Какая программа называется зараженной. Антивирусная защита. Характеристика компьютерных вирусов

Ч. 1

Лабораторная работа №2

Работа с антивирусными пакетами.

Цель работы: ознакомиться с теоретическими аспектами защиты информации от вредоносных программ: разновидности вирусов, способах заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом AVAST.

Теоретические сведения

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной ".

Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.).

Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно.

Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:

• 
  некоторые программы перестают работать или начинают работать неправильно;
• 
  на экран выводятся посторонние сообщения, символы и т.д.;
• 
  работа на компьютере существенно замедляется;
• 
  некоторые файлы оказываются испорченными и т.д.
• 
  операционная система не загружается;
• 
  изменение даты и времени модификации файлов;
• 
  изменение размеров файлов;
• 
  значительное увеличение количества файлов на диска;
• 
  существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• 
  общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
• 
  профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
• 
  специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

• 
  копирование информации - создание копий файлов и системных областей дисков;
• 
  разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

1. 
   Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
2. 
   Использование только лицензионных дистрибутивных копий программных продуктов.
3. 
   Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
4. 
   Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
5. 
   При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
6. 
   При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
7. 
   При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

В состав антивируса Касперского для защиты файловых серверов входят:

• 
  антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
• 
  антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
• 
  ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Задание

Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [ ]» (Название антивирусной программы выбрать согласно своему варианту из Вариантов заданий к работе ). Изучить антивирусный пакет AVAST . Подготовить отчет по лабораторной работе.

Порядок выполнения

1. 
   Сканирование папок на наличие вирусов:
   • 
     Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;
   • 
     Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;
   • 
     В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word . Имена файлов ввести согласно своему варианту по Вариантам задания к работе ;
   • 
     Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папку Подозрительные файлы .
   • 
     Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…» , сохранить отчет с результатами проверки в папке Подозрительные файлы . Имя файла-отчета – Scan _ Log .
   • 
     Закройте окно Поиск вирусов .
2. 
   Обновление антивирусной базы:
   • 
     В главном меню программы выберете пункт Сервис.
   • 
     Нажмите на пункт Обновление и, используя кнопку Обновить , осуществите обновление базы известных вирусов.
   • 
     По завершению обновления, используя кнопку «Сохранить как…» , сохранить отчет об обновлении в папке Подозрительные файлы . Имя файла-отчета – Upd _ Log .
   • 
     Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур .
   • 
     Закройте окно Антивируса AVAST .

Содержание отчета

1. 
   Название и цель лабораторной работы;
2. 
   Доклад на выбранную по варианту тему;
3. 
   Содержимое файла Scan _ Log . txt по пункту 1 Порядка выполнения работы
4. 
   Содержание файла Upd _ Log . txt по П.2 Порядка выполнения работы.
5. 
   Выводы.

Контрольные вопросы

1. 
   Что называется компьютерным вирусом?
2. 
   Какая программа называется "зараженной"?
3. 
   Что происходит, когда зараженная программа начинает работу?
4. 
   Как может маскироваться вирус?
5. 
   Каковы признаки заражения вирусом?
6. 
   Каковы последствия заражения компьютерным вирусом?
7. 
   По каким признакам классифицируются компьютерные вирусы?
8. 
   Как классифицируются вирусы по среде обитания?
9. 
   Какие типы компьютерных вирусов выделяются по способу воздействия?
10. 
    Что могут заразить вирусы?
11. 
    Как маскируются "невидимые" вирусы?
12. 
    Каковы особенности самомодифицирующихся вирусов?
13. 
    Какие методы защиты от компьютерных вирусов можно использовать?
14. 
    В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
15. 
    На какие виды можно подразделить программы защиты от компьютерных вирусов?
16. 
    Как действуют программы-детекторы?
17. 
    Что называется сигнатурой?
18. 
    Всегда ли детектор распознает зараженную программу?
19. 
    Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
20. 
    Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
21. 
    Перечислите меры защиты информации от компьютерных вирусов.
22. 
    Каковы современные технологии антивирусной защиты?
23. 
    Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
24. 
    Какие модули входят в состав антивируса Касперского для защиты файловых систем?
25. 
    Каково назначение этих модулей?
26. 
    Какие элементы электронного письма подвергаются проверке на наличие вирусов?
27. 
    Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
28. 
    Как обновляется база вирусных сигнатур?

Варианты заданий к работе

Вариант	Название антивирусной программы	Название файла
1	Dr.Web	Test_01_01.txt
2	McAfee VirusScan	Test_01_02.txt
3	Антивирус Касперского	Test_01_03.txt
4	Panda Anti-Virus	Test_01_04.txt
5	Avast!	Test_01_05.txt
6	AVS	Test_01_06.txt
7	AVG	Test_01_07.txt
8	Avira	Test_01_08.txt
9	Clam AntiVirus	Test_01_09.txt
10	ClamWin	Test_01_10.txt
11	NOD32	Test_01_11.txt
12	Trojan Hunter	Test_01_12.txt
13	VirusBuster	Test_01_13.txt
14	Norton AntiVirus	Test_01_14.txt
15	Windows Live OneCare	Test_01_15.txt
16	PC-cillin	Test_01_16.txt
17	F-Prot	Test_01_17.txt
18	F-Secure Anti-Virus	Test_01_18.txt
19	Comodo AntiVirus	Test_01_19.txt

Компьютерные вирусы

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:

• некоторые программы перестают работать или начинают работать неправильно;
• на экран выводятся посторонние сообщения, символы и т.д.;
• работа на компьютере существенно замедляется;
• некоторые файлы оказываются испорченными и т.д.
• операционная система не загружается;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• значительное увеличение количества файлов на диска;
• существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

• файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;
• загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
• макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;
• сетевые, распространяются по компьютерной сети;

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
• специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

• копирование информации - создание копий файлов и системных областей дисков;
• разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
2. Использование только лицензионных дистрибутивных копий программных продуктов.
3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.
В состав антивируса Касперского для защиты файловых серверов входят:

• антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
• антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
• ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.
Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.
Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.
Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.
Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Контрольные вопросы

1. Что называется компьютерным вирусом?
2. Какая программа называется "зараженной"?
3. Что происходит, когда зараженная программа начинает работу?
4. Как может маскироваться вирус?
5. Каковы признаки заражения вирусом?
6. Каковы последствия заражения компьютерным вирусом?
7. По каким признакам классифицируются компьютерные вирусы?
8. Как классифицируются вирусы по среде обитания?
9. Какие типы компьютерных вирусов выделяются по способу воздействия?
10. Что могут заразить вирусы?
11. Как маскируются "невидимые" вирусы?
12. Каковы особенности самомодифицирующихся вирусов?
13. Какие методы защиты от компьютерных вирусов можно использовать?
14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
15. На какие виды можно подразделить программы защиты от компьютерных вирусов?
16. Как действуют программы-детекторы?
17. Что называется сигнатурой?
18. Всегда ли детектор распознает зараженную программу?
19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
21. Перечислите меры защиты информации от компьютерных вирусов.
22. Каковы современные технологии антивирусной защиты?
23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?
25. Каково назначение этих модулей?
26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?
27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
28. Как обновляется база вирусных сигнатур?

Компьютерные вирусы

Компьютерный вирус - понятие и классификация.

Компьютерный вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half, в течение всего прошлого года «гулявший» и по нашему городу, незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств. Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.

Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.
Первые исследования саморазмножающихся искусственных конструкций проводились в середине нынешнего столетия. Термин «компьютерный вирус» появился позднее - официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн в 1984 году на седьмой конференции по безопасности информации.

Эксперты считают, что на сегодняшний день число существующих вирусов перевалило за 20 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально циркулирующих вирусов в настоящее время насчитывается около 260.

Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:

1. 
   по среде обитания вируса
2. 
   по способу заражения среды обитания
3. 
   по деструктивным возможностям
4. 
   по особенностям алгоритма вируса.

Более подробную классификацию внутри этих групп можно представить примерно так:

		сетевые	распространяются по компьютерной сети
Среда обитания:		файловые	внедряются в выполняемые файлы
		загрузочные	внедряются в загрузочный сектор диска (Boot-сектор)
Способы		резидентные	находятся в памяти, активны до выключения компьютера
заражения:		нерезидентные	не заражают память, являются активными ограниченное время
		безвредные	практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
Деструктивные		неопасные	уменьшают свободную память, создают звуковые, графические и прочие эффекты
возможности:		опасные	могут привести к серьезным сбоям в работе
		очень опасные	могут привести к потере программ или системных данных
		вирусы-«спутники»	вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением,СОМ
		вирусы-«черви»	распространяются по сети, рассылают свои копии, вычисляя сетевые адреса
Особенности		«студенческие»	примитив, содержат большое количество ошибок
вируса:		«стелс»-вирусы (невидимки)	перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
		вирусы-призраки	не имеют ни одного постоянного участка кода, труднообнаружи- ваемы, основное тело вируса зашифровано
		макровирусы	пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Как работает вирус.
Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.

Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:

Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один - т.н. сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - т.н. голову и т.н. хвост . Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

1. 
   выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)
2. 
   копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
3. 
   замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
4. 
   организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

появляется новое звено:

ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА

Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки boot-секторе загрузочного диска.

Признаки проявления вируса.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

1. 
   прекращение работы или неправильная работа ранее успешно функционировавших программ
2. 
   медленная работа компьютера
3. 
   невозможность загрузки операционной системы
4. 
   исчезновение файлов и каталогов или искажение их содержимого
5. 
   изменение даты и времени модификации файлов
6. 
   изменение размеров файлов
7. 
   неожиданное значительное увеличение количества файлов на диске
8. 
   существенное уменьшение размера свободной оперативной памяти
9. 
   вывод на экран непредусмотренных сообщений или изображений
10. 
    подача непредусмотренных звуковых сигналов
11. 
    частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Методы защиты. Антивирусы.

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

1. 
   общие средства защиты информации, которые полезны также как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
2. 
   профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
3. 
   специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

1. 
   копирование информации - создание копий файлов и системных областей дисков;
2. 
   разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

1. 
   программы-детекторы
2. 
   программы-доктора или фаги
3. 
   программы-ревизоры
4. 
   программы-фильтры
5. 
   программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги , а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. 
   попытки коррекции файлов с расширениями COM, EXE
2. 
   изменение атрибутов файла
3. 
   прямая запись на диск по абсолютному адресу
4. 
   запись в загрузочные сектора диска

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость»(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

1. 
   оснастите свой компьютер современными антивирусными программами, например Aidstest, Doctor Web, и постоянно возобновляйте их версии
2. 
   перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера
3. 
   при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами
4. 
   периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты
5. 
   всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации
6. 
   обязательно делайте архивные копии на дискетах ценной для вас информации
7. 
   не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами
8. 
   используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей
9. 
   для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf.

Антивирусная программа AntiViral Toolkit Pro.

Антивирусная программа AVP разработана ведущей российской компанией «Лаборатория Касперского». Программа вышла на мировой рынок и довольно активно продается во многих странах.
При запуске AVP загружает антивирусные базы, тестирует оперативную память, на наличие резидентных вирусов и проверяет себя на заражение вирусом. После успешной загрузки в строке состояния появляется сообщение « Последнее обновление: дата> , количество> вирусов » , где - дата последнего обновления, а - количество известных вирусов (данные о вирусах находятся в файлах с расширением.AVC)

Главное окно программы содержит четыре пункта меню:

1. 
   файл
2. 
   поиск вирусов
3. 
   сервис

пять вкладок:

1. 
   область
2. 
   объекты
3. 
   действия
4. 
   настройки
5. 
   статистика

кнопки « П уск » (« Сто п » во время сканирования диска) и окно просмотра « Объект - Результат » . При загрузке автоматически открывается вкладка « Область » (рис.1.) . Для начала сканирования нужно выбрать на закладке « Область » диски и/или папки которые вы хотите проверить и нажать кнопку « П уск » (или пункт меню « Поиск вирусов Пуск » ). Выбрать проверяемый диск и/или папки можно щелкнув на нужном объекте два раза левой клавишей мыши. Чтобы быстрее выделить диски нужно поставить соответствующие флажки « Л окальные диски » и/или « С е тевые диски » и/или « Флопп и -дисководы » . Если вы хотите выбрать папку для сканирования то нужно нажать клавишу « Выбрать папку » , после чего перед вами появиться стандартное диалоговое окно Windows 95, в котором нужно выбрать имя папки, которую вы хотите добавить в область тестирования. Если нажать кнопку « Пуск », без выбора объекта для проверки, то AVP выдаст сообщение: Не задана область сканирования. Пожалуйста, отметьте диски на закладке «Область». Если Вы хотите срочно остановить тестирование, нажмите кнопку « Стоп » или выберите пункт меню « Поиск вирусов Стоп » .
Вкладка « Объекты » , задает список объектов подлежащих сканированию, и типы файлов, которые будут тестироваться.

На вкладке объекты можно установить следующие флажки:

1. 
   Память - включить процедуру сканирования системной память (в том числе и High Memory Area)
2. 
   Сектора - включить в процедуру сканирования проверку системных секторов
3. 
   Файлы - включить в процедуру сканирования проверку файлов (в том числе файлов с атрибутами Hidden, System, ReadOnly)
4. 
   Упакованные объекты - включить Unpack Engine, распаковывающий для тестирования файлы

Архивы - включить Extract Engine, позволяющий проводить поиск вирусов в архивах.

«Тип файлов» содержит четыре переключателя:

Программы по формату - сканировать программы (Файлы.com, .exe, .vxd, .dll и форматы Microsoft Office). Таким образом, при сканировании по формату проверяются все файлы, которые могут содержать код вируса.

Программы по расширению - сканировать все файлы, имеющие расширение *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.

Все файлы - сканировать все файлы.

По маске - сканировать по маске, заданной пользователем в строке ввода.

Вкладка «Действия» позволяет задавать действия на случай обнаружения зараженных или подозрительных объектов во время тестирования.

Вкладка содержит четыре кнопки и два флажка.

По вашему желанию программа будет либо только информировать вас о найденных вирусах, лечить зараженный объект, предварительно открыв его либо лечить автоматически. Подозрительные объекты могут быть скопированы либо в указанную вами папку, либо в рабочую папку программы.

Вкладка «Настройки» позволяет настраивать программу на различные режимы.

Предупреждения - включает добавочный механизм проверки.

Анализатор кода - включает механизм, способный обнаружить еще неизвестные вирусы в исследуемых объектах.

Избыточное сканирование - включает механизм полного сканирования содержимого файла. Данный режим рекомендуется включать, когда вирус не обнаружен, но в работе компьютера наблюдаются странные явления - замедление работы, частые самопроизвольные перезагрузки и т.п. В остальных случаях использовать данный режим не рекомендуется, так как появляется возможность ложного срабатывания при сканировании чистых файлов.

Настройки позволяют пользователю показывать во время сканирования имя проверяемого объекта в столбце «Объект», в окне «Результат» напротив имени объекта будет появляться сообщение «в порядке», если объект чистый. Можно также установить подачу звукового сигнала при обнаружении вируса, что на практике очень полезно, так как процесс сканирования достаточно длителен и однообразен. Можно также следить за последовательностью сканирования (флажок Слежение за отчетом ) или записать файл отчета, указав имя результирующего файла (флажок Файл отчета ). Поставив этот флажок пользователь получает доступ в двум вспомогательным флажкам:

1. 
   Добавить - новый отчет будет дописываться строго в конец старого
2. 
   Ограничение размера - ограничение размера файла отчета по желанию пользователя (по умолчанию - 500 килобайт)

После окончания проверки указанных объектов автоматически активизируется вкладка «Статистика»

Данная вкладка содержит результаты работы программы. Вкладка разделена на две части, содержащие информацию о числе проверенных объектов, файлов, папок и о количестве найденных вирусов, предупреждений, испорченных объектов и т.п.
База сигнатур AVP одна из самых больших - последняя версия программы содержит более 25000 вирусов. Нужно отметить, что работа с программой не вызывает затруднений даже у неопытного пользователя, а получить новую версию легко можно из Internet.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Ахметов К. Курс молодого бойца. Москва, Компьютер-пресс,1997.
Касперский Е. Компьютерный вирусы в MS-DOS. Москва, Эдель-Ренессанс,1992.
Мир ПК. № 4,1998. Лабораторная работа №3

Средства защиты компьютера от вирусов. Работа с антивирусными пакетами.

Цель работы: ознакомиться с теоретические аспекты защиты информации от вредоносных программ: разновидности вирусов, способы заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом Антивирус Касперского.

Теоретические сведения

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
^ Проявление наличия вируса в работе на ПЭВМ
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:

Некоторые программы перестают работать или начинают работать неправильно;

На экран выводятся посторонние сообщения, символы и т.д.;

Работа на компьютере существенно замедляется;

Некоторые файлы оказываются испорченными и т.д.

Операционная система не загружается;

Изменение даты и времени модификации файлов;

Изменение размеров файлов;

Значительное увеличение количества файлов на диска;

Существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.
^ Разновидности компьютерных вирусов
Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

Файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;

Загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

Макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;

Сетевые, распространяются по компьютерной сети;

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы. Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

^ Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.
^ Методы защиты от компьютерных вирусов
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

Профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

Специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

Копирование информации - создание копий файлов и системных областей дисков;

Разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).

Использование только лицензионных дистрибутивных копий программных продуктов.

Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.

Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.

При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.

При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.

При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

В состав антивируса Касперского для защиты файловых серверов входят:

Антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;

Антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;

Ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

^ Задание

Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [Название антивирусной программы]» (Название антивирусной программы выбрать согласно своему варианту из Вариантов заданий к работе). Изучить антивирусный пакет Антивирус Касперского. Подготовить отчет по лабораторной работе.

Порядок выполнения

Сканирование папок на наличие вирусов:

Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;

Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;

В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word. Имена файлов ввести согласно своему варианту по Вариантам задания к работе;

Выбрав пункт в главном окне программы пункт ^ Поиск вирусов и добавить в окно заданий папку Подозрительные файлы.

Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…», сохранить отчет с результатами проверки в папке Подозрительные файлы. Имя файла-отчета – Scan_Log.

Закройте окно Поиск вирусов.

Обновление антивирусной базы:

В главном меню программы выберете пункт Сервис.

Нажмите на пункт Обновление и, используя кнопку Обновить, осуществите обновление базы известных вирусов.

По завершению обновления, используя кнопку «Сохранить как…», сохранить отчет об обновлении в папке Подозрительные файлы. Имя файла-отчета – Upd_Log.

Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур.

Закройте окно Антивируса Касперского.

Название и цель лабораторной работы;

Доклад на выбранную по варианту тему;

Содержимое файла Scan_Log.txt по пункту 1 Порядка выполнения работы

Контрольные вопросы

Что называется компьютерным вирусом?

Какая программа называется "зараженной"?

Что происходит, когда зараженная программа начинает работу?

Как может маскироваться вирус?

Каковы признаки заражения вирусом?

Каковы последствия заражения компьютерным вирусом?

По каким признакам классифицируются компьютерные вирусы?

Как классифицируются вирусы по среде обитания?

Какие типы компьютерных вирусов выделяются по способу воздействия?

Что могут заразить вирусы?

Как маскируются "невидимые" вирусы?

Каковы особенности самомодифицирующихся вирусов?

Какие методы защиты от компьютерных вирусов можно использовать?

В каких случаях применяют специализированные программы защиты от компьютерных вирусов?

На какие виды можно подразделить программы защиты от компьютерных вирусов?

Как действуют программы-детекторы?

Что называется сигнатурой?

Всегда ли детектор распознает зараженную программу?

Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?

Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?

Перечислите меры защиты информации от компьютерных вирусов.

Каковы современные технологии антивирусной защиты?

Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?

Какие модули входят в состав антивируса Касперского для защиты файловых систем?

Каково назначение этих модулей?

Какие элементы электронного письма подвергаются проверке на наличие вирусов?

Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?

Как обновляется база вирусных сигнатур?

^ Варианты заданий к работе

Название антивирусной программы

Название файла

McAfee VirusScan

Антивирус Касперского

Panda Anti-Virus

Norton AntiVirus

Windows Live OneCare

F-Secure Anti-Virus

Компьютерный вирус – это специально написанная небольшая по размерам программа (программный код), имеющая специфический алгоритм, направленный на тиражирование копии программы или её модификацию, а также распространяться по каналам связи с целью прерывания и нарушения работы программ, порчи файлов, файловых систем и компонентов компьютера, нарушения нормальной работы пользователей.

При попадании вирусной программы в компьютер происходит заражение программ, имеющихся на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус встраивается в программу или документ, или в определенные области носителя данных. Вирус выполняет несанкционированные или вредоносные действия, находит и заражает другие программы. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным.

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

некоторые ранее исполнявшиеся программы перестают запускаться или внезапно останавливаются в процессе работы;

увеличивается длина исполняемых файлов;

быстро сокращается объём свободной дисковой памяти;

на носителях появляются дополнительные сбойные кластеры, в которых вирусы прячут свои фрагменты или части повреждённых файлов;

замедляется работа некоторых программ;

в текстовых файлах появляются бессмысленные фрагменты;

наблюдаются попытки записи на защищённую дискету;

на экране появляются странные сообщения, которые раньше не наблюдались;

появляются файлы со странными датами и временем создания (несуществующие дни несуществующих месяцев, годы из следующего столетия, часы, минуты и секунды, не укладывающиеся в общепринятые интервалы и т. д.);

операционная система перестаёт загружаться с винчестера;

появляются сообщения об отсутствии винчестера;

данные на носителях портятся.

Любая дискета, не защищённая от записи, находясь в дисководе заражённого компьютера, может быть заражена. Дискеты, побывавшие в зараженном компьютере, являются разносчиками вирусов. Существует ещё один канал распространения вирусов, связанный с компьютерными сетями, особенно всемирной сетью Internet. Часто источниками заражения являются программные продукты, приобретённые нелегальным путем.

Существует несколько классификаций компьютерных вирусов:

По среде обитания различают вирусы

• Файловые : чаще всего внедряются в исполняемые файлы, имеющие расширения ЕХЕ и СОМ

  Загрузочные : внедряются в загрузочный сектор дискеты или в сектор, содержащий программу загрузки системного диска.

  Файлово-загрузочные : интегрируют возможности двух предыдущих групп и обладают наибольшей <эффективностью> заражения.

  Сетевые : используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей)

  Документные (их часто называют макро-вирусами): заражают и искажают текстовые файлы (.DOC) и файлы электронных таблиц некоторых популярных редакторов.

По способу заражения выделяют

• Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера.

  Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.

• По степени воздействия вирусы бывают неопасные, опасные и очень опасные.

  По особенностям алгоритмов вирусы делят на

  • Вирусы-репликаторы («черви» WORM), саморазмножающиеся и распространяющиеся по телекоммуникациям и записывающие по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами «черви» деструктивных действий не выполняют, поэтому их часто называют псевдовирусами);

    «Троянские » вирусы маскируются под полезные программы (часто существуют в виде самостоятельных программ, имеющих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение СОМ вместо ЕХЕ) и выполняют деструктивные функции (например затирают FAT); самостоятельно размножаться, как правило, не могут;

    Вирусы-«невидимки» (стелс-вирусы), по имени самолета-невидимки Stealth, способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;

    Самошифрующиеся вирусы (в режиме простоя зашифрованы, и расшифровываются только в момент начала работы вируса);

    Полиморфные , мутирующие вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байтов), необходимо каждый раз создавать новые антивирусные программы для обезвреживания этих вирусов;

    «Отдыхающие » вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус «Чернобыль» в сети Интернет функционирует только в день годовщины чернобыльской трагедии).

Вирусом могут быть заражены следующие объекты:

Исполняемые файлы, т.е. файлы с расширениями *.comи*.exe, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус, находящийся в исполняемых файлах (программах), начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те вирусы, которые после своего запуска остаются в памяти резидентно – они могут заражать очередные файлы и выполнять вредоносные действия до следующей перезагрузки компьютера.

Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными. Такой вирус поражает не программные файлы, а определенные системные области магнитных носителей. Он начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения загрузочных вирусов – заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целиком программу вируса. Часть вируса располагается в другом участке диска, например, в конце корневого каталога диска или в кластере в области данных диска. Обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных на диск.

Файлы документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы могут быть заражены макровирусами. Макровирусы поражают документы, созданные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд (например, MS Word,MS Excelи т.п.). Данный тип вирусов использует возможность вставки в формат подобных документов макрокоманд.

Если не принимать мер по защите от вирусов, то последствия заражения могут быть очень серьезными. Например, в начале 1989 г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.