Средства антивирусной защиты

План  работы:

             Введение                                                                                                                            2

          1.Общая информация о вирусах                                                                                         3

                         1.1.Понятие вирусов                                                                                             3

                         1.2.История появления вирусов                                        3

                         1.3.Принцип действия вирусов       5

         2.Классификация компьютерных вирусов       6

                         2.1.По принципу действия.       6

                                     2.1.1.Черви.         6

                                     2.1.2.Логические бомбы       7

                                     2.1.3.Троянские объекты       7

                                     2.1.4.Программы Backdoor       7

                                     2.1.5.Средства для получения несанкционированного доступа 8

                        2.2.По способу распространения        8

                                     2.2.1.Программные вирусы.      9

                                     2.2.2.Загрузочные вирусы                10

                                     2.2.3.Макро вирусы                 10

                                     2.2.4.Файлово-загрузочные вирусы               11

                                     2.2.5.Стелс-вирусы                 11

                                     2.2.6.Шифрующиеся вирусы               12

                                     2.2.7.Полиморфные вирусы               12

                                     2.2.8.Макрокомандные вирусы               13

                                     2.2.9.Почтовые вирусы                13

                                     2.2.10.Бестелесные вирусы                14

                                     2.2.11.Вирусы для пиринговых сетей                                                   14

                                     2.2.12.Комбинированные вирусы               15

         3.Средства антивирусной защиты.                   15

            Заключение.                       20  

Введение

        Компьютерные вирусы, черви, троянские  программы и другие вредоносные программные компоненты представляют собой серьезную угрозу для безопасности компьютеров и компьютерных систем.

      Не  обладая специальными знаниями в  области антивирусной защиты, пользователи компьютеров, системные администраторы и другой персонал не смогут предотвратить проникновение вредоносного программного кода в информационные системы даже при использовании самых современных антивирусных программ.

         Следует, однако, отметить, что специалист в области антивирусной защиты должен постоянно обновлять и пополнять свои знания, не ограничиваясь только получением сертификата. Дело в том, что создатели вредоносных программ постоянно совершенствуют свои «изделия», выпуская новые и более совершенные инструменты повреждения или похищения компьютерных данных. 

 

1.Общая информация  о вирусах

1.1.Понятие  вирусов

     Компьютерный  вирус – это самокопирующаяся программа, разработанная с целью  тиражирования самой себя помимо ведома и против воли пользователей. Распространение вирусов реализуется через присоединение их к другим программам, документам или путём записи в сектор начальной загрузки диска.

     В ряде случаев вирусы могут быть чрезвычайно  разрушительными, стирая диск или повреждая  программы. Они могут нарушать целостность  файловой таблицы FAT, вызывая разного  рода искажения на жестком диске, что может полностью уничтожить данные. Некоторые вирусы выводят различные сообщения или “симпатичные” образы издевательского содержания. Другие изменяют контрольные суммы .EXE файлов так, что они перестают запускаться. Ряд вирусов, чтобы начать свои разрушительные действия, ожидают некоторой даты или другого события активации. Имеются вирусы, которые информацию не уничтожают, а при каждом запуске машины постепенно кодируют сектора диска, допуская доступ к кодированной информации только при наличии вируса в памяти. При загрузке, например, с неинцифицированной дискеты прочесть эту информацию невозможно: вместо имён файлов и директорий – сплошной мусор. Попытка же удаления такого вируса может привести к полной потере данных на диске. Согласитесь, работать пользователю, зная, что тебя уже “сосчитали”, психологически тяжело.

     1.2.История  появления вирусов

     В наши дни чаще всего создаются  “злые” вирусы для различных неблаговидных  воздействий на компьютеры, однако первоначально это было не так – программы с вирусоподобными алгоритмами разрабатывались в исследовательских целях.

     Концептуальные  основы компьютерных вирусов были заложены задолго до возникновения самой вирусной угрозы. “Вирусологи” так и не пришли к общему мнению относительно “где” и “когда”. Однако общепринято, что эти идеи родились ещё во времена, когда компьютеры представляли собой огромные и страшно дорогие сооружения, иметь которые могли позволить себе только большие предприятия, крупные НИИ и правительственные учреждения. И хотя многие из циркулирующих сегодня вирусов хищны и злонамеренны, в планы тогдашних программистов и учёных разрушение данных, естественно, не входило.

     Идея  тогда состояла из моделирования  процесса развития живых организмов в природе. Ставилась задача создать компьютерную программу, которая могла бы копировать саму себя (саморепликация). Это можно было также использовать для развития и видоизменения самой программы. Алгоритм работает примерно так: если в процессе репликации происходит некоторая ошибка или изменяются какие-то условия, возникающий в результате программный код должен смутировать, порождая некоторую новую вариацию программы. Именно мутирующий генетический код позволяет биологическому вирусу быть более или менее в состоянии приспосабливаться и распространяться в различных условиях что, в общем, является основой развития всей биологической жизни. Цифровой код-мутант мог бы позволять программе оставаться “в живых” (сохранять работоспособность) при изменении компьютерной и иной среды. Такое поведение программ – шаг на пути к созданию искусственного интеллекта. К сожалению, в данном случае научная фантастика получила совершенно неадекватное и вредное воплощение. Результаты этих исследований и способы реализации алгоритмов достаточно широко освещались в литературе – по крайней мере слушателям компьютерных специальностей они хорошо известны. И, как это часто бывает, - благими намереньями вымостили дорогу в ад.

     Когда компьютерный мир состоял из относительно небольшого количества ЭВМ, вирус, даже если он был написан, не мог быстро и широко распространяться. Но с появлением персонального компьютера вирусы внезапно получили благодатную питательную среду. Лавинообразный рост глобальных сетей, возможность присоединять файлы к сообщениям электронной почты и общий рост зависимости человека от компьютерных информационных технологий – всё это создаёт для распространения компьютерных вирусов превосходные условия.

     Превращение научных экспериментальных научных  программ в коварные вирусы – результат  изменений в аудитории людей, которые этим занимаются. Тех, кто теперь пишет вирусный код, меньше всего интересует изучение возможностей искусственного интеллекта.

     Одни  это делают по недомыслию – многие студенты факультетов информатики, изучив ассемблер или С, с целью  опробовать свои силы в “серьёзном” деле считают своим долгом создать что-то вроде вируса, иногда получая “хорошие” результаты (и, конечно, благополучно забывают эту программу на компьютере в классе).

     Многие  авторы вирусов прекрасно сознают, какими могут быть последствия их изысканий. Однако часто обстоятельства бывают сильнее людей. Известный вирус Stoned был написан одним одарённым школьником средних классов. Создавая вирус, он боялся его распространения и поэтому уничтожил все копии вируса, за исключением одной, которую хранил дома. Его младший брат и пара его друзей стащили вирус и шутки ради заразили им несколько дискет в школе. Инфекция распространилась так быстро, что остановить её было уже невозможно.

     Некоторые занимаются этим сознательно и целеустремлённо, возможно, чтобы в порядке самоутверждения ощутить степень своего зловредного “могущества”. Не исключается и более серьёзные мотивы – терроризм, конкурентная борьба в бизнесе, политика.

     Приходиться признать, что тайная ложа вирусописателей  работает весьма плодотворно. Так, по данным компании Network Associates, известного разработчика антивирусного программного обеспечения, её специалистам каждый месяц приходиться “разбираться” в среднем с 200 новыми вирусами. В общем, человечество само создало себе проблему, масштабы которой не менее серьезны, нежели инфекционные эпидемии, и не считаться с которой сегодня уже нельзя.

     1.3.Принцип  действия вирусов

     Компьютерный  вирус во многом подобен своему прообразу  – биологическому вирусу. Он нападает на один компьютер, затем быстро распространяется среди многих других компьютеров, так как компьютерное сообщество – чрезвычайно открытая система, а инфицированные дискеты и программы постоянно циркулируют среди пользователей. Вирус может находиться в бездействии в течение нескольких дней, месяцев или даже годы, ожидая своего часа и всё это время копирует код своей программы на другие машины.

     Вирусы  присоединяют себя к программам так, чтобы каждый раз, попытаться размножиться, прицепившись к запускаемым после  этого другим программам и исполняемым файлам. Находясь в памяти, вирус может также инфицировать программы и диски, перехватывая инструкции печати или другие стандартные операции. Фактически вирус может скопировать в память и на жесткий диск компьютера при простом просмотре директорий инфицированной дискеты.

     Вирус может быть передан через модем, загружен из Internet, распространён любыми способами передачи компьютерных данных. Наиболее часто, распространяясь с дискеты на дискету, вирусы записываются в блок начальной загрузки жестких дисков и, таким образом, при каждом включении машины вирус будет вновь и вновь загружается в память.

     Вирусы  ведут себя по-разному. Некоторые  сидят в памяти и проявляют  агрессивность, пока система не закрыта. Другие вирусы активизируются только при запуске инфицированных прикладных программ.

     Поскольку главная цель и жизненная функция  вируса (как и живого организма) –  быстрое размножение, то ясно, что  авторы вирусов будут искать для  этого наиболее действенные способы. В связи с этим объектами нападения вирусов крайне редко бывают чисто текстовые файлы, обмен которыми между пользователями не столь интенсивен. То ли дело программы – за короткое время программа может быть скопирована много раз.

      2.Классификация компьютерных вирусов

     Для успешной борьбы с компьютерными вирусами и другими вредоносными программными объектами необходимо четко представлять себе особенности связанных с ними угроз.

     В настоящее время создано огромное количество вредоносных программ, с  трудом поддающихся классификации. Различные специалисты и компании, занимающиеся антивирусной защитой, используют различные подходы к классификации вредоносных программ, что создает дополнительные трудности при изучении проблемы.

                                  по типам вредоносных программ;

                                  по степени распространенности:

                                  по вредоносному воздействию;

                                  по уровню опасности. 

     2.1.По  принципу действия.

     В литературе и документации на антивирусные программы можно встретить следующие типы вредоносных программ по принципу действия:

                   черви;

                   логические бомбы;

                   троянские объекты;

                  программы Backdoor;

                   программные средства для получения несанкционированного доступа к   

                  компьютерным системам.    

     2.1.1.Черви.

     Один  из наиболее опасных сегодня вредоносных  программ, поражающих огромное количество компьютеров по всему миру, это программы-черви:

     Программы-черви  представляют собой программы, которые  проникают в компьютерные системы и выполняют какие-либо вполне определенные вредоносные функции или действия.

     Черви обычно проникают через сеть и рассылают себя на другие узлы сети.

     Чаще  всего черви нацелены на преодоление  защиты системы от несанкционированного доступа. Черви могут устанавливать на компьютер вирусы или вредоносные программы других типов, открывать злоумышленнику полный доступ к пораженной системе и выполнять другие вредоносные функции.

     Сегодня черви распространяются в большинстве  случаев по каналам электронной почты, выводя из строя компьютеры и создавая значительный паразитный трафик в Интернете.

     Однако  существуют и другие возможности  для распространения червей, например, использование дыр в системе безопасности ОС и приложений, установленных на серверах и персональных компьютерах.

     2.1.2.Логические  бомбы

     Вредоносная программа может проявлять себя только при некоторых условиях. Такая программа называется логической бомбой:

     Логическая  бомба — это программа или ее отдельные модули, которые при

определенных  условиях выполняют  вредоносные действия

     Логическая  бомба может быть «заложена» внутрь вредоносных программ другого типа, вызывая их срабатывание в заданное время.

     Логическая  бомба может быть «доставлена» адресату при помощи электронной почты, вместе с вирусом или троянской программой.

     2.1.3.Троянские  объекты

     Троянские объекты имеют двойное назначение. На первый взгляд, такие объекты предназначены для выполнения какой-либо полезной работы или содержат в себе какую-либо полезную информацию. Однако скрытое назначение троянских объектов наносит вред компьютерным системам или их владельцам.

     На  сегодня известны троянские объекты следующих типов:

                                  троянские программы;

                                  троянские Web-сайты;

                                  троянские сообщения электронной  почты.

     2.1.4.Программы Backdoor

     Некоторые вредоносные программы специально разрабатываются для получения  несанкционированного (и незаметного) доступа к ресурсам компьютера.

     Такие программы как бы создают для  злоумышленника «черный вход» в  систему, поэтому они называются программами Backdoor:

     Вредоносной программой Backdoor называется такая программа, которая проникает на компьютер пользователя, предоставляя злоумышленнику возможность удаленного управления компьютером

     Функции Backdoor могут быть заложены в программу ее разработчиком, например, с целью получения в дальнейшем несанкционированного доступа к функциям программы или ко всей компьютерной системе пользователя программы.

     Возможность получения несанкционированного доступа  может также образоваться в результате наличия ошибок в программах или  операционных системах.

     2.1.5.Средства  для получения  несанкционированного  доступа

     Через Интернет распространяются программные средства, предназначенные для получения несанкционированного доступа к компьютерам и компьютерным системам. Их можно разделить на следующие категории:

          -программы и сценарии, позволяющие получить несанкционированные доступ с помощью известных ошибок в прикладных программах и операционных системах;

           -программы, предназначенные для расшифровки зашифрованной парольной информации по словарям наиболее употребительных паролей, а также методом прямого перебора;

          -системы фильтрации сетевого трафика, позволяющие извлекать из потока данных парольную информацию, тексты передаваемых сообщений электронной почты, адреса посещенных ресурсов Интернета и другую чувствительную информацию;

          -троянские программы с функциями Backdoor, предоставляющие злоумышленнику доступ к системе пользователя, запустившего такую программу на выполнение

     Надо  отметить, что злоумышленники постоянно  совершенствуют средства, предназначенные для получения несанкционированного доступа к компьютерным системам. При этом они используют новые, только что обнаруженные дыры в защите программ и операционных систем.

     Все это означает, что для успешной борьбы с такими средствами необходимо не только использовать специальное  защитное ПО, но и своевременно устанавливать  пакеты исправления ошибок в ОС и в прикладных программах.

     2.2.По способу распространения

Основными типами компьютерных вирусов по способу распространения являются: 
                             Программные вирусы, 
                             Загрузочные вирусы; 
                             Макро вирусы.

                            Файлово-загрузочные вирусы;

                             Стелс-вирусы;

                             Шифрующиеся вирусы;

                             Полиморфные вирусы;

                             Макрокомандные вирусы;

                             Почтовые вирусы;

                             Бестелесные вирус;

                             Вирусы для пиринговых сетей;

                             Комбинированные вирусы. 

                               

      2.2.1.Программные вирусы.

       Программные вирусы – это блоки программного кода, целенаправленно внедрённые внутрь других прикладных программ.

      При запуске программы, несущей вирус, происходит запуск имплантированного в неё вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой структуре жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением. По происшествие определеного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы зараженных программ, нарушению работы операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.         Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска – достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются уничтожением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой системы. В этом случае данные жесткого диска остаются нетронутыми но воспользоваться ими нельзя, поскольку неизвестно, какие сектора каким файлам принадлежит. Теоречески восстановить данные в этом случае возможно, но практически трудоёмкость этих работ исключительно высока. Считается, что такой вирус не в состояние вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечения настолько взаимосвязаны, что программные повреждения приходится устранять заменой программных средств. Так, например, в большинстве современных материнских плат базовая система ввода- вывода (BIOS) хранится в постоянно запоминающих перезаписываемых устройствах (так называемая флэш-память). Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS. В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо ее перепрограммирование на специальных устройствах, называемых программаторами. Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, диск CD-ROM и т.п.) или принятых по каналам компьютерных сетей. При обычном копировании зараженных файлов заражение компьютерапроисходить не может.                            

    2.2.2.Загрузочные вирусы

    От  программных вирусов загрузочные вирусы отличаются методом распространения. Оно поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти. Обычно заражение компьютера происходит при попытке загрузить компьютер с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочные сектора жестких дисков. Далее этот компьютер сам становится источником загрузочного вируса – он автоматически переносится в системные области всех гибких дисков, записываемых на данном компьютере.

      2.2.3.Макро вирусы

      Эта особая разновидность вирусов поражает документы, выполненных в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение doc). Заражение происходит при открытии файла документа в окне родительской программы, если в самой программе не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным. Методы защиты от компьютерных вирусов 

           Существует три рубежа защиты от компьютерных вирусов: .

      1.Предотвращение поступления компьютерных вирусов:

      2.Предотвращения вирусной атаки, если вирус всё-таки поступил на компьютер;

      3.Предотвращение  разрушительных последствий, если  атака всё-таки произошла

          Существует три метода реализации рубежей обороны:

      1.Программные методы защиты; .

      2.Аппаратные методы защиты;

      3.Организационные методы защиты. 

      В вопросе защиты ценных данных часто  используют бытовой подход: болезнь лучше предотвратить, чем лечить. К сожалению, именно он вызывает наиболее разрушительные последствия. Создавая бастионы на пути проникновения вирусов в компьютер нельзя полагаться на их прочность и остаться не готовым к тому, что надо делать, когда вирусная атака всё-таки произойдет. К тому же вирусная атака – далеко не единственная возможность полной утраты информации. Существуют программные сбои, которые могут вывести из строя операционную систему, аппаратные сбои, способные сделать жесткий диск нечитаемым. Всегда существует вероятность того, что компьютер вместе с ценными данными может быть утрачен в результате кражи, пожара или иного стихийного бедствия. Поэтому создавать систему защиты следует в первую очередь “с конца” – с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража в помещении или физический выход жесткого диска из строя. Надежная и безопасная работа с компьютером достигается тогда, когда любое неожиданное событие, в том числе и полное уничтожение данных на жестком диске, не приведет к ощутимым потерям (потеря нескольких часов на восстановление работоспособности компьютерной системы в данном случае считается незначительной).

     2.2.4.Файлово-загрузочные  вирусы

     Загрузочные вирусы могут распространяться только через загрузочные записи дискет, а файловые вирусы — через файлы. Это в некоторой степени ограничивает их распространение.

     Однако  существуют комбинированные файлово-загрузочные вирусы, которые сочетают в себе свойства и файловых, и загрузочных вирусов:

     Файлово-загрузочным  вирусом называется такой вирус, который  является комбинацией файлового и загрузочного вируса.

     Он  прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла

     Такие вирусы могут распространяться как  файловые, прикрепляясь затем к загрузочным записям дисков и дискет. Они также способны распространяться через загрузочные записи дискет, заражая затем файлы.

     2.2.5.Стелс-вирусы

     Сразу после появления первых компьютерных вирусов стали создаваться и  первые антивирусные программы. Такие программы сканировали содержимое оперативной памяти и дисков компьютера, обнаруживая и нейтрализуя вредоносный код.

     В качестве ответной меры разработчики вирусов научились создавать  такие вирусы, которые умеют «прятаться»  от антивирусных программ. С этой целью вирусы перехватывают вызовы некоторых функций ОС.

     Благодаря такому перехвату антивирус, читая  зараженный файл или загрузочную  запись, фактически получает незараженные данные. Тем самым антивирус вводится в заблуждение.

     Вот определение стелс-вируса, работающего по описанной выше схеме:

     Стелс-вирусом  называется вирус, оставляющий  в памяти компьютера модули, перехватывающие обращение программ к дискам.

     Когда программа читает зараженный файл или  загрузочную запись, стелс-вирус подменяет данные, чтобы ввести в заблуждение антивирусные программы

     Следует отметить, что были разработаны и  ответные меры. Используя специальные  методики и программное обеспечение, можно организовать защиту и от стелс-вирусов.

     2.2.6.Шифрующиеся  вирусы

     Первые  антивирусные программы искали вирусы, сравнивая содержимое файлов и секторов диска с характерными фрагментами  вирусов (с сигнатурами вирусов). Именно эти фрагменты хранились в вирусных базах данных антивирусных программ.