Типы, виды, пути заражения
Это специально написанная программа или сборка алгоритмов которые пишутся с целью: пошутить, навредить чьему либо компьютеру, получение доступа к вашему компьютеру, для перехвата паролей или вымогания денег. Вирусы могут само-копироваться и заражать вредоносным кодом ваши программы и файлы, а так же загрузочные сектора.
Разделить вредоносные программы можно на два основных вида. Вирусы и черви.
- распространяются через вредоносный файл, который вы могли скачать в интернете, или может оказаться на пиратском диске, или часто передают их по скайпу под видом полезных программ (заметил что на последнее часто попадаются школьники, им передают якобы мод для игры или читы а на самом деле может оказаться вирусом который может навредить). Вирус вносит свой код одну из программ, либо маскируется отдельной программой в том месте куда обычно пользователи не заходят (папки с операционной системой, скрытые системные папки). Вирус не может запуститься сам, пока вы сами не запустите зараженную программу.
заражают уже множество файлов вашем компьютере, например все exe файлы, системные файлы, загрузочные сектора и тд. Черви чаще всего проникают в систему уже сами, используя уязвимости вашей ОС, вашего браузера, определенной программы. Они могут проникать через чаты, программы для общения такие как skype, icq, могут распространяться через электронную почту. Так же они могут быть на сайтах, и используя уязвимость вашего браузера проникнуть в вашу систему. Черви могут распространяться по локальной сети, если один из компьютеров в сети окажется заражен он может распространяться на остальные компьютеры заражая все файлы на своём пути. Черви стараются писать под самые популярные программы. Например сейчас самый популярный браузер « Chrome », поэтому мошенники будут стараться писать под него, и делать вредоносный код на сайты под него. Потому что часто интереснее заразить тысячи пользователей которые используют популярную программу чем сотню с непопулярной программой. Хотя chrome и постоянно улучшает защиту. Лучшая защита от сетевых червей это обновлять ваши программы и вашу операционную систему. Многие пренебрегают обновлениями о чем часто жалеют. Несколько лет назад я замечал следующий червь. Но он явно попал не через интернет а скорее всего через пиратский диск. Суть его работы была таковой — он создавал будто бы копию каждой папки в компьютере или на флешке. Но на самом деле он создавал не похожую папку а exe файл. При нажатии на такой exe файл он распространялся ещё сильнее по системе. И вот было только избавишься от него, придешь к другу с флешкой, скинуть у него музыку а возвращаешься с зараженной таким червем флешку и снова приходилось его выводить. Наносил ли этот вирус какой то ещё вред системе я не знаю, но вскоре этот вирус прекратил своё существование.
На самом деле существует множество видов и разновидностей компьютерных угроз. И все рассмотреть просто невозможно. Поэтому мы рассмотрим самые распространенные в последнее время и самые неприятные. Вирусы бывают : — Файловые — находятся в зараженном файле, активируются когда пользователь включает эту программу, сами не могут активироваться. — Загрузочные — могут загружаться при загрузке windows попав в автозагрузку, при вставке флешки или подобное.
- это различные скрипты которые могут находиться на сайте, могут прислать их вам по почте или в документах Word и Excel, выполняют определенные функции заложенные в компьютере. Используют уязвимости ваших программ.
Типы вирусов. - Троянские программы — Шпионы — Вымогатели — Вандалы — Руткиты — Botnet — Кейлогеры
Это самые основные виды угроз которые могут вам встретиться. Но на самом деле их намного больше. Некоторые вирусы могут даже комбинироваться и содержать в себе сразу несколько видов этих угроз.
Название происходит от троянского коня. Проникает в ваш компьютер под видом безвредных программ, потом может открыть доступ к вашему компьютеру или переслать ваши пароли хозяину. В последнее время распространены такие трояны которые называются стилеры ( stealer ). Они могут воровать сохраненные пароли в вашем браузере, в почтовых игровых клиентах. Сразу после запуска копирует ваши пароли и отправляет ваши пароли на email или на хостинг злоумышленнику. Ему остается собрать ваши данные, потом их либо продают либо используют в своих целях.
) отслеживают действия пользователя. Какие сайты посещает или что делает пользователь на своём компьютере.
. К ним относятся Винлокеры ( winlocker ). Программа полностью, или полностью блокирует доступ к компьютеру и требует деньги за разблокировку, на пример положить на счет или тд. Ни в коем случае если вы попали на такое не стоит пересылать деньги. Компьютер вам не разблокируется, а деньги вы потеряете. Вам прямая дорога на сайт компании Drweb, там можно найти как разблокировать многие винлокеры, за счет ввода определенного кода или выполнения некоторых действий. Некоторые винлокеры могут пропасть например через день.
могут блокировать доступы к сайтам антивирусов и доступ к антивирусам и многим другим программам.
( rootkit ) — вирусы гибриды. Могут содержать в себе различные вирусы. Могут получать доступ к вашему пк, и человек будет полностью иметь доступ к вашему компьютеру, причем могут слиться на уровень ядра вашей ОС. Пришли из мира Unix систем. Могут маскировать различные вирусы, собирать данные о компьютере и обо всех процессах компьютера.
достаточно неприятная вещь. Ботнеты это огромные сети из зараженных компьютеров «зомби», которые могут использоваться для ддоса сайтов и прочих кибер атак, используя зараженные компьютеры. Этот вид очень распространен и его тяжело обнаружить, даже антивирусные компании могут долго не знать о их существовании. Очень многие могут быть ими заражены и даже не подозревать об этом. Не исключении вы и даже может и я.
— клавиатурные шпионы. Перехватывают всё что вы вводите с клавиатуры (сайты, пароли ) и отправляет их хозяину.
Основные пути заражения. — Уязвимость операционной системы. — Уязвимость в браузере — Качество антивируса хромает — Глупость пользователя — Сменные носители. Уязвимость ОС — как бы не старались клепать защиту для ОС со временем находятся дыры безопасности. Большинство вирусов пишется под windows так как это самая популярная операционная система. Лучшая защита это постоянно обновлять вашу операционную систему и стараться использовать более новую версию. Браузеры — Здесь происходит за счёт уязвимостей браузеров, особенно если они опять же старые. Лечится так же частым обновлением. Так же могут быть проблемы если вы качаете плагины для браузера со сторонних ресурсов. Антивирусы — бесплатные антивирусы которые имеют меньший функционал в отличие от платных. Хотя и платные не дают 100 результата в защите и дают осечки. Но желательно иметь всё же хотя бы бесплатный антивирус. Я уже писал про бесплатные антивирусы в этой статье. Глупость пользователя — клики по баннерам, переходи по подозрительным ссылкам из писем и тд, установка софта из подозрительных мест. Сменные носители — вирусы могут устанавливаться автоматически с зараженных и специально подготовленных флешек и прочих сменных носителей. Не так давно мир услышал про уязвимость BadUSB.
Файлы — Заражают ваши программы, системные и обычные файлы. Загрузочные секторы — резидентные вирусы. Заражают как понятно из названия загрузочные сектора компьютера, приписывают свой код в автозагрузку компьютера и запускаются при запуске операционной системе. Порою хорошо маскируются что трудно убрать из автозагрузки. Макрокоманды — Документы word, excel и подобные. Использую макросы и уязвимости средств Microsoft office вносит свой вредоносный код в вашу операционную систему.
Не факт что при появлении некоторых из этих признаков означает наличие вируса в системе. Но если они имеются рекомендуется проверить свой компьютер антивирусом или обратиться к специалисту. Один из распространенных признаков — это сильная перегрузка компьютера. Когда у вас медленно работает компьютер, хотя у вас ничего вроде бы не включено, программ которые могут сильно нагружать компьютер. Но если у вас антивирус заметьте антивирусы сами по себе нагружают компьютер очень хорошо. А в случае отсутствия такого софта который может грузить то скорее тут вирусы. Вообще советую по уменьшить для начала количество запускаемых программ в автозапуске.
Медленная загрузка программ, так же может быть одним из признаков заражения. Но не все вирусы могут сильно нагружать систему, некоторые практически трудно заметить изменения. Системные ошибки. Перестают работать драйвера, некоторые программы начинают работать не правильно или часто вылетают с ошибкой но раньше допустим такого не замечалось. Или начинают часто перезагружаться программы. Конечно такое бывает из за антивирусов, например антивирус удалил по ошибке посчитав системный файл вредоносным, либо удалил действительно зараженный файл но он был связан с системными файлами программы и удаление повлекло за собой такие ошибки.
Появление рекламы в браузерах или даже на рабочем столе начинают появляться баннеры. Появление не стандартных звуков при работе компьютера (писк, щелчки ни с того ни с сего и подобное). Открывается сам по себе CD/DVD привод, или просто начинает словно читать диск хотя диска там нет. Длительное включение или выключение компьютера. Угон ваших паролей. Если вы заметили что от вашего имени рассылается различный спам, с вашего почтового ящика или странички социальной сети, как вероятность что вирус проник в ваш компьютер и передал пароли хозяину, если вы заметили такое рекомендую провериться антивирусом в обязательном порядке (хотя не факт что именно так злоумышленник получил ваш пароль). Частое обращение к жесткому диску. У каждого компьютера есть индикатор, который мигает когда используют различные программы или когда копируете, скачиваете, перемещаете файлы. Например у вас просто включен компьютер но не используется никаких программ, но индикатор начинает часто мигать якобы используются программы. Это уже вирусы на уровне жесткого диска. Вот собственно и рассмотрели компьютерные вирусы которые могут вам встретиться в интернете. Но на самом деле их в разы больше, и полностью защититься не возможно, разве что не пользоваться интернетом, не покупать диски и вообще не включать компьютер.
План презентации Понятие вредоносного программного обеспечения. Классификация вредоносного программного обеспечения. Компьютерные вирусы. Признаки появления и способы заражения вирусами. Программные антивирусные средства. Темы самостоятельных исследований.
К вредоносному программному обеспечению относятся сетевые черви, компьютерные вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие какой-либо вред компьютеру, на котором они запускаются, или другим компьютерам в сети. ( http://www.viruslist.com/ru )
« Лаборатория Касперского » подвела «вирусные» итоги 2005 г. Е.Касперский констатировал двойное увеличение количества вредоносных программ в 2005 г. В месяц их появляется более 50 тыс., и все чаще создаются они не хакерами-самоучками, а организованными преступными группами с целью извлечения коммерческой выгоды. Источник: http://www.osp.ru Хроники «чумы» компьютерного века Более четырех тысяч компакт-дисков с ком-пьютерными вирусами изъяты у продавца на радио-рынке. Цены за компакт-диски с обложками « Все для хакеров » стоили не дороже, чем диски с фильмами или музыкой. Источник: RUpor.info Ежегодно американский Институт компьютерной безопасности совместно с компьютерным подраз-делением Федерального бюро расследований проводит весьма подроб-ное исследование ком-пьютерной преступности По итогам 2005 г. первое место по убыткам тради-ционно занимают вирусы. В сумме они нанесли потери в 42 757 767 долларов (38,86% от всех убытков из-за ИТ-угроз). Источник: http://www.infobez.ru
В редоносно е программно е обеспечени е Классические компьютерные вирусы Троянские программы Сетевые черви Проникно - вение на удаленные компьютеры Запуск своей копии на удаленном компьютере Дальнейшее распространение на другие компьютеры в сети Сбор информации и ее передача злоумышленнику Разрушение или злонамеренная модификация Нарушение работо - способности компьютера Последую - щий запуск своего кода Дальнейшее внедрение в другие ресурсы компьютера Использование ресурсов компьютера в неблаговидных целях Worm.Win32. Lovesan I-Worm.Swen I-Worm.Sobig.f Trojan-Proxy. Win32. Mitglieder Backdoor. Agobot.gen Trojan-Downloader.BAT.Ftp.ab Win32.FunLove. 3662 Win32. Xoral a Win32.Parite.a Win95. Spaces. 1245 Прочие вредоносные программы « З амусо - ривание» сети Сетевые атаки Взломщики удаленных компью - теров Фатальные сетевые атаки DoS.Perl. Avirt HackTool.Win32.CrackSearch.a Flooder. Win32.Fuxx DoS.Win32.DieWar 2. Классификация вредоносного программного обеспечения
Классические компьютерные вирусы К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью: последующего запуска своего кода при каких-либо действиях пользователя; дальнейшего внедрения в другие ресурсы компьютера. Троянские программы В данную категорию входят программы, осу-ществляющие несанкцио-нированные пользовате-лем действия: сбор ин-формации и ее передачу злоумышленнику, ее раз-рушение или модифика-цию, нарушение работо-способности компьютера, использование ресурсов компьютера в неблаго-видных целях. . Сетевые черви К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью: проникновения на удаленные компьютеры; запуска своей копии на удаленном компьютере; дальнейшего распространения на другие компьютеры сети. Прочие вредоносные программы К данной категории относятся: утилиты автоматизации создания сетевых червей, вирусов и троянских программ библиотеки, разработанные для создания вредоносного ПО; утилиты скрытия кода зараженных файлов от антивирусной проверки
Существует несколько определений компьютерных вирусов. « Компьютерный вирус — это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам «заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные нежелательные действия на компьютере» (3, 208). «Компьютерным вирусом называется способная к самовоспроизводству и размножению программа, внедряющаяся в другие программы» (2, 145) «Компьютерный вирус - фрагмент исполняемого кода, который копирует себя в другую программу (главную программу), модифицируя ее при этом. Дублируя себя, вирус заражает другие программы. Вирус выполняется только при запуске главной программы и вызывает ее непредсказуемое поведение, приводящее к уничтожению и искажению данных и программ» ( http://www.glossary.ru ). «Компьютерный вирус - программа, имеющая возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие объекты с целью искажения и уничтожения данных и программ.( Словарь прикладной интернетики / Нехаев С.А., Кривошеин Н.В., Андреев И.Л., Яскевич Я.С.) При этом дубликаты сохраняют способность к дальнейшему распространению. Такие программы, как правило, составляются на языке ассемблера, никаких сообщений на экран дисплея не выдают. Переносятся при копировании с диска на диск либо по сети Интернет.( Словарь прикладной интернетики / Нехаев С.А., Кривошеин Н.В., Андреев И.Л., Яскевич Я.С.)
Первый вирус для PC был обнаружен ровно 20 лет назад - в январе 1986 года. Назывался он Brain.A и распространялся "перекрестным опылением" - через дискеты. Инфицируя загрузочный сектор машины, вирус приступал к копированию себя во все доступные файлы. Вирус был безопасен, не причинял никакого особого вреда, но именно он стал родоначальником длинной вереницы своих последователей, за прошедшие 20 лет успевших "эволюционировать" в порой весьма агрессивные "особи". Вирусы же, поражающие загрузочный сектор, благополучно "вымерли" уже с 1995 года, когда против них появились достаточно эффективные средства борьбы, а сами дискеты почти перестали использоваться - появилась технология оптических носителей. ( Itnews.com.ua )
на сайте http://apisoft.nnov.ru «О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных виру- сов появилась намного раньше самих персональных компьютеров ». ( http://apisoft.nnov.ru )
Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам: по среде обитания вируса; по способу заражения среды обитания; по деструктивным возможностям; по особенностям алгоритма вируса.
Операционная система или приложение может подвергнуться вирусному нападению в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все популярные «настольные» операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки. Компьютерные вирусы, черви, троянские программы существуют для десятков операционных систем и приложений. В то же время существует огромное количество других операционных систем и приложений, для которых вредоносные программы пока не обнаружены. Что является причиной существования вредных программ в одних системах и отсутствия их в других? Причиной появления подобных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий: популярность, широкое распространение данной системы; наличие разнообразной и достаточно полной документации по системе; незащищенность системы или существование известных уязвимостей в системе безопасности. Каждое перечисленное условие является необходимым, а выполнение всех трех условий одновременно является достаточным для появления разнообразных вредоносных программ.
Кто и почему создает вредоносные программы? Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов. Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости. Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов.
Непрофессионалу сложно обнаружить присутствие вирусов на компьютере, поскольку они умело маскируются среди обычных файлов. Признаки заражения вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; неожиданное открытие и закрытие лотка CD-ROM-устройства; произвольный, без вашего участия, запуск на компьютере каких-либо программ; при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.
Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний. Отключите компьютер от интернета. Отключите компьютер от локальной сети, если он к ней был подключен. Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows, который вы создавали при установке операционной системы на компьютер. Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.). Скачайте и установите пробную или же купите полную версию Антивируса, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ. Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет-кафе, с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. Установите рекомендуемый уровень настроек антивирусной программы. Запустите полную проверку компьютера.
Программный пакет, предназначенный для эффективной защиты, перехвата и удаления из операционной системы компьютера максимального количества вредоносных (или потенциально вредоносных) программ. В настоящее время большинство ведущих антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер). Постоянная антивирусная защита запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Постоянная антивирусная защита проверяет не только файлы на различных носителях информации, но и оперативную память компьютера. Основная задача постоянной антивирусной защиты компьютера: обеспечивать максимальную безопасность при минимальном замедлении работы проверяемых на вредоносные действия программ.
Антивирусные программы Dr.Web® выполняют поиск и удаление известных компьютерных вирусов из памяти и с жестких дисков компьютера. Кроме того, используя уникальную технологию определения вирусоподобных ситуаций, они способны с высочайшей степенью вероятности обнаруживать ранее неизвестные компьютерные вирусы. Эту способность не раз очень высоко оценивали специалисты и отмечали ведущие журналы. В частности английский журнал “Virus Bulletin ”, ежегодно проводящий тестирование сильнейших антивирусных программ мира неоднократно присваивал престижный знак VB100% антивирусным программам Dr.Web®, т.к. программы Dr.Web® при тестировании на имеющейся у журнала вирусной коллекции определили 100 % компьютерных вирусов. Данная коллекция собрана специалистами журнала из реально распространенных вирусов. Предтече антивируса Eset NOD32 появился на свет примерно в то же время, что и первый компьютерный вирус. А было это в мае 1988 года. Тогда же на чехословацком телевидении огромной популярностью пользовался сериал "Больница на окраине города" (или "Nemocnica na Okraji Mesta". Как мы помним, первые вирусы атаковали исключительно boot-сектора, тоже расположенные на "окраине" диска. А поскольку антивирус вполне мог сойти за больницу, решено было обыграть название с почти одноименным сериалом. В результате получился антивирус "Больница на краю диска" (или "Nemocnica na Okraji Disku", т.е. NOD) Годы упорной работы позволили Лаборатории Касперского стать лидером в разработке средств защиты от вирусов. Основной продукт, Антивирус Касперского®, регулярно занимает высшие места в тестах международных исследовательских центров и компьютерных изданий. Антивирусные программные модули "Лаборатории Касперского" обеспечивают надежную защиту всех потенциальных объектов вирусных атак - рабочих станций, файловых и веб-серверов, почтовых шлюзов, межсетевых экранов и карманных компьютеров. Удобные средства управления позволяют максимально автоматизировать антивирусную защиту компьютеров и корпоративных сетей.
Содержание темы: 3.1. Компьютерные вирусы и их классификация. 3.2. Структура современных вирусных программ. 3.3. Основные каналы распространения компьютерных вирусов. 3.4. Методы антивирусной защиты. 3.5. Методы обнаружения компьютерных вирусов. 3.6. Методы удаления компьютерных вирусов.
Впервые термин компьютерный вирус ввел в употребление специалист из США Ф. Коэн в 1984 г. Компьютерный вирус – это автономно функционирующая программа, обладающая одновременно тремя свойствами: способностью к включению своего кода в тела других файлов и системных областей памяти компьютера; последующему самостоятельному выполнению; самостоятельному распространению в компьютерных системах.
Компьютерные вирусы классифицируются по следующим признакам: По способу распространения в КС: файловые вирусы, заражающие файлы одного или нескольких типов; загрузочные вирусы, заражающие загрузочные сектора жестких дисков и дискет; комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков. По способу заражения других объектов КС: резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты КС; нерезидентные вирусы, которые заражают другие объекты КС в момент открытия уже зараженных ими объектов.
По деструктивным возможностям: безвредные вирусы, созданные в целях обучения, однако снижающие эффективность работы КС за счет потребления ее ресурсов (времени работы центрального процессора, оперативной и внешней памяти и др.); неопасные вирусы, создающие различные звуковые и видеоэффекты; опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных. По особенностям реализуемого алгоритма: вирусы-спутники, создающие для заражаемых файлов одноименные файлы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла открывается файл с кодом вируса, а после выполнения предусмотренных автором действий открывается исходный файл);
паразитические вирусы, которые изменяют содержимое заражаемых объектов; вирусы-невидимки («стелс»-вирусы), в которых путем перехвата обращений операционной системы к зараженным объектам и возврата вместо них незараженных данных скрывается факт присутствия вируса в КС (при собственном обращении к дисковой памяти вирусы-невидимки также используют нестандартные средства для обхода средств антивирусной защиты); вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования).
Они заражают главный загрузочный сектор жесткого диска (Master Boot Record, MBR), загрузочный сектор системной дискеты или загрузочного компакт-диска (Boot Record, BR), подменяя находящиеся в них программы начальной загрузки и загрузки операционной системы своим кодом. Исходное содержимое этих секторов сохраняется в одном из свободных секторов диска или непосредственно в теле вируса.
После заражения MBR, являющегося первым сектором нулевой головки нулевого цилиндра жесткого диска, вирус получает управление сразу по завершении работы процедуры проверки оборудования (POST) и программы BIOS Setup. Получив управление, загрузочный вирус выполняет следующие действия: копирование своего кода в конец оперативной памяти компьютера, уменьшая тем самым размер ее свободной части; переопределение «на себя» нескольких прерываний BIOS, в основном связанных с обращением к дискам; загрузка в оперативную память компьютера истинной программы начальной загрузки, в функции которой входит просмотр таблицы разделов жесткого диска, определение активного раздела, загрузка и передача управления программе загрузки операционной системы активного раздела; передача управления истинной программе начальной загрузки.
Аналогичным образом работает и загрузочный вирус в BR, замещая программу загрузки операционной системы. Формой заражения компьютера загрузочным вирусом является попытка загрузки с компакт-диска или дискеты, загрузочный сектор которых заражен вирусом. Эта ситуация возникает, когда зараженный диск остается в дисководе при выполнении перезагрузки операционной системы. После заражения главного загрузочного сектора жесткого диска вирус распространяется при первом обращении к любому незараженному диску. Загрузочные вирусы, как правило, относятся к группе резидентных вирусов. Изменение в BIOS порядка использования дисковых устройств при загрузке устранит один из каналов заражения компьютера загрузочными вирусами.
Они заражают файлы различных типов. При заражении вирус записывает свой код в начало, середину или конец файла либо сразу в несколько мест. Исходный файл изменяется таким образом, что после его открытия управление немедленно передается коду вируса. Код вируса выполняет следующую последовательность действий: заражение других файлов и (комбинированные вирусы) системных областей дисковой памяти; установка в оперативной памяти собственных резидентных модулей (резидентные вирусы); выполнение других действий, зависящих от реализуемого вирусом алгоритма; продолжение обычной процедуры открытия файла (например, передача управления исходному коду зараженной программы).
Вирусы в файлах документов, созданных программами пакета Microsoft Office, распространяются с помощью включенных в них макросов (процедур на языке программирования Visual Basic for Applications, VBA ). Поэтому такие вирусы иногда называют макровирусами. VBA поддерживает автоматически выполняемые макросы, связанные с определенными событиями (например, с открытием документа) или определенными действиями пользователя (например, при вызове команды сохранения документа). Документ Microsoft Office может также содержать макросы, автоматически получающие управление при нажатии пользователем определенной комбинации клавиш на клавиатуре или достижении некоторого момента времени (даты, времени суток).
электронная почта, сообщения которой могут содержать зараженные присоединенные файлы; свободное и условно свободное программное обеспечение, размещенное на общедоступных узлах сети Интернет и случайно или намеренно зараженное вирусами; локальные компьютерные сети организаций; обмен зараженными файлами на дискетах или записываемых компакт-дисках; использование нелицензионных компакт-дисков с программным обеспечением и другими информационными ресурсами.
Физическое или логическое отключение накопителей на гибких магнитных дисках и компакт-дисках (для логического отключения в Windows 7: открыть окно «Компьютер», выбрать диск, изменить его свойства). Разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей. Ограничение времени работы в КС привилегированных пользователей (для выполнения действий в КС, не требующих дополнительных полномочий, администраторы должны использовать учетную запись с обычными привилегиями). Использование, как правило, только лицензионного программного обеспечения. Выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения.
Использование встроенной в программы пакета Microsoft Office защиты от потенциально опасных макросов (более подробно см. далее). Использование свойств обозревателя Microsoft Internet Explorer (более подробно см. далее). Защита от заражения загрузочными вирусами, устанавливаемая с помощью программы BIOS Setup (параметр Anti-Virus Protection или аналогичный функции Advanced BIOS Features или аналогичной). Включение этой защиты обеспечит выдачу предупреждающего сообщения при попытке записи в загрузочные сектора дисковой памяти. К недостаткам подобной защиты от заражения вирусами относится то, что она может быть отключена кодом вируса прямым редактированием содержимого энергонезависимой CMOS-памяти, хранящей настройки, которые были установлены программой BIOS Setup. Использование антивирусных программ.
Эта защита устанавливается в пакете Microsoft Office 2003 с помощью команды меню «Сервис | Макрос | Безопасность». Возможен выбор одного из четырех уровней защиты: Очень высокая. Разрешается запуск только макросов, установленных в надежных расположениях. Все остальные подписанные и неподписанные макросы отключаются. Для полного отключения всех макросов можно задать уровень безопасности «Очень высокая» и отключить макросы, установленные в надежных расположениях. Чтобы отключить макросы, установленные в надежных расположениях, следует выбрать меню «Сервис | Макрос | Безопасность», а затем перейти на вкладку «Надежные издатели» и снять флажок «Доверять всем установленным надстройкам и шаблонам».
Высокая. Выполнение неподписанных макросов автоматически запрещается. Порядок обработки подписанных макросов определяется источником макроса и состоянием подписи: Надежный источник. Подпись верна. Выполнение макросов автоматически разрешается, затем файл открывается. Неизвестный автор. Подпись верна. Выводится диалоговое окно со сведениями о сертификате. Выполнение макросов может быть разрешено только в том случае, если пользователь укажет, что он доверяет автору и центру сертификации. Любой автор. Подпись неверна, вероятны вирусы. Пользователь получает предупреждение о том, что макросы, вероятно, заражены вирусами. Выполнение макросов автоматически запрещается. Любой автор. Подпись сделана после истечения срока действия сертификата, либо после отзыва сертификата. Пользователь предупреждается об истечении срока действия сертификата. Выполнение макросов автоматически запрещается.
Средняя. При открытии содержащего макросы документа решение об отключении этих макросов будет приниматься самим пользователем. Если подпись неверна, пользователь получает предупреждение о том, что макросы, вероятно, заражены вирусами. В этом случае выполнение макросов автоматически запрещается. Низкая. Все макросы в открываемом документе будут выполняться (корпорация Microsoft рекомендует устанавливать данный уровень безопасности только при наличии антивирусных программ на компьютере пользователя и полной уверенности в безопасности открываемых документов).
Программа пакета Microsoft Office «Цифровой сертификат для проектов VBA» создает подписанный цифровой сертификат, который может использоваться с персональными макросами только на данном компьютере. Для получения подписи под макросами документа Microsoft Office необходимо открыть окно системы программирования Microsoft Visual Basic. В этом окне выполняется команда «Tools | Digital Signature» и в появившемся окне цифровой подписи выбирается сертификат открытого ключа ЭЦП, который в дальнейшем будет использован для проверки подписи. Установка защиты от потенциально опасных макросов не позволяет отделить макросы, расширяющие функциональность приложений Microsoft Office, от макросов, содержащих вирусы. Кроме того, некоторые из макровирусов, получив однажды управление, могут понизить уровень безопасности до самого низкого и тем самым блокировать встроенную защиту от макросов.
Необходимо в меню «Сервис» выбрать пункт «Свойства обозревателя» и перейти на вкладку «Безопасность». Всем узлам зоны Интернет (в нее не входят узлы, отнесенные к другим зонам) целесообразно назначить высокий уровень безопасности, в соответствии с которым будут, в частности, отключены : возможность загрузки файлов с этих узлов; выполнение интерактивного содержимого.
Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Соответствующие программные средства называют сканерами, а при наличии дополнительной функции удаления обнаруженных вирусов – полифагами. Недостатки программ-сканеров и полифагов: необходимость постоянного обновления баз данных сигнатур известных вирусов, которые используются при поиске; неспособность обнаружения новых вирусов; недостаточная способность обнаружения сложных полиморфных вирусов. Примеры полифагов: Kaspersky Anti-Virus, Dr.Web, Nod32.
Обнаружение изменений в объектах КС путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки э лектронной ц ифровой п одписи (ЭЦП) для этих объектов). При вычислении хеш-значений объектов могут учитываться и характеристики (атрибуты) проверяемых файлов. Подобные программные средства называют ревизорами, или инспекторами. Потенциально они могут обнаружить и новые вирусы. Недостатки программ-ревизоров: не все изменения проверяемых объектов вызываются вирусным заражением (например, обновление отдельных компонентов операционной системы, легальное изменение файлов документов); программы-ревизоры не могут помочь при записи на жесткий диск компьютера уже зараженного файла, хотя могут обнаружить заражение вирусом новых объектов. Пример ревизора: ADinf.
Эвристический анализ – проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов (например, установка резидентной части кода вируса). Потенциально эвристические анализаторы способны обнаружить (с определенной вероятностью) любые новые разновидности компьютерных вирусов. Недостаток эвристического анализа: из-за того, что при эвристическом сканировании ищутся не вредоносные объекты как таковые, а объекты, похожие на них, возможны ложные срабатывания. Пример эвристического анализатора: Dr.Web.
Постоянное присутствие в оперативной памяти компьютера с целью контроля всех подозрительных действий других программ: попыток изменения загрузочных секторов дисков, установки резидентного модуля и т.п. Подобные программы называются мониторами. Мониторы также автоматически проверяют на наличие известных вирусов все устанавливаемые дискеты и компакт-диски, открываемые файлы и запускаемые программы. Обычно мониторы используют общую со сканерами базу сигнатур вирусов и загружаются в оперативную память в процессе загрузки операционной системы. Недостаток программ-мониторов: снижение эффективности работы КС за счет потребления процессорного времени и уменьшения размера свободной оперативной памяти. Примеры программ-мониторов: Kaspersky Anti-Virus, Dr.Web, Nod32. Большинство современных комплексов антивирусных программ включают в свой состав полифаги (с дополнительной функцией эвристического анализа), мониторы и, реже, инспекторы (ревизоры).
При автоматическом удалении вирусов, обнаруженных антивирусными программами, могут применяться два основных метода: удаление уже известных вирусов с помощью заранее разработанного алгоритма лечения файлов, зараженных данным типом вируса; попытка удаления неизвестных до этого времени вирусов на основе сведений об общих принципах работы вирусов и (или) предварительно сохраненной информации о незараженном файле. Рекомендуется перед удалением обнаруженных вирусов выполнить копирование зараженных файлов на резервный носитель информации, чтобы не потерять ценных данных.
Сложные разновидности даже известных вирусов не всегда могут быть удалены, а зараженные ими файлы восстановлены. Поэтому для обязательной подготовки к возможному заражению объектов КС вирусами необходимо: подготовить защищенную от записи системную дискету или загрузочный компакт-диск, записав на них последние версии антивирусных программ и баз сигнатур известных вирусов; постоянно обновлять версии установленного в КС антивирусного программного обеспечения; регулярно проверять объекты КС антивирусными программами; проверять на наличие вирусов файлы, присоединенные к входящим сообщениям электронной почты; регулярно выполнять резервное копирование наиболее важных файлов; отключить максимально возможное число каналов распространения вирусов (см. подраздел 3.3).
ПРОВЕРЯЛ СВОЙ КОМПЬЮТЕР НА ВИРУС?
