронной почты.

Распространение компьютерных вирусов (рассматривается на 11 слайде).

8. Всемирная эпидемия заражения почтовым вирусом началась 5 мая 2000 года , когда десятки миллионов компьютеров, подключённых к сети Интернет, получили почтовое сообщение и привлекательным названием I LOVEYOU . Сообщение содержало вложенный файл, являющийся вирусом. После того, как получатель прочитывал это сообщение, вирус заражал компьютер и начинал разрушать файловую систему.

9. Как уберечься от вирусов?

В целях профилактической защиты от компьютерных вирусов не рекомендуется запускать программы, открывать документы и сообщения электронной почты, полученные из сомнительных источников и предварительно не проверенные антивирусными программами.

10. Антивирусные программы

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы используют постоянно обновляемые списки известных вирусов, которые включают название вируса и его программный код.

Если антивирусная программа обнаружит программный код вируса в каком-либо файле, то файл считается заражённым вирусом и подлежит «лечению», то есть из него удаляется программный код вируса.

Если лечение невозможно, то файл удаляется целиком

11. Процесс заражения вирусом и лечения файла. (рассматривается на слайдах 16-17)

12. Антивирусные программы

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы:

13. Самые популярные вирусы прошлой неделе. (слайд 20) (Перед уроком эти данные необходимо обновить.)

3. Беседа-дискуссия с учащимися

1. Как вы думаете, кто и зачем создаёт компьютерные вирусы?
2. Что лучше: скачанный антивирус в Интернете или лицензионный антивирус?

(Каждый ученик должен выдвинуть свою гипотезу и отстоять свою точку зрения)

4. Обзор и сравнительный анализ антивирусов Microsoft Security и Avast. Лечение флеш-карты с помощью антивируса Microsoft Security.

5. Итог урока проводится в форме игры «Спасём компьютер от вирусов»

Ученикам предлагается ответить на 6 вопросов. За каждый верный ответ ученики получают жетон с номером, если никто правильно не ответил, то жетон не выдаётся. Из полученных жетонов ученики должны сложить код, ввести в его в компьютер (предварительно создан лист в программе Microsoft Excel (Приложение 2 )).

Вопросы :

1. В каком году произошло первое заражение вирусом? (жетон 6)
2. В каком году произошло массовое заражение вирусом? (жетон 2)
3. Как назывался первый компьютерный вирус? (жетон 3)
4. Какой способ борьбы с вирусами является самым эффективным? (жетон 5)
5. Виды вирусов (жетон 1)
6. Виды антивирусов (жетон 4)

Домашнее задание

п. 1.7, записи в тетради

В конце урока ученикам предлагается посмотреть мультфильм Гроза (24 серия) из цикла Почемучка.

Компьютерные вирусы и антивирусные программы

Преподаватель:

Студент:

Екатеринбург

2013

Введени е

Мы живём в 21 веке, это век компьютерной информационной технологии.

Жизнь сегодняшнего человека невозможно представить без оперативного хранения объёмной информации и доступа к ней. Человек не может справиться с быстрым потоком информации. Компьютер является самым ёмким хранилищем всей информации. Но вместе с тем, компьютер породил другую проблему - проблему надёжности, защищённости, длительного хранения информации. И виновником всего стал компьютерный вирус.

Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность...

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Всё чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении всё более совершенных, самовыражающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растёт. Сталкивался с этой проблемой и я, и все те, кто работает с компьютером. На сегодняшний день в работе с компьютером нужно научиться управлять и защищать компьютер от компьютерного вируса. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусов и практической защиты от них. Всё сказанное и явилось основанием выбора темы моей курсовой работы по информатике «Компьютерные вирусы и антивирусное программное обеспечение».

Гипотеза. Взявшись за данную тему, я предположил, что усилить защиту персональных компьютеров от компьютерных вирусов можно, если на основании углублённого знания теоретических основ компьютерной вирусологии, будет разработана система последовательных практических действий, предупреждающих заражение вирусом или предусматривающих использование эффективных методов защиты.

Объектом исследования является практика обнаружения и борьбы с компьютерным вирусом.

Предметом исследования – обнаружение и борьба с компьютерным вирусом при работе с персональным компьютером.

Цель работы: разработать систему последовательных практических действий, предупреждающих заражение вирусом или предусматривающих использование эффективных методов борьбы и описать технологический процесс защиты персональных компьютеров от вирусов.

Задачи:

1. Изучить теоретические основы компьютерной вирусологии (сущность, свойства, классификация вирусов);
2. Ознакомиться с историей компьютерной вирусологии;
3. Проанализировать собственную практику обнаружения компьютерного вируса и борьбу с ним;
4. Совершенствовать исследовательскую и собственную информационную культуру.

Мое исследование состоит из двух глав.

В первой главе освещаются теоретические вопросы. А во второй главе - технологический процесс защиты персональных компьютеров от вирусов, состоящих из двух взаимосвязанных шагов: обнаружение компьютерного вируса и его лечение.

1.Теоретические основы компьютерной вирусологии

1.1 Понятие «Компьютерный вирус»

Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять нежелательные различные действия на компьютере. Программа, внутри которой находится вирус, называется «заражённой». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса, действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определённых условий. После того, как вирус выполнит нужные ему действия, он передаёт управление той программе, в которой он находится, и она работает так же, как обычная. Тем самым внешне работа заражённой программы выглядит так же, как и не заражённой.

Многие разновидности вирусов устроены так, что при запуске заражённой программы вирус остаётся резидентно, то есть до перезагрузки DOS , в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.

Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы, табличные процессоры и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

1.2. История компьютерной вирусологии и причины появления вирусов

История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причём, не смотря на всю мощь современных антивирусных программ, лидерами являются именно вирусы.

О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчёта можно считать труды известного учёного Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С.Пенроуза, посвящённую самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой учёный Ф.Ж.Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.

Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиальные идеи. Все остальные – «вариации на тему». Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию. Но последнее можно оспорить. Например, в 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Или примером может быть эпидемия известного вируса Dir - II , разразившаяся в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счёт несовершенства традиционных антивирусных средств.

Или всплеск компьютерных вирусов в Великобритании: Кристоферу Пайну удалось создать вирусы Pathogen и Queeq , а также вирус Smeg . Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры, заражённые программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив её, пользователи вместо уничтожения вирусов уничтожили файлы множества фирм, убытки составили миллионы фунтов стерлингов.

Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7000 персональных компьютеров, подключённых к Internet .

Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и её теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.

1.3. Компьютерные вирусы, их свойства и классификация

1.3.1. Свойства компьютерных вирусов

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьёзные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к примеру, дать определение понятия «редактор». Вы либо придумаете нечто очень общее, либо начнёте перечислять все известные типы редакторов. И то, и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором классе программ.

Прежде всего, вирус – это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьёзно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые, при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус – программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и ещё множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но, и могут вообще с ним не совпадать!!!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечит передачу себе управления.

1.3.2. Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

Среде обитания;

Способу заражения среды обитания;

Воздействию;

Особенностям алгоритма.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, файлово - загрузочные, полиморфные, макровирусы и загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, то есть в файлы, имеющие расширение COM и EXE . Файлово-загрузочные вирусы могут внедряться в другие виды файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Полиморфные вирусы – это вирусы, модифицирующие свой код в заражённых программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Макро – вирусы являются программами на языках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вируса можно разделить на следующие виды:

Неопасные , не мешающие работе компьютера, но уменьшающие объём свободной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

Очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

1.4. Основные виды вирусов и схемы их функционирования

1.4.1. Загрузочные вирусы.

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. Мы сознательно обойдём все многочисленные тонкости, которые неизбежно встретились бы при строгом алгоритме его функционирования.

Что происходит, когда вы включаете компьютер? Первым делом управление передаётся программе начальной загрузке , которая хранится в постоянно запоминающем устройстве (ПЗУ), то есть ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.

Всякая дискета размечена на секторы и дорожки. Секторы объединяются в классы, но это для нас не существенно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один – сектор начальной загрузки.

В секторе начальной загрузки хранится информация о дискете – количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

Теперь рассмотрим вирус. В загрузочных вирусах выделяются две части– т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и вирус, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва – в нашем случае незащищённая от записи и ещё незаражённая дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия.

Выделяет некоторую область диска и помечает её как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные;

Копирует в выделенную область диска свой хвост и оригинальный загрузочный сектор;

Замещает программу начальной загрузки в загрузочном секторе своей головой;

Организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передаёт управление оригинальному загрузочному сектору. В цепочке:

ПНЗ (ПЗУ ) ПНЗ (диск ) СИСТЕМА

Появляется новое звено:

ПНЗ (ПЗУ ) ВИРУС ПНЗ (диск ) СИСТЕМА

Мораль ясна: никогда не оставляйте (случайно) дискету в дисководе А. Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет, на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берёт на себя управление программа начальной загрузки в MBR (Master Boot Record – главная загрузочная запись). Если ваш жёсткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный. Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передаёт управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов – программа начальной загрузки в MBR и программы начальной загрузки в бут - секторе загрузочного диска.

1.4.2. Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы могут быть и нерезидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передаёт управление «хозяину» (хотя ещё неизвестно, кто в такой ситуации хозяин).

Какие же действия выполняет вирус? Он ищет новый объект для заражения – подходящий по типу файл, который ещё не заражён (в том случае, если вирус «приличный», а то попадаётся такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции – размножения, вирус вполне может сделать что-нибудь каверзное (сказать, спросить, сыграть) – это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявить прочие способности не только во время работы заражённого файла. Заражая исполняемый файл, вирус, всегда изменяет его код – следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

Он не обязан менять длину файла;

Не обязан менять неиспользуемые участки кода;

Не обязан менять начало файла;

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства Dir - II . Нельзя не признать, что, появившись в 1991 году, эти вирусы стали причиной настоящей эпидемии чумы в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и т.н. резервные файлы .

При запуске исполняемых файлов система считывает их записи в каталоге, первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir - II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление, (операционная система запускает его сама) резидентно устанавливается в память и передаёт управление вызванному файлу.

1.4.3. Загрузочно-файловые вирусы

Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой другой информации вы при этом не узнаете. Но здесь предоставляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус One Half , заражающий главный загрузочный сектор (MBR ) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует основную порцию секторов, а зашифровав половину жёсткого диска, радостно сообщают об этом. Основная проблема привлечения данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Наиболее «смертельное» действие – просто переписать новый здоровый MBR . Главное – не паникуйте. Взвесьте всё спокойно, посоветуйтесь со специалистом.

1.4.4. Сетевые вирусы

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом сетевого вируса является возможность самостоятельно передать свой код на удалённый сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают ещё и возможностью запустить на выполнение свой код на удалённом компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску заражённого файла.

1.4.5. Полиморфные вирусы

Большинство вопросов связано с термином «полиморфные вирусы». Этот вид компьютерных вирусов представляется собой на сегодняшний день наиболее опасными. Объясним же, что это такое.

Полиморфные вирусы – вирусы, модифицирующие свой код в заражённых программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном виде.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровка и расшифровка, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имея при этом постоянный код шифровальщика и расшифровальщика.

Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровальщиками. Цель такого шифрования: имея заражённый и оригинальный файлы, вы всё равно не сможете проанализировать его код с помощью дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Всё это делается ради затруднения анализа кода вирусом.

1.4.6. Макровирусы

Макровирусы (macro viruses ) является программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения вирусы используют возможности макроязыков и при их помощи переносят себя из одного заражённого файла в другие. Наибольшее распространение получали макровирусы для Microsoft Word , Excel и Office . Существуют также макровируса заражающие документы баз данных Microsoft Access .

1.5. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ

Основными приёмами проникновения вирусов в компьютер являются съёмные диски (лазерные и гибкие), а также компьютерные сети. Заражение жёсткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискеты не вынули с дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На неё вирус может попасть, даже если дискету вставили в заражённый компьютер и, например, прочитали её оглавление.

Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при её запуске управление сначала передавалось ему и только после выполнения его команд снова вернулось к рабочей программе. Получив доступ к управлению вирус, прежде всего, переписывает сам в себя в другую рабочую программу и заражает её. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусами заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширение EXE , COM , SYS и BAT . Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьёзную, чтобы не привлечь интереса. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение заражённой программы переносит вирус в следующую программу. Таким образом, заразится всё программное обеспечение.

1.6. Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп:

1. профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;
2. методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
3. способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. К недостаткам можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, Microsoft Antivirus.

Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. К последней группе относятся самые неэффективные антивирусы вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

Примеры антивирусных программ:

DOCTOR WEB

В последнее время стремительно растет популярность антивирусной программы - Doctor Web. Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.

Тестирование винчестера Dr.Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

Так же, как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.

Microsoft Antivirus

В состав современных версий MS-DOS входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора.

MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Флажки установок в пункте меню Options можно устанавливать как клавишей ПРОБЕЛ, так и клавишей ENTER. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.

При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop). Если изменилась контрольная сумма, то MSAV выведет такое же окно, только вместо пункта Repair будет пункт Delete (удалить), так как программа не может восстановить содержимое файла. При обнаружении вируса в режиме Detect&Clean программа удалит этот вирус. Проверку диска в обоих режимах можно приостановить, либо полностью прервать, нажав ESC (или F3) и ответив на соответствующий вопрос программы. Во время сканирования диска выводится информация о проделанной работе: процент обработанных каталогов и процент обработанных файлов в текущем каталоге. Эта информация выдается также наглядно, в виде цветной полоски, как и при проверке памяти. В конце проверки MSAV выдает отчет в виде таблицы, в которой сообщается о количестве проверенных жестких дисков и гибких дисков, о количестве проверенных, инфицированных и вылеченных файлов. Кроме того, выводится время сканирования.

В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением *.VIR

Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.

2. Из практики борьбы с компьютерными вирусами

2.1. Как мы обнаруживаем компьютерный вирус?

Во-первых, мы хорошо усвоили те признаки, по которым нетрудно узнать о появлении заражения вирусом. К ним относятся следующие признаки:

Прекращение работы или не правильная работа ранее функционировавших программ;

Медленная работа компьютера;

Невозможность загрузки операционной системы;

Исчезновение файлов и каталогов или искажение их содержимого;

Изменение даты и времени модификации файлов;

Изменение размеров файла;

Неожиданное значительное увеличение количества файлов на диске;

Существенное уменьшение размера свободной оперативной памяти;

Вывод на экран не предусмотренных сообщений или изображений;

Подача непредусмотренных звуковых сигналов;

Частое зависание и сбои в работе компьютера.

К данным проявлениям компьютера мы относимся с определённой долей вероятности, так как перечисленные явления не обязательно вызываются в присутствии вируса, а могут быть следствием других причин. Мы пытаемся установить диагноз как можно более точно, чтобы не ошибиться в принятии решений, пытаясь исключить другие причины нарушений персонального компьютера.

Некоторое время запущенный вирус, возможно, погуляет вволю, но рано или поздно «лафа» закончится, так как мы - обычные пользователи, всё равно сумеем заметить те или иные аномалии в поведении компьютера и избежать преград в его работе. Но всё-таки справиться с вирусной инфекцией вполне самостоятельно мы не способны.

И мы стремимся к тому, чтобы как можно скорее вирус попал в руки более грамотного специалистов. Профессионалы будут его изучать, выяснять «что он делает», «как он делает», «когда он делает» и прочее. В процессе такой работы мы знаем, необходимо собирать всю необходимую информацию о данном вирусе, в частности, выделить сигнатуру вируса – последовательность байтов, которая вполне определённо его характеризует. Для построения сигнатуры берём наиболее важные и характерные участки кода вируса. В таком случае нам становятся ясны механизмы работы вируса. В случае загрузочного вируса мы стремимся узнать, где он прячет хвост, где находится оригинальный загрузочный сектор, а в случае файлового – способ заражения файла. Полученная информация позволяет нам выяснить:

I . Как обнаружить вирус? Для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки – файлах и / или загрузочных секторах?

II . Как обезвредить вирус? Если это, возможно, мы разрабатываем алгоритмы удаления вирусного кода из заражённых объектов.

2.2. Как мы лечим компьютер от вирусных заражений?

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными . Различают следующие виды антивирусных программ, которые используются в нашей практике с переменным успехом. Это:

Программы - детекторы;

Программы доктора или фаги;

Программы – ревизоры;

Программы – вакцины или иммунизаторы;

Программы – детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам данных программ.

Программы – доктора или фаги , также программы – вакцины не только находят заражённые вирусом файлы, но и «лечат» их, то есть удаляют из файла тело программы – вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы – доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest , Scan , AntiVirus , Doctor Web . В своей практике мы отдаём предпочтение именно этим программам.

Программы – ревизоры относятся к самым надёжным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражён вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы – ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс – вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесённых вирусом. К числу программ – ревизоров относится широко распространённая в России программа Adinf .

Программы – фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютере, характерных для вирусов. Такими действиями могут являться:

Попытки коррекции файлов с расширениями COM , EXE ;

Изменение атрибутов файла;

Прямая запись на диск по абсолютному адресу;

При попытке какой – либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы – фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Тем не менее, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, а также возможны конфликты с другим программным обеспечением. Примером программы – фильтра является программа Vsafe , входящая в состав пакета утилит MS DOS .

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы – доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их заражёнными и поэтому не внедрится. В настоящее время программы – вакцины имеют ограниченное применение.

Своевременное обнаружение заражённых вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надёжное хранение информации на дисках, мы стремимся соблюдать следующие правила:

Оснастите свой компьютер современными антивирусными программами, например: Aidstest , Doctor Web, и постоянно возобновляйте их версии;

Перед считываем с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы вашего компьютера;

При переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жёстком диске, ограничивая область проверки только вновь записанными файлами;

Периодически проверяйте на наличие вирусов, жёсткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищённой от записи дискеты, предварительно загрузив операционную систему с защищённой от записи системной дискетой;

Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;

Обязательно делайте архивные копии на дискетах ценной для вас информации;

Не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

Используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

Для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf .

При заражении компьютера вирусом (или при подозрении на это) мы соблюдаем четыре правила:

1). Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, но и к повторному заражению компьютера;

2). Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий;

3). Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера защищённой, от записи, дискеты с ОС (обязательные правило);

4). Если вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег.

Заключение

Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днём, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всём мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную информацию, что может привести к финансовым потерям.

Компьютерный вирус – специально написанная программа, способная самопроизвольно присоединятся к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания возможных помех в работе компьютера.

В настоящее время известно более 5000 программных вирусов, число которых непрерывно растёт. Нам известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.

Основные виды вирусов: загрузочные, файловые, загрузочно-файловые, сетевые, полиморфные, макровирусы. Наиболее опасный вид вирусов – полиморфные.

Из истории компьютерной вирусологии мы выяснили, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы.

Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой – с отсутствием средств защиты у операционной системы.

Основные пути проникновения вирусов – съёмные диски и компьютерные сети. Чтобы этого не получилось, соблюдайте меры по защите. Если вы всё же обнаружили в компьютере вирус, то по традиционному подходу лучше позвать профессионала.

Но некоторые свойства вирусов озадачивают даже мастеров. Ещё совсем недавно трудно было себе представить, что вирус может пережить холодную перезагрузку или распространяться через файлы документов. В таких условиях нельзя не предавать значения хотя бы начальному антивирусному образованию пользователей. При всей серьезности проблемы ни один вирус не способен принести столько вреда, сколько побелевший пользователь с дрожащими руками.

Я считаю, что я справился с поставленными передо мной задачами. Я достиг той цели, которой хотел достичь и выполнил все задачи, которые необходимо было выполнить. Я считаю проведённую мной работу весьма актуальной для нашего времени. При выполнении работы мне пришлось обратиться к источникам информации из Internet . Данную работу могут использовать любые пользователи персональных компьютеров, так как компьютерные вирусы – это одна из основных проблем связанных с компьютером.