Вирусы и антивирусные программы

Статья

Вирусы и антивирусные программы

Содержание

Реферат. 1

Вирусы и антивирусные программы.. 1

Содержание. 2

Глава 1. Вирусы.. 2

1.1 Что такое вирус?. 2

1.2 Что может и чего не может компьютерный вирус. 5

1.3 Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев. 5

1.4 Типы вирусов. 7

1.5 Что делать, если заражение уже произошло. 9

Глава 2. Методы обнаружения вирусов. 13

2.1 Метод соответствия определению вирусов в словаре. 13

2.2 Метод обнаружения странного поведения программ. 14

2.3 Метод обнаружения при помощи эмуляции. 15

2.4 Метод «Белого списка». 15

2.5 Другие методы обнаружения вирусов. 16

Глава 3. Важные замечания. 17

Глава 4. Классификация антивирусов. 19

Глава 5. Антивирусы на SIM, флэш-картах и USB устройствах. 20

 

Глава 1. Вирусы

Что такое вирус?

Компьютерные вирусы - вредоносные само распространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области…)

Вредоносный программный код, обычно замаскированный под что-нибудь привлекательное (например, фотография популярного спортсмена) или полезное и выполняющий незапланированные либо нежелательные действия, например повреждение данных.

(Virus - лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.

В общем случае компьютерный вирус - это небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов, или "поселяется" в загрузочном (BOOT) секторе диска. При запуске заражённых программ и драйверов вначале происходит выполнение вируса, а уже потом управление передаётся самой программе. Если же вирус "поселился" в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т. д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передаётся заражённой программе, которая обычно работает "как ни в чём не бывало", маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы, и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word и табличного редактора Excel.

Как проявляют себя вирусы

Проявления вирусов весьма различны. Это:

1 Сильное замедление работы компьютера.

2 Неожиданное появление на экране посторонних фраз.

3 Появление различных видеоэффектов (например, перевёртывание экрана).

4 Пропадание информации с экрана.

5 Генерация различных звуков.

6 Некоторые программы перестают работать, а другие ведут себя очень странно.

7 На дисках появляется большое количество испорченных файлов данных, текстовых файлов.

8 Разом рушится вся файловая система на одном из дисков.

9 Операционная система неожиданно перестаёт видеть винчестер.

10 Произвольно изменяется длина отдельных файлов.

11 Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95.

12 Стирание всех незащищённых от стирания пользовательских файлов и системных файлов

13 Самопроизвольный неограниченный «разгон» видеокарты и процессора, что приводит к их перегреву и поломке

14 Подмена существующих драйверов на драйвера, неподходящие к данной системе, что приводит к возникновению большого количества ошибок, замедлению работы системы и остановке работы важных сервисных программ

15 Скачивание при подключённом Интернет-соединении большого количества ненужной, опасной информации, мусора и других вирусов

Разные вирусы могут вести себя по-разному. Некоторые только размножаются, не совершая вредных действий, другие же сразу после заражения совершают множество очень неприятных действий. Есть такие, которые вначале ведут себя незаметно, а по прошествии какого-то времени вдруг разом портят все данные (скажем, форматируется винчестер).

 

Типы вирусов

Вирусы - спутники. Наиболее примитивный тип вирусов. Для каждого файла с расширением.ехе создают файл с тем же именем, но с расширением.com. содержащий тело вируса. При запуске файла операционная система вначале ищет.com файлы, а потом.ехе файлы. Поэтому вначале управление получает вирус, а затем уже он сам вызывает необходимый ехе файл.

Файловые вирусы. Поражают файлы с расширением.com,.ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным; и, что самое печальное, такой файл нельзя восстановить. Часть этих вирусов остаётся в памяти резидентно.

Загрузочные вирусы. Поражают загрузочные сектора дисков. Инфицирование новых дисков происходит в тот момент, когда в заражённый компьютер вставляют новую дискету и начинают с ней работать. Часто вирус не помешается целиком в загрузочной записи, туда пишется только его начало, а продолжение тела вируса сохраняется в другом месте диска. После запуска остаются в памяти резидентно.

Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов. Такие вирусы могут поражать как файлы, так и загрузочные сектора.

Вирусы DIR*. Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с заражённого диска, как файловая система тут же "восстанавливается".На самом же деле происходит инфицирование ещё одного компьютера.

Макровирусы. Весьма оригинальный класс вирусов (хотя вирусами в полном смысле этого слова их даже нельзя назвать), заражающий документы, в которых предусмотрено выполнение макрокоманд. При открытии таких документов вначале исполняются макрокоманды (специальные программы высокого уровня), содержащиеся в этом документе, -макровирус как раз ипредставляет собой такую макрокоманду. Таким образом, как только будет открыт заражённый документ,вирус получит управление и совершит все вредный действия (в частности, найдёт и заразит ещё не заражённые документы).

Механизмы защиты вирусов от обнаружения

Как правило вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов - вирусы-невидимки (или стелс-вирусы) и самомодифицирующиеся вирусы (вирусы-призраки).

Стелс-вирусы (от английского stealth - Стелс-вирус - вирус, тем или иным способом скрывающий свое присутствие в системе.) реализуют очень хитрый механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в памяти резидентно и при обращении к заражённым файлам и областям диска подменяют информацию так, что "заказчик" получает её в незаражённом, исходном виде. Достигается это перехватыванием обращений DOS и установкой своих векторов прерываний. Увидеть такой вирус можно либо на незаражённом компьетере (например, загрузившись с заведомо чистой дискеты), либо в том случае, когда программа не пользуется средствами DOS а напрямую обращается к диску.

Вирусы-призраки маскируются с помощью другого механизма. Эти вирусы постоянно модифицируют себя таким. образом', что не содержат одинаковых фрагментов. Такие вирусы хранят своё тело в закодированном виде и постоянно меняют параметры этой кодировки. Стартовая же часть, занимающаяся декодированием непосредственно самого тела, может генерироваться весьма сложным способом. При переносе вируса данного типа с компьютера на компьютер код вируса изменяется таким образом, что уже не имеет ничего общего со своим предыдущим вариантом. А часть вирусов может самомодифицироваться и в пределах одного компьютера. Обнаружение таких вирусов весьма осложнено, хотя часть антивирусных программ пытается находить их по участкам кода, характерным для стартовой части.

* - DIR - Поле в ячейке управления ресурсами, показывающее направление RM-ячейки по отношению к потоку данных, с которым эта ячейка связана. Источник данных устанавливает DIR=0, получатель - DIR=1.

 

Метод «Белого списка»

Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Глава 3. Важные замечания

· Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

· Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

· Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

· Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

· Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

· Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

· Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

· Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

· Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.

· Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре).

Статья

Вирусы и антивирусные программы

Содержание

Реферат. 1

Вирусы и антивирусные программы.. 1

Содержание. 2

Глава 1. Вирусы.. 2

1.1 Что такое вирус?. 2

1.2 Что может и чего не может компьютерный вирус. 5

1.3 Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев. 5

1.4 Типы вирусов. 7

1.5 Что делать, если заражение уже произошло. 9

Глава 2. Методы обнаружения вирусов. 13

2.1 Метод соответствия определению вирусов в словаре. 13

2.2 Метод обнаружения странного поведения программ. 14

2.3 Метод обнаружения при помощи эмуляции. 15

2.4 Метод «Белого списка». 15

2.5 Другие методы обнаружения вирусов. 16

Глава 3. Важные замечания. 17

Глава 4. Классификация антивирусов. 19

Глава 5. Антивирусы на SIM, флэш-картах и USB устройствах. 20

 

Глава 1. Вирусы

Что такое вирус?

Компьютерные вирусы - вредоносные само распространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области…)

Вредоносный программный код, обычно замаскированный под что-нибудь привлекательное (например, фотография популярного спортсмена) или полезное и выполняющий незапланированные либо нежелательные действия, например повреждение данных.

(Virus - лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.

В общем случае компьютерный вирус - это небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов, или "поселяется" в загрузочном (BOOT) секторе диска. При запуске заражённых программ и драйверов вначале происходит выполнение вируса, а уже потом управление передаётся самой программе. Если же вирус "поселился" в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т. д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передаётся заражённой программе, которая обычно работает "как ни в чём не бывало", маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы, и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word и табличного редактора Excel.

Как проявляют себя вирусы

Проявления вирусов весьма различны. Это:

1 Сильное замедление работы компьютера.

2 Неожиданное появление на экране посторонних фраз.

3 Появление различных видеоэффектов (например, перевёртывание экрана).

4 Пропадание информации с экрана.

5 Генерация различных звуков.

6 Некоторые программы перестают работать, а другие ведут себя очень странно.

7 На дисках появляется большое количество испорченных файлов данных, текстовых файлов.

8 Разом рушится вся файловая система на одном из дисков.

9 Операционная система неожиданно перестаёт видеть винчестер.

10 Произвольно изменяется длина отдельных файлов.

11 Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95.

12 Стирание всех незащищённых от стирания пользовательских файлов и системных файлов

13 Самопроизвольный неограниченный «разгон» видеокарты и процессора, что приводит к их перегреву и поломке

14 Подмена существующих драйверов на драйвера, неподходящие к данной системе, что приводит к возникновению большого количества ошибок, замедлению работы системы и остановке работы важных сервисных программ

15 Скачивание при подключённом Интернет-соединении большого количества ненужной, опасной информации, мусора и других вирусов

Разные вирусы могут вести себя по-разному. Некоторые только размножаются, не совершая вредных действий, другие же сразу после заражения совершают множество очень неприятных действий. Есть такие, которые вначале ведут себя незаметно, а по прошествии какого-то времени вдруг разом портят все данные (скажем, форматируется винчестер).