Вирусы. Антивирусные программные средства

Лабораторная работа №

Вирусы. Антивирусные программные средства

 

Основные понятия.

Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.

Причины появления и распространения компьютерных вирусов,

- с одной стороны, обусловлены отсутствием аппаратных средств защиты против действия со стороны операционной системы персонального компьютера,

- с другой стороны скрываются в психологии человеческой личности и ее теневых сторонах (зависти, месть, тщеславие непризнанных творцов, невозможности конструктивно применить свои способности)..

Компьютерное хулиганство

- «студенческие» вирусы. Создателями вирусов являются молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования.. Причина - это комплекс неполноценности, который компенсируется компьютерным хулиганством. Результат - получаются вирусы крайне примитивные и с большим числом ошибок

- «профессиональные» вирусы. Создатели - профессионалы, часто очень талантливые программисты. Причина – разработка и отладка достаточно оригинальных алгоритмов проникновения в системные области данных, поиск ошибок в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости. Результат – создание и запуск в мир достаточно опасных вирусов

- «концептуальные вирусы». Создатели - «исследователи», довольно сообразительные программисты, занимающиеся изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Причина - придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны» Результат - авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через интернет-ресурсы, посвященные созданию вирусов. Попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными. Причин, по которым школьники и студенты утратили интерес к вирусописательству:

1. Создавать вирусные программы для операционной системы MS-DOS в 1990-х годах было в разы легче, чем для технически более сложной Windows.

2. В законодательствах многих стран появились специальные компьютерные статьи, а аресты вирусописателей широко освещались прессой — что, несомненно, снизило интерес к вирусам у многих студентов и школьников.

3. К тому же у них появился новый способ проявить себя — в сетевых играх. Именно современные игры, скорее всего, сместили фокус интересов и перетянули на себя компьютеризированную молодёжь.

На данный момент доля «традиционных» хулиганских вирусов и троянских программ занимает не более 5% «материала», заносимого в антивирусные базы данных.

Мелкое воровство

- получение доступа в сеть за чужой счет Цель достигается - посредством кражи чьего-либо логина и пароля путем применения специально разработанных троянских программ

- кража регистрационных данных и ключевых файлов различных программных продуктов. Для этого создаются троянские программы, целью которых являются ресурсы зараженных компьютеров, которые используются в интересах своего «хозяина» и т.п

- кража персональной информации из сетевых игр. Целью является несанкционированное использования или перепродажа. Подобные троянцы особенно широко распространены в странах Азии, особенно в Китае, Корее и Японии.

Криминальный бизнес.

- Создание сетей «зомби-машин». Для развёртывания подобных сетей создаются специализированные троянские программы — «боты» (от «robot»), которые централизованно управляются удалённым «хозяином». Этот троянец внедряется в тысячи, десятки тысяч или даже миллионы компьютеров. В результате «хозяин зомби-сети» (или «бот-сети») получает доступ к ресурсам всех заражённых компьютеров и использует их в своих интересах. Иногда такие сети «зомби-машин» поступают на черный интернет-рынок, где приобретаются спамерами или сдаются им в аренду

- Обслуживание спам-бизнеса. Для рассылки спама создаются специализированные «зомби-сети» из троянских прокси-серверов (proxy server — утилита для анонимной работы в сети, обычно устанавливается на выделенный компьютер). Затем троянские прокси-сервера получают от «хозяина» образец спама и адреса, на которые этот спам рассылать В результате ретрансляции спама через тысячи (или десятки тысяч) заражённых компьютеров спамеры достигают нескольких целей:

· во-первых, рассылка совершается анонимно — по заголовкам письма и прочей служебной информации в письме выяснить реальный адрес спамера невозможно;

· во-вторых, достигается большая скорость спам-рассылки, поскольку в ней задействовано огромное количество «зомби»-компьютеров;

· в-третьих, не работают технологии ведения «черных списков» адресов зараженных машин — «отсечь» все компьютеры, рассылающие спам, невозможно, потому что их слишком много.

- Распределённые сетевые атаки. Также именуются DDoS-атаками (Distributed Denial of Service — распределённый отказ в обслуживании). Сетевые ресурсы (например, веб-сервера) имеют ограниченные возможности по количеству одновременно обслуживаемых запросов — это количество ограничено как мощностями самого сервера, так и шириной канала, которым он подключён к интернету. Если количество запросов превышает допустимое, то либо работа с сервером значительно замедлится, либо вообще запросы пользователей будут проигнорированы.

Посредством «зомби-сети» достаточного размера организуется массированная DDoS-атака на один или несколько интернет-ресурсов, приводящая к отказу атакуемых узлов сети. В результате обычные пользователи не в состоянии получить доступ к атакованному ресурсу. Обычно под удар попадают интернет-магазины, интернет-казино, букмекерские конторы, прочие компании, бизнес которых напрямую зависит от работоспособности своих интернет-сервисов. Чаще всего распределённые атаки совершаются либо с целью «завалить» бизнес конкурента, либо с последующим требованием денежного вознаграждения за прекращение атаки — этакий интернет-рэкет.

В 2002-2004 годах этот вид криминальной деятельности был весьма распространённым. Затем он пошел на спад, видимо, по причине успешных полицейских расследований (за данные преступления было арестовано как минимум несколько десятков человек по всему миру), а также по причине достаточно успешных технических мер противодействия подобным атакам

- Звонки на платные телефонные номера или посылка платных SMS-сообщений. создаётся и распространяется специальная программа, осуществляющая несанкционированные пользователем телефонные звонки или отсылку SMS-сообщений с мобильных телефонов. Заранее или параллельно с этим те же лица регистрирует компанию, от лица которой заключается договор с местным телефонным провайдером об оказании платного телефонного сервиса. Провайдер при этом, естественно, не ставится в известность о том, что звонки будут производиться без ведома пользователя. Далее троянец названивает на платный телефонный номер, телефонная компания выставляет счета на номера, с которых шли звонки, — и отчисляет злоумышленнику оговоренную в контракте сумму.

Воровство интернет-денег — создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных «электронных кошельков» (таких как e-gold, WebMoney). Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину». Обычно сбор информации осуществляется поиском и расшифровкой файлов, в которых хранятся персональные данные владельца счёта.

- Воровство банковской информации — один из самых распространённых видов криминальной деятельности в Интернете. Под ударом оказываются номера кредитных банковских карт и коды доступа к обслуживаемым через интернет персональным (а если «повезет» — то и корпоративным) банковским счетам («интернет-бэнкинг»).

Для того чтобы заставить пользователя ввести персональные данные применяются различные психологические махинации, обычно — выводится какой-либо текст, сообщающий, что если не ввести свой код, то произойдёт что-либо плохое (например, интернет-банк прекратит обслуживание счёта) или не произойдёт что-то очень хорошее («на Ваш счёт хотят перечислить много-много денег — пожалуйста, подтвердите свои реквизиты»).

Достаточно часто встречаются троянские программы («клавиатурные шпионы»), которые ждут подключения пользователя к подлинной банковской веб-странице и затем перехватывают введённые с клавиатуры символы (то есть, логин и пароль). Для этого они следят за запуском и активностью приложений и, если пользователь работает в интернет-браузере, сравнивают название веб-сайта с «зашитым» в код троянца списком банков. Если веб-сайт обнаружен в списке, то включается клавиатурный шпион, а затем перехваченная информация (последовательность нажатых клавиш) отсылается злоумышленнику. Данные троянские программы (в отличие от других банковских троянцев) никак не проявляют своего присутствия в системе.

Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др.

Основными путями проникновения вредоносных программ в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода а:\ и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Определение вируса

Определение по ГОСТ Р 51188-98: (классическое): Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей и прочие выполняемые объекты с целью создания всевозможных помех в работе компьютера. При этом копии сохраняют способность дальнейшего распространения.

Определение компьютерного вируса — исторически проблемный вопрос, поскольку сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.

Исходя из назначения антивирусных средств, в дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы.

Зараженный диск — это диск, в загрузочном секторе которого находится вирус.

После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, СОМ, SУS или ВАТ. Крайне редко заражаются текстовые и графические файлы, исключение составляют вирусы, внедряющиеся в документы Microsoft Office.

Зараженный файл — это файл, содержащий внедренную в него программу-вирус.

Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:

1. Проникновение на чужой компьютер

2. Активация

3. Поиск объектов для заражения

4. Подготовка копий

5. Внедрение копий

Проникновение

Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), никак, в отличие от червей, не влияя на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.

Активация

Для активации вируса необходимо, чтобы зараженный объект получил управление.

Поиск жертв

На стадии поиска объектов для заражения встречается два способа поведения вирусов.

1. Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).

2. Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется

Подготовка вирусных копий

Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно.

При создании копий для маскировки могут применяться следующие технологии:

· Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.

· Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

Внедрение

Внедрение вирусных копий может осуществляться двумя принципиально разными методами:

· Внедрение вирусного кода непосредственно в заражаемый объект

· Замена объекта на вирусную копию. Замещаемый объект, как правило, переименовывается

Черви.

Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь".

Жизненный цикл червей состоит из таких стадий:

1. Проникновение в систему

2. Активация

3. Поиск объектов для заражения

4. Подготовка копий

5. Распространение копий

Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.

Стадия 4 — Подготовка копий — практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.

Способы активации

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

1. Для активации необходимо активное участие пользователя

2. Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия

Под пассивным участием пользователя во второй группе понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Поиск "жертв"

Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Точно так же Интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Подготовка копий для распространения

Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.

Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры.

Вирус заражает тем большее количество файлов, чем дольше он находится на компьютере необнаруженным. Червь создает единственную копию своего кода. В отличие от вируса, код червя самостоятелен. Другими словами, червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.

Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса)

Трояны

Троян (троянский конь) — тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Жизненный цикл

В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл крайне короток - всего три стадии:

· Проникновение на компьютер

· Активация

· Выполнение заложенных функций

Это, само собой, не означает малого времени жизни троянов. Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.

Способы проникновения

Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.

1. Маскировка — троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере автоматически инициирует загрузку и запуск трояна.

· Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. В этом случае распознать троян еще сложнее, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.

Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке. Применяемые в таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий.

Кооперация с вирусами и червями — троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.

Активация

Здесь приемы те же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.

Выполняемые функции

В отличие от вирусов и червей, деление которых на типы производится по способам размножения/распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов.

· Клавиатурные шпионы — трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.

· Похитители паролей — трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.

· Утилиты удаленного управления — трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. ' Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления - Back Orifice.

· Люки (backdoor) — трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.

· Анонимные smtp-сервера и прокси — трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.

· Утилиты дозвона — сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в Интернет через дорогие почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Интернетом.

· Модификаторы настроек браузера — трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п.

· Логические бомбы — чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных

Программа Norton AntiVirus

Достоинства:

1. Великолепное распознавание и удаление вирусов,

2. Продуманный интерфейс,

3. Легкость инсталляции и очень умеренная цена.

Недостатки:

1. Низкий процент обнаружения вирусов монитором,

2. Через год обновление сигнатур становится платным.

NAV характеризуется наличием в пакете всех необходимых функций. Например, в его состав входит script-checker, благодаря которому можно сэкономить системные ресурсы. Начинающие пользователи могут прибегнуть к услугам мастера, что значительно облегчает применение продукта. Персональный брандмауэр в состав продукта не входит, для этого необходимо приобрести другой пакет - Norton Internet Security.

Norton AntiVirus, один из немногих среди тестируемых продуктов, уничтожает вирусы в заархивированных файлах, в то время как другие лишь детектируют в них наличие вредоносных программ. Файлы, которые невозможно вылечить, продукт автоматически помещает в карантин.

Обновление NAV организовано просто: подписки на новые версии нет, но программа будет автоматически загружать новые сигнатуры через Internet или напоминать вам, что пора это сделать. А самое удобное — это уникальная техника мини-обновлений, когда вы получаете не всю весьма объемистую базу сигнатур, а только изменения к ней.

В процессе тестирования сканер NAV продемонстрировал достаточно неплохие результаты. Однако общую картину подпортил монитор, который смог обнаружить почти в два раза меньшее количество вирусов, чем сканер. Это и повлияло на конечную оценку данного продукта.

Порядок выполнения работы

Опции проверок.

Переключится в режим настроек можно:

1. Меню Настройки \ Изменить настройки.

2. Нажать кнопку на Панели инструментов Настройки

Откроется окно Настройки DrWeb.

Закладка Проверка

Эвристический анализ - галочка в этом поле включает эвристический анализатор. Отнимая заметное время, этот процесс позволяет обнаруживать неизвестные вирусы. Эвристическим анализатором называют алгоритм, предназначенный для обнаружения фрагментов программ, типичных для компьютерных вирусов. Эвристические анализаторы используются полифагами для обнаружения вирусов, не входящих в базу данных полифага. Эффективность эвристического анализатора определяется двумя параметрами: процентом обнаруженных вирусов и процентом так называемых ложных срабатываний (подозрений на наличие вируса в файлах, в которых его нет). Российский полифаг Doctor Web имеет один из лучших в мире эвристических анализаторов.

Проверять память - галочка в этом поле инициирует программу DrWeb32W при запуске проверять наличие вирусов в оперативной памяти. Для проверки памяти во время сеанса работы программы используется соответствующий пункт в меню File. Если галочки нет оперативная память при запуске программы тестироваться не будет.

Проверять загрузочные сектора - галочка в этом поле требует проверять загрузочные сектора сканируемых дисков.

Проверка нескольких дискет –наличие галочки в данном поле, говорит о том, что после проверки очередной дискеты будет выдано предложение проверить следующую дискету.

Запрос подтверждения - Если здесь проставлена галочка, то на каждое действие, которое собирается совершить DrWeb32W с каким-нибудь объектом, будет запрашиваться согласие пользователя.

Закладка Типы.

Группа Режим проверки - определяет режим отбора файлов для проверки:

· Все файлы - если здесь проставлена точка, то будут проверяться все файлы, независимо от их типа (расширения), это может занять очень большое время.

· По формату - если здесь проставлена точка, то файлы будут проверяться на основании их внутреннего (реального) формата, а не расширения имени. Ведь ясно, что исполняемый файл, например, мог быть кем-то переименован.

· Выбранные типы (по расширению имени (типу)) - если здесь проставлена точка, то будут проверяться файлы с расширениями, указанными в списке справа. Вы можете отредактировать этот список (добавить в него новые расширения или исключить имеющиеся).

· Заданные маски - если здесь проставлена точка, то будут проверяться только файлы, расширения которых подходят под маски, заданные пользователем. (они указываются в списке справа). Это может существенно сократить время проверки, если, например, вам необходимо проверить только файлы документов и шаблонов программы Microsoft Word (DOC-файлы и DOT-файлы, подходящие под маску DO?).

Файлы в архиве - если здесь проставлена галочка, то файлы указанных типов проверяются и в архивах (т.е., если, например, DOC-файл находится в ZIP-архиве, то при установке «проверять DOC-файлы» он также будет проверен). Для проверки архивов они распаковываются во временные файлы, а для этого нужно и время, и место на диске. Заметим, что внутри архивов лечение зараженных файлов не производится.

Упакованные файлы - если здесь проставлена галочка, то проверяются «сжатые» исполняемые файлы. Точнее, проверяется то, что было сжато, т.е. файл до сжатия. Такая проверка нужна для того, чтобы обнаружить вирусы, которые заразили исполняемый файл, а потом были «сжаты» и, следовательно, изменены.

Почтовые файлы - если здесь проставлена галочка, то проверяются почтовые файлы. В этом режиме выполняется полное сканирование всех проверяемых файлов, что резко замедляет работу. Поэтому включать этот режим рекомендуется исключительно при проверке электронной почты.

Протестируйте в паке Мои документы все файлы с расширением *.doc. Для этого:

1. Очистить поле Список, нажав кнопку Базовый.

2. В поле ввода вести маску файлов *.doc.

3. Добавить ее в список, нажав кнопку Добавит ь.

4. В поле списка удалить маску все файлы (*.*).

5. Нажать кнопку Применить.

Закладка Действия.

На этой закладке расположены три кнопки, которые устанавливают действия с обнаруженными объектами.

Для инфицированных - определение действий с зараженными излечимыми объектами.

Для неизлечимых - определение действий с зараженными неизлечимыми объектами.

Для подозрительных - определение действий с подозрительными объектами, которые скорее всего содержат вирус (а, возможно, и нет).

После выбора типа обнаруженного объекта следует установить действия над этим объектом. При выборе некоторых типов объектов не все ниже описанные действия будут доступны.

Отчет - если здесь проставлена точка, DrWeb32W будет только лишь информировать пользователя обо всех объектах, которые «привлекли ее внимание».

Вылечить - если здесь проставлена точка, DrWeb32W будет лечить зараженные объекты.

Удалить - если здесь проставлена точка, то объекты, которые «привлекли к себе внимание» программы Doctor Web (зараженные или «подозрительные»), будут попросту удаляться. Если при этом не заказан запрос разрешения на удаление (кнопка на закладке Проверка), то операция необратима.

Переименовать - если здесь проставлена точка, то объекты, которые привлекли к себе внимание DrWeb32W (зараженные или «подозрительные») будут переименовываться и получать расширение, указанное справа (вы можете его изменить).

Переместить в - Если здесь проставлена точка, то объекты, которые привлекли к себе внимание DrWeb32W (зараженные или «подозрительные»), будут перемещаться в папку, указанную справа. Это удобно, если нужно заняться ими позже — например, направить для анализа в антивирусный отдел фирмы ДиалогНаука.

& Для инфицированных установить параметр – Вылечить

Закладка Отчет.

Здесь определяются детали формируемого DrWeb32W отчета.

Файл отчета - галочка в этом поле заставляет DrWeb32W формировать файл отчета, содержащий информацию о зараженных, излеченных и прочих файлах, а также другую служебную информацию. Имя этого файла указывается ниже.

Группа Режим открытия файла – здесь вы можете выбрать: добавлять уже существующий отчет текущей сессией, или замещать прежний новым.

Группа Предельный размер файла расчета - Вы можете потребовать, чтобы файл отчета не превышал заданного размера. Точные значения могут быть определены только экспериментально.

& После тестирования просмотрите отчет разберитесь в информации, записанной в отчете.

Закладка Общие. Автосохранение установок при выходе - галочка в этом поле включает автоматическое сохранение всех настроек текущего сеанса работы DrWeb32W по окончании сеанса работы.

Закладка Обновление. Здесь можно задать параметры автоматического обновления версий Dr.Web для Windows 95-XP через Internet или по локальной сети. Подсистема обновления версий обеспечивает автоматическую доставку и установку обновлений Dr.Web через Internet или по локальной сети. Обновление работает для всех компонентов пакета, включая программные модули, вирусные базы, файлы системы помощи и документации.

Закладка Пути. Здесь можно задать пути к исключаемым из проверки каталогам, а также вирусным базам DrWeb32W.

Закладка Событие. Здесь можно задать звуковые эффекты для DrWeb32W (на ПК должна быть звуковая карта!).

Сохранить данные настройки т.е. использовать эти установки при последующем запуске программы. меню Настройки \ Сохранить настройки.

Лабораторная работа №

Вирусы. Антивирусные программные средства

 

Основные понятия.

Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.