Компьютерные вирусы. Основные антивирусные программы.

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ  ФЕДЕРАЦИИ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ИНСТИТУТ  МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК

КАФЕДРА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Курсовая  работа 
по информационным системам

По теме:

Компьютерные  вирусы. Основные антивирусные программы. 
 
 
 

                    Выполнил: 
                     

                    Научный руководитель: 

Тюмень 2011 

Оглавление

 

Введение

     В настоящее время очень сильно распространены вирусные программы. Для  борьбы с ними написаны антивирусные программы. С помощью них можно  защитить свой компьютер от хищения  данных, порчи аппаратной и программной  части компьютера. Мы рассмотрим лучшие на 2011 год антивирусные программы.

 

     

Вирус. Защита от компьютерных вирусов. Обзор популярных антивирусных программ.

    1. Компьютерный  вирус. Классификация. Признаки заражения компьютера.

     Компьютерный  вирус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом. 

      Классификация:

     Ныне  существует немало разновидностей вирусов, различающихся по основному способу  распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ. 

   В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

  • по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
  • по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
  • по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
  • по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
  • по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).
 

      Рассмотрим  некоторые виды:

   Червь (Worm) – это программа, которая тиражируется на жестком диске, в памяти компьютера и распространяется по сети. Особенностью червей, отличающих их от других вирусов, является то, что они не несут в себе никакой вредоносной нагрузки, кроме саморазмножения, целью которого является замусоривание памяти, и как следствие, затормаживание работы операционной системы.

   Троян или троянский конь (Trojans) - это программа, которая находится внутри другой, как правило, абсолютно безобидной программы, при запуске которой в систему инсталлируются программа, написанная только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

     Таким образом, троянские программы  являются одним из самых опасных  видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий. 

     Зомби (Zombie) - это программа-вирус,  которая после проникновения  в компьютер, подключенный к  сети Интернет управляется извне  и используется злоумышленниками для организации атак на другие компьютеры. Зараженные таким образом компьютеры-зомби могут объединяться в сети, через которые рассылается огромное количество нежелательных сообщений электронной почты, а также распространяются вирусы и другие вредоносные программы. 

   Шпионская программа (Spyware) -  это программный  продукт, установленный или проникший  на компьютер без согласия его  владельца,  с целью получения  практически полного доступа  к компьютеру, сбора и отслеживания личной или конфиденциальной информации.

   Эти программы, как правило, проникают  на компьютер при помощи сетевых  червей, троянских программ или под  видом рекламы (adware). 

   Одной из разновидностей шпионских программ являются фишинг рассылки. 

   Фишинг  (Phishing) -  это почтовая рассылка имеющая своей целью получение конфиденциальной финансовой информации. Такое письмо, как правило, содержит ссылку на сайт, являющейся точной копией интернет-банка или другого финансового учреждения. Пользователь, обычно, не догадывается, что находится на фальшивом сайте и спокойно выдает злоумышленникам информацию о своих счетах, кредитных карточках, паролях и т. д.  

     Фарминг – это замаскированная  форма фишинга, заключающаяся  в том, что при попытке зайти  на официальный сайт интернет  банка или коммерческой организации,  пользователь автоматически перенаправляется на ложный сайт, который очень трудно отличить от официального сайта.  

   Как и в случае фишинга основной целью  злоумышленников, использующих фарминг, является завладение личной финансовой информацией пользователя.  Отличие заключается только в том, что вместо электронной почты мошенники используют более изощренные методы направления пользователя на фальшивый сайт. 

     Полезные  компьютерные вирусы:

     Разве вирусы бывают полезными? По авторитетному заявлению представителей «Лаборатории Касперского» полезных вирусов не бывает. О чем же тогда идет речь? Что подразумевают специалисты, когда речь заходит о полезных компьютерных вирусах. Это довольно старая история, наделавшая в свое время много шума, когда появился первый вирус с полезными свойствами под названием Welchia.

Welchia - это  один из немногих вирусов, целью  которого является нейтрализация  другого вируса, а именно, сетевого  червя Lovesan (Blaster). Welchia проникает в  компьютер через брешь в системе безопасности Windows, предварительно убедившись, что туда уже проник Lovesan. Затем она удаляет противника и полностью восстанавливает пораженную систему, попутно загружая обновление, закрывающее уязвимость Windows.

     Кто и зачем создал этот «чудесный» вирус до сих пор остается загадкой. Пытался ли разработчик изобрести супер современный антивирусный вирус для глобальной борьбы с вредоносными программами, или лечение компьютеров было лишь хорошей маскировкой не очень позитивных целей, на сегодняшний день не так уж важно.

     Важно другое, а именно то, что некоторые  разработчики антивирусных программ до сих пор считают, что наилучшим  средством борьбы с компьютерными  вредоносными программами является специально разработанный для этой цели вирус.

     Как уже упоминалось, у  Лаборатории Касперского есть вполне определённое мнение на этот счет, а именно: 

     «…нет полезных вирусов. Есть вирусы деструктивные  и недеструктивные. Но все они  являются киберпреступлением, поскольку  выполняют несанкционированные  действия и всегда имеют негативные побочные действия. Вместо того, чтобы надеяться на "антивирусный вирус", лучше учиться защищать компьютер своими силами. Таким образом, мы действительно предотвратим проникновение в систему вредоносных программ и избежим усиления хаоса в интернете.»

     А что касается ответа на вопрос: "Существуют ли полезные вирусы?" - судите сами... 

     Механизм  рапространения:

     Вирусы  распространяются, копируя свое тело и обеспечивая его последующее  исполнение: внедряя себя в исполняемый  код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость. 

     Каналы распространения:

  • Дискеты

     Самый распространённый канал заражения  в 1980-90 годы. Сейчас практически отсутствует  из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

  • Флеш-накопители (флешки)

     В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов  распространяется через съёмные  накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), а с 2000-ных годов всё большую роль играют мобильные телефоны, особенно смартфоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету.

  • Электронная почта

     Обычно  вирусы в письмах электронной  почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах  могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

  • Системы обмена мгновенными сообщениями

     Также распространена рассылка ссылок на якобы  фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.

  • Веб-страницы

     Возможно  также заражение через страницы Интернета ввиду наличия на страницах  всемирной паутины различного «активного»  содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

  • Интернет и локальные сети (черви)

     Черви — вид вирусов, которые проникают  на компьютер-жертву без участия  пользователя. Черви используют так  называемые «дыры» (уязвимости) в программном  обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

    Признаки  заражения компьютера:

     - вывод на экран монитора компьютера неожиданных сообщений или изображений, не запланированных действиями пользователя или действиями программ работающих в данный момент;

     - подача произвольных звуковых  сигналов;

     - произвольный запуск программ;

     - сообщение сетевого экрана, если  такой есть в наличии, о несанкционированно обращении незнакомых программ к ресурсам в сети;

     - друзья или знакомые сообщают  вам о получении писем от  вас, которые вы не отправляли;

     - друзья или знакомые жалуются, что вы присылаете им письма  с вирусами;

     - на ваш почтовый ящик приходит много писем без обратного адреса или заголовка;

     - на ваш почтовый ящик приходят  письма с репортом о не доставки  до адресата, так как такого  адреса не существует, или ящик  переполнен;

     - компьютер часто зависает, присутствуют  постоянные сбои при работе программ;

     - компьютер медленно работает  при запуске некоторых программ;

     - компьютер зависает на несколько  секунд, потом работа продолжается  в обычном режиме;

     - операционная система загружается  долго или вообще не грузится;

     - пропадают файлы или каталоги;

     - искажается информация в некоторых  файлах или каталогах;

     - неожиданно появляются файлы  или каталоги со странными  именами;

     - компьютер часто обращается к  жесткому диску, хотя не какие  программы не запускались и  в данный момент не функционируют;

     - интернет браузер ведет себя  странным образом, часто зависает, самостоятельно изменяется стартовая  страница, спонтанно открываются  несанкционированные страницы, предлагает  загрузить файл из Интернета.

     Данные  признаки в большинстве случаев свидетельствуют о заражении вашего компьютера вирусом. Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

    1. Методы  и средства защиты от компьютерных вирусов

     Основным  средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления  о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

    Программно-технические  методы обнаружения  вирусов:

     Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

  1. сканирование;
  2. эвристический анализ;
  3. использование антивирусных мониторов;
  4. обнаружение изменений;
  5. использование антивирусов, встроенных в BIOS компьютера.

    Сканирование:

     Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

     Антивирусные  программы-сканеры способны найти  только уже известные и изученные  вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения  новых вирусов.

     Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

    Эвристический анализ:

     Эвристический анализ позволяет обнаруживать ранее  неизвестные вирусы, причем для этого  не надо предварительно собирать данные о файловой системе, как этого  требует, например, рассмотренный ниже метод обнаружения изменений.

     Антивирусные  программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные  в исполнимый файл программы.

     Практически все современные антивирусные программы  реализуют собственные методы эвристического анализа.

     Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение  на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

     Если  это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность — удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).

    Антивирусные  мониторы:

     Существует  еще целый класс антивирусных программ, которые постоянно находятся в памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название антивирусных мониторов или сторожей.

     Монитор автоматически проверяет все  запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

    Обнаружение изменений:

     Когда вирус заражает компьютер, он изменяет содержимое жесткого диска, например, дописывает свой код в файл программы  или документа, добавляет вызов  программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. Таких изменений, однако, не делают «бестелесные» вирусы, обитающие не на диске, а в памяти процессов ОС.

     Антивирусные  программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

    Защита, встроенная в BIOS компьютера:

     В системные платы компьютеров  тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют  контролировать все обращения к  главной загрузочной записи жестких  дисков, а также к загрузочным  секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение.

     Однако  эта защита не очень надежна. Существуют вирусы, которые пытаются отключить  антивирусный контроль BIOS, изменяя  некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

    1. Обзор популярных антивирусов

     Рядовому  пользователю, задавшемуся целью  обезопасить свой компьютер с  помощью надёжного антивируса, даже поискав в интернете сложно разобраться - что же ставить? Какому из антивирусов отдать предпочтение?

     Сегодня существует два основных направления  в антивирусной защите – защита по сигнатурам (базам антивирусов) и  проактивная защита (эвристический  анализ). Качество первой зависит от частоты обновляемости баз вирусов. Вторая от методики и механизмов самого анализа. Рассмотрим самые популярные антивирусы именно с этих точек зрения. На основе данных от одного из ведущих сайтов рынок антивирусов на территории России отображен на рисунке 1.

Рисунок 1. Диаграмма — Рынок Антивирусов на территории РФ

     Посмотрев на график, выберем для рассмотрения антивирусные продукты Лаборатории  Касперского (Kaspersky 2012), ESET (Eset Nod32), Symantec (Norton Антивирус).

    "Kaspersky 2012"

     Универсальное решение для защиты компьютера от широкого спектра вредоносных программ: вирусов, троянских программ, червей, spyware-компонентов, руткитов и т.д. Программа в работе использует не только сигнатурный анализ, но также проактивные методы защиты - эвристическое детектирование и применение поведенческих блокираторов. Все это в комплексе позволяет выявлять и обезвреживать как известные malware-угрозы, так и новые, пока еще неизвестные.

     При проведении теста на обнаружения вирусов, эта российская программа выявила 97,27 процентов вирусов.

     Антивирус Касперского достиг результатов в эвристических тестах – программа защищает компьютер от нового вредоносного ПО с неизвестной сигнатурой. Программы, использующиеся хакерами для взлома компьютера, ускользают от традиционных сигнатурных сканеров. С данной ситуацией Kaspersky справится и заблокирует 66,83 % таких проникновений.

     Антивирус Касперского очень хорошо справляется  с обнаружением программ руткитов. Он обнаружил и удалил 10 из 10 программ руткитов, которыми был предварительно заражен компьютер. Kaspersky действовал более успешно, чем другие похожие приложения, избавившись от вредоносных элементов, которые проникли даже в системный реестр.

     При тестировании Антивируса Касперского  на пропускную способность информации при сканировании на наличие вирусов, были получены следующие результаты - 12.15MBps.

     Плюсы: очень тесная интеграция в систему, богатая функциональность, улучшенная оптимизация, отличное качество сканирования, информативный и в то же время интуитивный интерфейс, большое количество настроек и их гибкость, невозможность «убить» антивирус простыми средствами.

     Минусы: всплывающие предупреждения Антивируса Касперского больше сбивают с толку, чем несут полезной информации. В тестах данное ПО показывает многочисленные предупреждения, и можете зафиксировать их, если только сядете напротив экрана и будите прочитывать все сообщения, которые появляются в течении сканирования. Нет модуля, который бы собирал бы предупреждения и выдавал после сканирования их перечень, с возможностью детального ознакомления с каждым сообщением.

    "Eset NOD 32"

     Удобный инструмент для комплексной защиты от вирусов, троянских программ, червей, рекламного ПО, шпионских программ и руткитов. Программа базируется на сочетании эвристических методов и традиционного сигнатурного детектирования, и потому обеспечивает защиту не только от известных, но и неизвестных угроз.

     Eset NOD32 показал высокий уровень детектирования всех видов вредоносного ПО, в том числе троянских программ, червей, макровирусов, обнаружив при максимальных настройках сканера 91,6% угроз из более чем 2 миллионов образцов вредоносных программ.

     При тестировании Антивируса Eset NOD32 на пропускную способность информации при сканировании на наличие вирусов, были получены следующие результаты -15.2MBps.

     Плюсы: Программа отличается высоким быстродействием, предъявляет минимальные требования к системным ресурсам, удобна и, в сравнении со многими аналогами, минимально отвлекает пользователя от работы.

     Минусы: Главным недостатком европейского антивируса является то, что он плохо "лечит" файлы. Т.е. если файл уже заражен вирусом, в редких случаях NOD32 может его вылечить, что конечно не может не расстраивать пользователя.

    "Norton Antivirus"

     Один из популярных в мире антивирусов. Программа выявляет и блокирует вирусы, червей, троянов, шпионские модули и adware-компоненты на базе сигнатурных баз, а реализованная в ней технология SONAR (Symantec Online Network for Advanced Response), базирующаяся на анализе происходящих в системе изменений, позволяет обнаруживать пока еще не внесенные в сигнатуры вирусы и spyware-модули. Последняя версия этого решения отличается от предыдущих заметно меньшим потреблением системных ресурсов и более высокой производительностью, но все равно к ресурсам достаточно требовательна, и запуск многих операций (но не сканирование!) выполняет, на наш взгляд, по-прежнему достаточно медленно.

     При прохождении теста на выявление  вредоносного ПО: троянов, шпионящего ПО, червей, другого вредоносного ПО, Norton показал хорошие результаты – 89,5 процентов обнаруженного вредоносного ПО. Однако другие антивирусы смогли показать лучшие результаты, что позволило Norton занять лишь почетное третье место в данной категории.

     Norton показал не очень хорошие результаты  в эвристических тестах, то есть  возможность выявления нового и вредоносного ПО. Norton заблокировал лишь 42 процента из новейшего вредоносного ПО и двухнедельных сигнатурных файлов, это второй из наихудших результатов среди протестированных антивирусов.

Компьютерные вирусы. Основные антивирусные программы. 📙 Реферат → 🆔 123034

Компьютерные вирусы. Основные антивирусные программы. 📙 Реферат → 🆔 123034

Компьютерные вирусы. Основные антивирусные программы.