ВЪВЕДЕНИЕ
Живеем на границата на две хилядолетия, когато човечеството е навлязло в ерата на нова научно-техническа революция.
До края на двадесети век хората са усвоили много от тайните на трансформацията на материята и енергията и са успели да използват това знание, за да подобрят живота си. Но в допълнение към материята и енергията, друг компонент играе огромна роля в човешкия живот - информацията. Това е голямо разнообразие от информация, съобщения, новини, знания, умения.
В средата на нашия век имаше специални устройства- компютрите се фокусираха върху съхранението и трансформирането на информация и имаше компютърна революция.
Днес масовото използване на персонални компютри, за съжаление, се оказа свързано с появата на самовъзпроизвеждащи се вирусни програми, които пречат на нормалната работа на компютъра, разрушават файловата структура на дисковете и увреждат информацията, съхранявана в компютъра.
Въпреки приетите в много страни закони за борба с компютърните престъпления и разработването на специални софтуерни инструментизащита срещу вируси, броя на новите софтуерни вирусинепрекъснато расте. Това изисква потребителят на персонален компютър да е запознат с естеството на вирусите, начините за заразяване и защита от вируси. Това беше стимулът да избера темата на моята работа.
За това говоря в есето си. Показвам основните видове вируси, разглеждам схемите на тяхното функциониране, причините за появата им и начините за проникване в компютъра, както и предлагам мерки за защита и превенция.
Целта на работата е да запознае потребителя с основите на компютърната вирусология, да научи как да открива вируси и да се бори с тях. Методът на работа е анализ на печатни публикации по тази тема. Пред мен стоеше трудна задача - да говоря за това, което е много малко проучено, а как се е случило - вие преценете.
1. КОМПЮТЪРНИ ВИРУСИ И ТЕХНИТЕ СВОЙСТВА И КЛАСИФИКАЦИЯ
1.1. Имоти компютърни вируси
Сега се използват персонални компютри, при които потребителят има свободен достъп до всички ресурси на машината. Това отвори възможността за опасността, която стана известна като компютърен вирус.
Какво е компютърен вирус? Официална дефиниция на това понятие все още не е измислена и има сериозни съмнения, че тя изобщо може да бъде дадена. Многобройните опити да се даде "модерна" дефиниция на вируса не бяха успешни. За да усетите сложността на проблема, опитайте се например да дефинирате понятието "редактор". Или ще измислите нещо много общо, или ще започнете да изброявате всички известни типове редактори. И двете едва ли могат да се считат за приемливи. Затова ще се ограничим до разглеждането на някои свойства на компютърните вируси, които ни позволяват да говорим за тях като за определен специфичен клас програми.
На първо място, вирусът е програма. Само едно такова просто твърдение може да разсее много легенди за необикновените възможности на компютърните вируси. Вирусът може да обърне изображението на вашия монитор, но не може да обърне самия монитор. Към легендите за вируси убийци, които „унищожават операторите, като показват смъртоносен цветове 25-ти кадър” също не трябва да се приема на сериозно. За съжаление, някои авторитетни издания от време на време публикуват "последните новини от компютърния фронт", които при по-внимателно разглеждане се оказват резултат от не съвсем ясно разбиране на темата.
Вирусът е програма, която има способността да се самовъзпроизвежда. Тази способност е единственото средство, присъщо на всички видове вируси. Но не само вирусите са способни на самовъзпроизвеждане. Всяка операционна система и много други програми могат да създават свои собствени копия. Копията на един и същи вирус не само не трябва да съвпадат напълно с оригинала, но може и да не съвпадат изобщо!
Вирусът не може да съществува в „пълна изолация“: днес човек не може да си представи вирус, който не използва кода на други програми, информация за файловата структура или дори само имената на други програми. Причината е ясна: вирусът трябва по някакъв начин да осигури предаването на контрол върху себе си.
1.2. Класификация на вирусите
Понастоящем са известни повече от 5000 софтуерни вируса, които могат да бъдат класифицирани според следните критерии:
среда на живот
¨ начин на замърсяване на околната среда
¨ въздействие
¨ характеристики на алгоритъма
В зависимост от местообитанието вирусите могат да бъдат разделени на мрежови, файлови, зареждащи и зареждащи файлове. Мрежови вирусиразпределени в различни компютърни мрежи. Файловите вируси се въвеждат главно в изпълними модули, тоест във файлове с разширения COM и EXE. Файлови вирусимогат да бъдат вградени в други типове файлове, но като правило, записани в такива файлове, те никога не получават контрол и следователно губят способността си да се възпроизвеждат. Зареждащи вирусиса вградени в сектора за зареждане на диска (Boot-sector) или в сектора, съдържащ програмата за зареждане системен диск(Master Boot Re-
шнур). Файл-зарежданевирусите заразяват както файловете, така и зареждащи секторидискове.
Според начина на заразяване вирусите се делят на резидентни и нерезидентни. Резидентен вируспри инфектиране (заразяване) на компютър го оставя в оперативна паметнеговата резидентна част, която след това прихваща достъпа на операционната система до заразени обекти (файлове, дискови зареждащи сектори и т.н.) и се инжектира в тях. Резидентните вируси се намират в паметта и остават активни, докато компютърът не бъде изключен или рестартиран. Нерезидентни вирусине заразяват компютърната памет и са активни за ограничено време.
Според степента на въздействие вирусите могат да бъдат разделени на следните видове:
¨ неопасни, които не пречат на работата на компютъра, но намаляват количеството свободна RAM и дискова памет, действията на такива вируси се проявяват във всякакви графични или звукови ефекти
¨ опасновируси, които могат да причинят различни проблеми с вашия компютър
¨ много опасен, чието въздействие може да доведе до загуба на програми, унищожаване на данни, изтриване на информация в системните области на диска.
2. ОСНОВНИ ВИДОВЕ ВИРУСИ И СХЕМИ НА ТЯХНОТО ФУНКЦИОНИРАНЕ
Сред разнообразието от вируси могат да се разграничат следните основни групи:
¨ зареждане
¨ файл
¨ зареждане на файл
Сега по-подробно за всяка от тези групи.
2.1. Зареждащи вируси
Помислете за работата на много прост стартиращ вирус, който заразява флопи дискове. Умишлено заобикаляме всички многобройни тънкости, които неизбежно биха се сблъскали при строгия анализ на алгоритъма за неговото функциониране.
Какво се случва, когато включите компютъра си? Първо, контролът се прехвърля програма за стартиране, който се съхранява в памет само за четене (ROM), т.е. PNZ ROM.
Тази програма тества хардуера и, ако тестовете преминат успешно, се опитва да намери флопи диска в устройство A:
Всяка дискета е обозначена на т.нар. сектори и писти. Секторите се обединяват в клъстери, но това не е от съществено значение за нас.
Сред секторите има няколко сервизни, използвани от операционната система за собствени нужди (вашите данни не могат да бъдат поставени в тези сектори). Сред секторите на услугите все още ни интересува един – т.нар. bootstrap сектор(зареждащ сектор).
Секторът за първоначално зареждане съхранява информация на дискета- броя на настилките, броя на пистите, броя на секторите и т.н. Но сега не се интересуваме от тази информация, а от малка програма за стартиране(PNZ), който трябва да зареди самата операционна система и да й прехвърли контрола.
Така че нормалният модел на стартиране е както следва:
Сега помислете за вируса. При зареждащите вируси се разграничават две части – т.нар. главаи т.н. опашка. Опашката, най-общо казано, може да бъде празна.
Да предположим, че имате празна дискета и заразен компютър, под което имаме предвид компютър с активен резидентен вирус. Веднага след като този вирус открие, че в устройството се е появила подходяща жертва - в нашия случай дискета, която не е защитена от запис и все още не е заразена, той продължава да заразява. При заразяване на дискета вирусът извършва следните действия:
Разпределя определена област на диска и я маркира като недостъпна за операционната система, това може да стане по различни начини, в най-простия и традиционен случай секторите, заети от вируса, са маркирани като лоши (лоши)
Копира опашката си и оригиналния (здрав) сектор за зареждане в избраната област на диска
Заменя програмата за стартиране в (истинския) сектор за зареждане с нейната глава
Организира веригата за предаване на контрола по схемата.
По този начин главата на вируса вече е първата, която поема контрола, вирусът се инсталира в паметта и прехвърля контрола върху оригиналния зареждащ сектор. Във верига
PNZ (ROM) - PNZ (диск) - СИСТЕМА
появява се нов линк:
PNZ (ROM) - ВИРУС - PNZ (диск) - СИСТЕМА
Моралът е ясен: никога (случайно) не оставяйте дискети в устройство A.
Разгледахме работата на прост бутов вирус, който живее в секторите за зареждане на дискети. По правило вирусите могат да заразят не само секторите за зареждане на дискетите, но и секторите за зареждане на твърдите дискове. В този случай, за разлика от флопи дисковете, твърдият диск има два типа сектори за зареждане, съдържащи програми за зареждане, които получават управление. При зареждане на компютър от твърд диск, програмата за зареждане в MBR (Master Boot Record - Главен запис за зареждане) поема управлението първо. Ако вашият твърд диск е разделен на няколко дяла, тогава само един от тях е маркиран като стартиращ (boot). Програмата за зареждане в MBR намира дяла за зареждане на твърдия диск и прехвърля контрола на програмата за зареждане на този дял. Кодът на последния е същият като кода на програмата за зареждане, съдържаща се на обикновени дискети, а съответните сектори за зареждане се различават само в таблиците с параметри. По този начин има два обекта на атака на зареждащи вируси на твърдия диск - програма за стартиране в MBRи елементарен изтегляния в boot секторадиск за зареждане.
2.2. Файлови вируси
Нека сега разгледаме как работи един прост файлов вирус. За разлика от стартиращите вируси, които почти винаги са резидентни, файловите вируси не са непременно резидентни. Нека разгледаме схемата на функциониране на нерезидентен файлов вирус. Да предположим, че имаме заразен изпълним файл. Когато се стартира такъв файл, вирусът поема контрола, извършва някои действия и прехвърля контрола на "главния" (въпреки че все още не е известно кой е господарят в такава ситуация).
Какви действия извършва вирусът? Той търси нов обект за заразяване - файл от подходящ тип, който все още не е заразен (в случай, че вирусът е „приличен“, в противен случай има такива, които заразяват веднага, без да проверяват нищо). Като заразява файл, вирусът се инжектира в неговия код, за да получи контрол, когато файлът се изпълнява. В допълнение към основната си функция - възпроизвеждане, вирусът може да направи нещо сложно (да речем, да попита, да играе) - това вече зависи от въображението на автора на вируса. Ако файловият вирус е резидентен, той ще се инсталира в паметта и ще получи способността да заразява файлове и да показва други способности не само докато заразеният файл работи. Като заразява изпълним файл, вирусът винаги променя своя код - следователно винаги може да бъде открита инфекция на изпълним файл. Но като промени кода на файла, вирусът не прави непременно други промени:
à не е длъжен да променя дължината на файла
à неизползвани части от кода
à не се изисква за промяна на началото на файла
И накрая, файловите вируси често включват вируси, които „имат нещо общо с файловете“, но не се изисква да навлизат в техния код. Нека разгледаме като пример схемата на функциониране на вируси от известното семейство Dir-II. Трябва да се признае, че след като се появиха през 1991 г., тези вируси предизвикаха истинска епидемия от чума в Русия. Помислете за модел, който ясно показва основната идея на вируса. Информацията за файловете се съхранява в директории. Всеки запис в директория включва име на файл, дата и час на създаване, някои Допълнителна информация, номер на първия клъстерфайл и др. резервни байтове. Последните са оставени "в резерв" и самата MS-DOS не се използва.
Когато изпълнява изпълними файлове, системата чете първия клъстер на файла от записа в директорията и след това всички останали клъстери. Вирусите от семейството Dir-II произвеждат следната "реорганизация" на файловата система: самият вирус се записва в някои свободни дискови сектори, които маркира като лоши. В допълнение, той съхранява информация за първите клъстери от изпълними файлове в резервни битове и записва препратки към себе си вместо тази информация.
По този начин, когато се стартира който и да е файл, вирусът получава контрол (операционната система го стартира сама), остава в паметта и прехвърля контрола върху извикания файл.
2.3. Вируси на стартиращи файлове
Няма да разглеждаме модела на вируса за стартиращ файл, защото в този случай няма да научите никаква нова информация. Но тук има възможност да обсъдим накратко изключително „популярния“ напоследък вирус за зареждащ файл OneHalf, който заразява основния зареждащ сектор (MBR) и изпълними файлове. Основното разрушително действие е криптирането на секторите на твърдия диск. При всяко стартиране вирусът криптира следващата порция сектори, а след като криптира половината харддиск, с радост съобщава това. Основният проблем при лечението на този вирус е, че не е достатъчно само да премахнете вируса от MBR и файловете, необходимо е да дешифрирате информацията, криптирана от него. Най-"смъртоносното" действие е просто да пренапишете нов здрав MBR. Основното нещо - не се паникьосвайте. Претеглете всичко спокойно, консултирайте се с експерти.
2.4. Полиморфни вируси
Голяма част от въпросите са свързани с понятието "полиморфен вирус". Този тип компютърен вирус е най-опасният. Нека обясним какво представлява.
Полиморфните вируси са вируси, които променят кода си в заразени програми по такъв начин, че два екземпляра на един и същи вирус може да не съвпадат в един бит.
Такива вируси не само криптират своя код, използвайки различни пътища за криптиране, но също така съдържат кода за генериране на криптатора и декриптора, което ги отличава от обикновените вируси за криптиране, които също могат да криптират секции от своя код, но в същото време имат постоянен код на шифратора и декриптора.
Полиморфните вируси са вируси със самопроменящи се декодери. Целта на такова криптиране е, че ако имате заразен и оригинален файл, пак няма да можете да анализирате неговия код с помощта на конвенционално разглобяване. Този код е криптиран и представлява безсмислен набор от команди. Дешифрирането се извършва от самия вирус по време на изпълнение. В същото време са възможни варианти: той може да се декриптира наведнъж или може да извърши такова декриптиране "в движение", може отново да криптира вече разработени секции. Всичко това се прави с цел да се затрудни анализирането на вирусния код.
3. ИСТОРИЯ НА КОМПЮТЪРНАТА ВИРУЛОГИЯ И ПРИЧИНИ ЗА ПОЯВА НА ВИРУСИТЕ
Историята на компютърната вирусология днес изглежда като постоянна „надпревара за лидер“ и въпреки пълната мощ на съвременните антивирусни програми, лидерите са вирусите. Сред хилядите вируси само няколко десетки са оригинални разработки, използващи наистина фундаментално нови идеи. Всички останали са "вариации на тема". Но всяко оригинално развитие принуждава създателите на антивируси да се адаптират към новите условия, да наваксат вирусната технология. За последното може да се спори. Например през 1989 г. американски студент успява да създаде вирус, който деактивира около 6000 компютъра на Министерството на отбраната на САЩ. Или епидемията от известния вирус Dir-II, която избухна през 1991 г. Вирусът използва наистина оригинална, принципно нова технология и първоначално успя да се разпространи широко поради несъвършенството на традиционните антивирусни средства.
Или избухването на компютърни вируси в Обединеното кралство: Кристофър Пайн успя да създаде вирусите Pathogen и Queeq, както и вируса Smeg. Последният беше най-опасен, можеше да се приложи към първите два вируса и поради това след всяко стартиране на програмата те промениха конфигурацията. Следователно те бяха невъзможни за унищожаване. За да разпространява вируси, Пайн копира компютърни игрии програми, зарази ги и след това ги изпрати обратно в мрежата. Потребителите изтеглят заразени програми на своите компютри и заразени дискове. Ситуацията се влоши от факта, че Пайн успя да вкара вируси в програмата, която се бори с тях. Пускайки го, потребителите вместо да унищожават вируси, получават друг. В резултат на това досиетата на много компании бяха унищожени, загубите възлизаха на милиони лири.
Американският програмист Морис е широко известен. Той е известен като създателят на вируса, който през ноември 1988 г. зарази около 7000 персонални компютъра, свързани с интернет.
Причините за появата и разпространението на компютърните вируси, от една страна, се крият в психологията на човешката личност и нейните сенчести страни (завист, отмъщение, суета на непризнати творци, неспособност за конструктивно прилагане на способностите им), от друга страна. от друга страна, поради липсата на хардуерна защита и противодействие от страна на операционната.персонални компютърни системи.
4. НАЧИНИ ЗА ПРОНИКВАНЕ НА ВИРУСИ В КОМПЮТЪР И МЕХАНИЗЪМ ЗА РАЗПРОСТРАНЕНИЕ НА ВИРУСНИ ПРОГРАМИ
Основните начини за проникване на вируси в компютъра са сменяемите дискове (флопи и лазерни), както и компютърните мрежи. Инфекция на твърдия диск с вируси може да възникне, когато програма се зареди от дискета, съдържаща вирус. Такава инфекция може да бъде и случайна, например, ако дискетата не е извадена от устройство A и компютърът е рестартиран, докато дискетата може да не е системна. Много по-лесно е да заразите дискета. Вирус може да попадне върху него, дори ако дискетата просто се постави в дисковото устройство на заразен компютър и например се прочете съдържанието.
Вирусът, като правило, се въвежда в работната програма по такъв начин, че при стартирането му първо се прехвърля контролът върху него и едва след като всичките му команди са изпълнени, той отново се връща в работната програма. След като получи достъп до контрол, вирусът първо се пренаписва в друга работеща програма и я заразява. След стартиране на програма, съдържаща вирус, става възможно заразяването на други файлове. Най-често секторът за зареждане на диска и изпълними файлове с разширения EXE, COM, SYS, BAT са заразени с вируса. Текстовите файлове са изключително рядко заразени.
След като зарази програмата, вирусът може да извърши някакъв вид саботаж, но не много сериозен, за да не привлече вниманието. И накрая, не забравяйте да върнете контрола на програмата, от която е стартирана. Всяко изпълнение на заразена програма прехвърля вируса на следващата. Така че всичко се заразява. софтуер.
За да илюстрира процеса на инфекция компютърна програмакато вирус има смисъл да се оприличи дисковото хранилище на старомоден архив с папки на лента. Папките съдържат програми и последователността от операции за въвеждане на вирус в този случай ще изглежда така (вижте Приложение 1)
5. ПРИЗНАЦИ ЗА ВИРУСИ
Когато компютърът е заразен с вирус, е важно да го откриете. За да направите това, трябва да знаете за основните признаци на проява на вируси. Те включват следното:
¨ прекратяване на работа или неправилна работа на предишни успешно работещи програми
¨ бавна работа на компютъра
¨ невъзможност за зареждане на операционната система
¨ изчезване на файлове и директории или изкривяване на тяхното съдържание
¨ промяна на датата и часа на промяна на файловете
¨ преоразмеряване на файла
¨ неочаквано голямо увеличение на броя на файловете на диска
¨ значително намаляване на размера на свободната RAM памет
¨ показване на неочаквани съобщения или изображения на екрана
¨ подаване на непредвидени звукови сигнали
¨ чести замръзвания и компютърни сривове
Трябва да се отбележи, че горните явления не са непременно причинени от наличието на вируса, но могат да се дължат на други причини. Следователно винаги е трудно правилно да се диагностицира състоянието на компютъра.
6. ОТКРИВАНЕ НА ВИРУС И МЕРКИ ЗА ЗАЩИТА И ПРЕВЕНЦИЯ
6.1. Как да открием вирус ? Традиционен подход
И така, определен писател на вируси създава вирус и го пуска в "живот". За известно време той може да се разхожда свободно, но рано или късно „лафа“ ще свърши. Някой ще се усъмни, че нещо не е наред. Обикновено се откриват вируси обикновени потребителикоито забелязват определени аномалии в поведението на компютъра. Те в повечето случаи не са в състояние сами да се справят с инфекцията, но това не се изисква от тях.
Необходимо е само вирусът да попадне в ръцете на специалисти възможно най-скоро. Професионалистите ще го изучават, ще разберат "какво прави", "как прави", "кога прави" и т.н. В процеса на такава работа цялата необходима информация за вирусът, по-специално, сигнатурата на вируса е подчертана - поредица от байтове, която съвсем определено го характеризира. За изграждане на сигнатура обикновено се вземат най-важните и характерни части от кода на вируса. В същото време стават ясни механизмите на действие на вируса, например при boot вирус е важно да се знае къде крие опашката си, къде се намира оригиналният boot сектор, а при един файл, как е заразен файлът. Получената информация ни позволява да разберем:
Как да открием вирус, за това са посочени методи за търсене на сигнатури в потенциални обекти на вирусна атака - файлове и / или сектори за зареждане
как да се неутрализира вирусът, ако е възможно, се разработват алгоритми за премахване на вирусния код от засегнатите обекти
6.2. Програми за откриване и защита от вируси
За откриване, премахване и защита срещу компютърни вируси са разработени няколко вида специални програми, които ви позволяват да откривате и унищожавате вируси. Такива програми се наричат антивирусен . Има следните видове антивирусни програми:
програми-детектори
програми-доктори или фаги
програмни одитори
филтриращи програми
програми за ваксини или имунизатори
Програми-детекториизвършете търсене за сигнатура, характерна за определен вирус в RAM и във файлове и, ако бъде открита, издайте подходящо съобщение. Недостатъкът на такива антивирусни програми е, че те могат да намерят само вируси, които са известни на разработчиците на такива програми.
Докторски програмиили фаги, както и програми за ваксинине само намират заразени с вируси файлове, но и ги „лекуват“, т.е. премахнете тялото на вирусната програма от файла, връщайки файловете в първоначалното състояние. В началото на работата си фагите търсят вируси в RAM, унищожават ги и едва след това пристъпват към „третиране“ на файлове. Сред фагите се разграничават полифагите, т.е. лекарски програми, предназначени да откриват и унищожават голям брой вируси. Най-известните от тях са: Aidstest, Scan, Norton Antivirus, Доктор Уеб.
Като се има предвид, че постоянно се появяват нови вируси, програмите за откриване и лекарските програми бързо остаряват и са необходими редовни актуализации.
Одиторски програмиса сред най-надеждните средства за защита срещу вируси. Одиторите запомнят първоначалното състояние на програмите, директориите и системните области на диска, когато компютърът не е заразен с вирус, и след това периодично или по искане на потребителя сравняват текущото състояние с първоначалното. Откритите промени се показват на екрана на монитора. По правило състоянията се сравняват веднага след зареждане на операционната система. При сравняване се проверяват дължината на файла, цикличният контролен код (контролна сума на файла), датата и часа на модификация и други параметри. Програмите за одитор имат доста усъвършенствани алгоритми, откриват стелт вируси и дори могат да изчистят промените във версията на проверяваната програма от промените, направени от вируса. Сред програмите-одитори е програмата Adinf, широко използвана в Русия.
Филтриращи програмиили "пазач"са малки резидентни програми, предназначени да откриват подозрителна компютърна активност, която е характерна за вирусите. Такива действия могат да бъдат:
Опит за коригиране на файлове с разширения COM, EXE
промяна на файловите атрибути
Директен запис на диск на абсолютен адрес
Записвайте в секторите за зареждане на диска
Когато някоя програма се опита да извърши посочените действия, "пазачът" изпраща съобщение до потребителя и предлага да забрани или разреши съответното действие. Програмите за филтриране са много полезни, тъй като са в състояние да открият вируса на най-ранния етап от съществуването му преди възпроизвеждането. Те обаче не "лекуват" файлове и дискове. За да унищожите вируси, трябва да използвате други програми, като фаги. Недостатъците на програмите за наблюдение включват тяхната "досада" (например те постоянно издават предупреждение за всеки опит за копиране на изпълним файл), както и възможните конфликти с друг софтуер. Пример за филтърна програма е програмата Vsafe, която е част от помощния пакет на MS DOS.
Ваксиниили имунизаториса резидентни програми, които предотвратяват заразяване на файлове. Ваксините се използват, ако няма лекарски програми, които "лекуват" този вирус. Ваксинирането е възможно само срещу известни вируси. Ваксината модифицира програмата или диска по такъв начин, че да не повлияе на тяхната работа, а вирусът ще ги възприеме като заразени и следователно няма да се вкорени. Понастоящем програмите за ваксини са с ограничено приложение.
Навременното откриване на заразени с вируси файлове и дискове, пълното унищожаване на откритите вируси на всеки компютър помага да се избегне разпространението на вирусна епидемия към други компютри.
6.3. Основни мерки за защита срещу вируси
За да предотвратите заразяване на вашия компютър с вируси и да осигурите сигурно съхранениеинформация на дискове, трябва да се спазват следните правила:
¨ оборудвайте компютъра си с актуални антивирусни програми, като Aidstest, Doctor Web, и постоянно актуализирайте техните версии
¨ преди да прочетете информация, съхранена на други компютри от дискети, винаги проверявайте тези дискети за вируси, като стартирате антивирусни програми на вашия компютър
¨ когато прехвърляте архивирани файлове на вашия компютър, проверете ги веднага след разархивирането им на вашия твърд диск, като ограничите областта за проверка само до новозаписани файлове
¨ периодично проверявайте за вируси твърди дисковекомпютър чрез стартиране на антивирусни програми за тестване на файлове, памет и системни области на дискове от защитена от запис дискета, след зареждане на операционната система от защитена от запис системна дискета
¨ винаги защитавайте дискетите си от запис, когато работите на други компютри, ако няма да се записва информация
¨ не забравяйте да направите архивни копия на дискети с ценна за вас информация
¨ не оставяйте дискети в джоба на устройство A, когато включвате или рестартирате операционната система, за да предотвратите заразяване на компютъра с вируси за стартиране
¨ използвайте антивирусни програми за входен контрол на всички изпълними файлове, получени от компютърни мрежи
¨ за да се осигури по-голяма сигурност, използването на Aidstest и Doctor Web трябва да се комбинира с ежедневното използване на дисковия одитор Adinf
ЗАКЛЮЧЕНИЕ
И така, можем да цитираме много факти, които показват, че заплахата за информационния ресурс нараства всеки ден, паникьосвайки отговорните лица в банки, предприятия и компании по целия свят. И тази заплаха идва от компютърни вируси, които изкривяват или унищожават жизненоважна, ценна информация, което може да доведе не само до финансови загуби, но и до човешки жертви.
Компютърен вирус - специално написана програма, която може спонтанно да се прикачва към други програми, да създава свои копия и да ги вгражда във файлове, области на компютърната система и в компютърни мрежиза да наруши работата на програмите, да повреди файлове и директории, да създаде всякакви смущения в работата на компютъра.
В момента са известни повече от 5000 софтуерни вируса, чийто брой непрекъснато нараства. Има случаи, когато уроци са създадени, за да помогнат при писането на вируси.
Основните видове вируси: зареждане, файл, зареждане на файл. Най-опасният тип вируси са полиморфните.
От историята на компютърната вирусология става ясно, че всяка оригинална компютърна разработка принуждава създателите на антивируси да се адаптират към новите технологии, постоянно да подобряват антивирусните програми.
Причините за появата и разпространението на вирусите се крият от една страна в човешката психология, от друга страна, в липсата на защита в операционната система.
Основните начини за проникване на вируси са сменяемите устройства и компютърните мрежи. За да предотвратите това, вземете предпазни мерки. Също така са разработени няколко вида специални програми, наречени антивирусни програми, за откриване, премахване и защита срещу компютърни вируси. Ако все още откриете вирус в компютъра си, тогава според традиционния подход е по-добре да се обадите на професионалист, за да може той да го разбере допълнително.
Но някои свойства на вирусите озадачават дори експертите. Доскоро беше трудно да си представим, че вирус може да оцелее след студено рестартиране или да се разпространи чрез файлове с документи. При такива условия е невъзможно да не се придава значение поне на първоначалното антивирусно обучение на потребителите. Въпреки сериозността на проблема, никой вирус не е в състояние да причини толкова вреда, колкото един побелял потребител с треперещи ръце!
Така, здравето на вашите компютри, безопасността на вашите данни - във вашите ръце!
Библиографски списък
1. Информатика: Учебник / ред. проф. Н.В. Макарова. - М.: Финанси и статистика, 1997.
2. Енциклопедия на тайните и усещанията / Подг. текст Ю.Н. Петров. - Минск: Литература, 1996.
3. Безруков Н.Н. Компютърни вируси. - М.: Наука, 1991.
4. Мостовой Д.Ю. Съвременни технологииборба с вирусите // PC World. - № 8. - 1993 г.
Антивирусната защита е най-разпространената мярка за осигуряване на информационната сигурност на ИТ инфраструктурата в корпоративния сектор. Въпреки това, само 74% от руските компании използват решения за антивирусна защита, според проучване, проведено от Kaspersky Lab съвместно с аналитичната компания B2B International (есента на 2013 г.).
Докладът също така казва, че на фона на експлозията от киберзаплахи срещу кои компании прости антивирусни програми, руският бизнес все повече използва сложни инструменти за защита. До голяма степен поради тази причина използването на инструменти за криптиране на данни се е увеличило със 7%. сменяеми носители(24%). В допълнение, компаниите са станали по-склонни да разграничават политиките за сигурност за преносими устройства. Увеличава се и диференциацията на нивото на достъп до различните части на ИТ инфраструктурата (49%). В същото време малкият и среден бизнес обръщат повече внимание на контрола на преносимите устройства (35%) и контрола на приложенията (31%).
Изследователите също установиха, че въпреки постоянното откриване на нови уязвимости в софтуера, руски компаниивсе още не обръщат необходимото внимание на редовните актуализации на софтуера. Нещо повече, броят на организациите за корекции е намалял спрямо миналата година до едва 59%.
Съвременните антивирусни програми са в състояние ефективно да откриват злонамерени обекти в програмни файлове и документи. В някои случаи антивирусът може да премахне тялото на злонамерен обект от заразен файл, като възстанови самия файл. В повечето случаи антивирусът е в състояние да премахне злонамерен програмен обект не само от програмен файл, но и от файл на офис документ, без да нарушава неговата цялост. Използването на антивирусни програми не изисква висока квалификация и е достъпно за почти всеки потребител на компютър.
Повечето антивирусни програми комбинират защита в реално време (вирусен монитор) и защита при поискване (вирусен скенер).
Антивирусен рейтинг
2019: Две трети от антивирусите за Android бяха безполезни
През март 2019 г. AV-Comparatives, австрийска лаборатория, специализирана в тестване на антивирусен софтуер, публикува резултатите от проучване, което показва безполезността на повечето от тези програми за Android.
Само 23 антивирусни програми, намиращи се в официалния каталог на Google Play Store, разпознават точно зловреден софтуер в 100% от случаите. Останалата част от софтуера или не реагира на мобилни заплахи, или приема абсолютно безопасни приложения за тях.
Експертите са проучили 250 антивирусни програми и съобщават, че само 80% от тях могат да открият повече от 30% зловреден софтуер. Така 170 приложения се провалиха на теста. Продуктите, преминали тестовете, са предимно решения на големи производители, включително Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro и Trustwave.
Като част от експеримента изследователите инсталираха всяко антивирусно приложение на отделно устройство (без емулатор) и автоматизираха устройствата да стартират браузър, да изтеглят и след това да инсталират зловреден софтуер. Всяко устройство беше тествано срещу 2000 от най-разпространените Android вируси през 2018 г.
Според AV-Comparatives повечето антивирусни решенияза android са фалшификати. Десетки приложения имат почти идентичен интерфейс и създателите им очевидно се интересуват повече от показването на реклами, отколкото от написването на работещ скенер за вируси.
Някои антивируси "виждат" заплаха във всяко приложение, което не е включено в техния "бял списък". Поради това те, в редица много анекдотични случаи, вдигнаха тревога заради собствените си файлове, тъй като разработчиците забравиха да ги споменат в "белия списък".
2017: Microsoft Security Essentials е призната за една от най-лошите антивирусни програми
През октомври 2017 г. германската антивирусна лаборатория AV-Test публикува резултатите от цялостно антивирусно тестване. Според проучването, патентован софтуер на Microsoft, предназначен да предпазва от злонамерена дейност, почти най-зле от всички се справят със задълженията си.
Според резултатите от тестовете, проведени през юли-август 2017 г., експертите на AV-Test определиха Kaspersky Internet Security като най-добрата антивирусна програма за Windows 7, която получи 18 точки по отношение на защита, производителност и лекота на използване.
Челната тройка включваше програмите на Trend Micro интернет сигурности Bitdefender Internet Security, които спечелиха по 17,5 точки. Позицията на продуктите на други антивирусни компании, включени в проучването, можете да намерите на илюстрациите по-долу:
Много скенери също използват евристични алгоритми за сканиране, т.е. анализ на последователността от команди в проверявания обект, събиране на някои статистики и вземане на решение за всеки проверяван обект.
Скенерите също могат да бъдат разделени на две категории – универсални и специализирани. Универсалните скенери са предназначени да търсят и неутрализират всички видове вируси, независимо от операционната система, в която скенерът е проектиран да работи. Специализираните скенери са предназначени да неутрализират ограничен брой вируси или само един клас от тях, като например макро вируси.
Скенерите също се делят на резидентни (монитори), които сканират в движение, и нерезидентни, които проверяват системата само при поискване. По правило резидентните скенери осигуряват по-надеждна защита на системата, тъй като те незабавно реагират на появата на вирус, докато нерезидентният скенер може да идентифицира вирус само при следващото му стартиране.
CRC скенери
Принципът на работа на CRC скенерите се основава на изчисляването на CRC суми (контролни суми) за файлове / системни сектори, налични на диска. След това тези CRC суми се съхраняват в антивирусната база данни, както и друга информация: дължини на файлове, дати на последната им модификация и т.н. При следващото стартиране на CRC скенерите те проверяват данните, съдържащи се в базата данни, с действително преброените стойности. Ако информацията за файла, записана в базата данни, не съвпада с реалните стойности, тогава CRC скенерите сигнализират, че файлът е модифициран или заразен с вирус.
CRC скенерите не могат да уловят вирус в момента на появата му в системата, но го правят само след известно време, след като вирусът се е разпространил в целия компютър. CRC скенерите не могат да открият вирус в нови файлове (в електронна поща, на дискети, във файлове, възстановени от резервно копие или при разопаковане на файлове от архив), тъй като техните бази данни нямат информация за тези файлове. Освен това периодично се появяват вируси, които използват тази слабост на CRC скенерите, заразяват само новосъздадени файлове и така остават невидими за тях.
Блокери
Антивирусните блокери са резидентни програми, които прихващат опасни за вируси ситуации и уведомяват потребителя за това. Опасните за вируси повиквания включват повиквания за отваряне за запис в изпълними файлове, запис в секторите за зареждане на дискове или MBR на твърд диск, опити на програми да останат резидентни и т.н., т.е. повиквания, които са типични за вирусите на време на размножаване.
Предимствата на блокерите включват способността им да откриват и спират вируса на най-ранния етап от неговото възпроизвеждане. Недостатъците включват наличието на начини за заобикаляне на защитата на блокерите и голям брой фалшиви положителни резултати.
Имунизатори
Имунизаторите се разделят на два типа: имунизатори за отчитане на инфекция и имунизатори за блокиране на инфекция. Първите обикновено се записват в края на файловете (по принципа на файловия вирус) и при всяко стартиране на файла се проверява за промени. Недостатъкът на такива имунизатори е само един, но смъртоносен: абсолютната невъзможност за отчитане на инфекция със стелт вирус. Следователно такива имунизатори, както и блокери, практически не се използват в момента.
Вторият тип имунизация защитава системата от атака от определен тип вирус. Файловете на дисковете се модифицират по такъв начин, че вирусът да ги приема за вече заразени. За защита срещу резидентен вирус в паметта на компютъра се въвежда програма, която имитира копие на вируса. При стартиране вирусът се натъква на него и смята, че системата вече е заразена.
Този тип имунизация не може да бъде универсална, тъй като е невъзможно файловете да бъдат имунизирани срещу всички известни вируси.
Класификация на антивирусите на базата на променливост във времето
Според Валери Конявски антивирусните средства могат да бъдат разделени на две големи групи- анализиране на данни и анализиране на процеси.
Анализ на данни
Анализът на данните включва одитори и полифаги. Одиторите анализират последствията от дейността на компютърни вируси и други злонамерени програми. Последиците са показани в промяна на данните, които не трябва да се променят. Именно фактът на промяна на данните е знак за активността на злонамерени програми от гледна точка на одитора. С други думи, одиторите контролират целостта на данните и при нарушаване на целостта вземат решение за наличието на зловреден софтуер в компютърната среда.
Полифагите действат по различен начин. Въз основа на анализ на данните те идентифицират фрагменти от злонамерен код (например по неговия подпис) и на тази основа правят заключение за наличието на злонамерени програми. Изтриването или дезинфекцирането на заразени с вируси данни помага за предотвратяване на негативните последици от изпълнението на зловреден софтуер. Така на базата на анализ в статиката се предотвратяват последствията, възникващи в динамиката.
Схемата на работа както на одиторите, така и на полифагите е почти една и съща - да сравняват данните (или тяхната контролна сума) с една или повече референтни проби. Данните се сравняват с данни. По този начин, за да откриете вирус в компютъра си, трябва той вече да е работил, за да се появят последствията от неговата дейност. Този метод може да намери само известни вируси, за които кодовите фрагменти или сигнатури са описани по-рано. Малко вероятно е такава защита да се нарече надеждна.
Анализ на процеса
Антивирусните инструменти, базирани на анализ на процеси, работят малко по-различно. Евристични анализатори, като описаните по-горе, анализират данни (на диск, в канал, в памет и т.н.). Фундаменталната разлика е, че анализът се извършва при предположението, че анализираният код не е данни, а команди (в компютрите с фон Нойманова архитектура данните и командите са неразличими и следователно трябва да се изложи едно или друго предположение по време на анализ.)
Евристичният анализатор избира последователност от операции, присвоява определена степен на опасност на всяка от тях и въз основа на съвкупността от опасности решава дали тази последователност от операции е част от злонамерения код. Самият код не се изпълнява.
Друг тип антивирусни инструменти, базирани на анализ на процеси, са поведенческите блокери. В този случай подозрителният код се изпълнява стъпка по стъпка, докато наборът от действия, инициирани от кода, се оцени като опасно (или безопасно) поведение. В този случай кодът се изпълнява частично, тъй като завършването на злонамерения код може да бъде открито чрез по-прости методи за анализ на данни.
Технологии за откриване на вируси
Технологиите, използвани в антивирусите, могат да бъдат разделени на две групи:
- Технологии за анализ на подписи
- Технологии за вероятностен анализ
Технологии за анализ на подписи
Сигнатурният анализ е метод за откриване на вируси, който проверява наличието на вирусни сигнатури във файловете. Сигнатурният анализ е най-известният метод за откриване на вируси и се използва в почти всички съвременни антивирусни програми. За да извърши сканиране, антивирусът се нуждае от набор от вирусни сигнатури, който се съхранява в антивирусната база данни.
Поради факта, че анализът на сигнатури включва проверка на файлове за вирусни сигнатури, антивирусната база данни трябва периодично да се актуализира, за да поддържа антивирусната програма актуална. Самият принцип на работа на сигнатурния анализ също определя границите на неговата функционалност - способността да открива само известни вируси - сигнатурният скенер е безсилен срещу нови вируси.
От друга страна, наличието на вирусни сигнатури предполага възможност за лечение заразени файловеоткрити чрез анализ на сигнатурата. Лечението обаче не е приемливо за всички вируси - троянските коне и повечето червеи не са лечими поради техните характеристики на дизайна, тъй като те са твърди модули, предназначени да причиняват щети.
Компетентното внедряване на вирусна сигнатура прави възможно откриването на известни вируси със 100% сигурност.
Технологии за вероятностен анализ
Технологиите за вероятностен анализ от своя страна са разделени на три категории:
- Евристичен анализ
- Поведенчески анализ
- Анализ на контролната сума
Евристичен анализ
Евристичният анализ е технология, базирана на вероятностни алгоритми, резултатът от които е идентифицирането на подозрителни обекти. В процеса евристичен анализпроверява се структурата на файла, съответствието му с вирусни шаблони. Най-популярната евристична техника е да се провери съдържанието на файл за модификации на вече известни вирусни сигнатури и техните комбинации. Това помага за откриване на хибриди и нови версии на вече известни вируси без допълнително актуализиране на антивирусната база данни.
Евристичният анализ се използва за откриване на непознати вируси и в резултат на това не включва лечение. Тази технология не е в състояние на 100% да определи вируса пред нея или не и като всеки вероятностен алгоритъм, тя греши с фалшиви положителни резултати.
Поведенчески анализ
Поведенческият анализ е технология, при която решение за естеството на проверявания обект се взема на базата на анализ на операциите, които той извършва. Поведенческият анализ има много тясно практическо приложение, тъй като повечето от типичните за вирусите действия могат да се извършват от обикновени приложения. Поведенческите анализатори на скриптове и макроси са най-известните, тъй като съответните вируси почти винаги извършват редица подобни действия.
Функциите за сигурност, вградени в BIOS, също могат да бъдат класифицирани като поведенчески анализатори. Когато се направи опит да се направят промени в MBR на компютъра, анализаторът блокира действието и показва съответното известие на потребителя.
В допълнение, поведенческите анализатори могат да проследяват опитите за директен достъп до файлове, да правят промени в тях зареждащ записформатиране на дискета твърди дисковеи т.н.
Поведенческите анализатори не използват допълнителни обекти като вирусни бази данни за своята работа и в резултат на това не са в състояние да разграничат известни и непознати вируси - всички подозрителни програми априори се считат за неизвестни вируси. По същия начин характеристиките на работата на инструментите, които прилагат технологии за анализ на поведението, не предполагат лечение.
Анализ на контролната сума
Анализът на контролната сума е начин за проследяване на промените в обектите на компютърна система. Въз основа на анализа на характера на промените - едновременност, масов характер, еднакви промени в дължините на файловете - може да се заключи, че системата е заразена. Анализаторите на контролни суми (наричани още одитори на промените), подобно на поведенческите анализатори, не използват допълнителни обекти в работата си и издават присъда за наличието на вирус в системата изключително чрез партньорска проверка. Подобни технологии се използват и в скенерите за достъп - при първата проверка се взема контролна сума от файла и се поставя в кеша, преди следващата проверка на същия файл контролната сума се взема отново, сравнява се и ако няма промени, файлът се счита за незаразен.
Антивирусни комплекси
Антивирусен комплекс - набор от антивируси, които използват една и съща антивирусна машина или машини, предназначени да решават практически проблеми при осигуряване на антивирусна сигурност компютърни системи. Антивирусният комплекс включва и инструменти за актуализиране на антивирусни бази данни.
В допълнение, антивирусният комплекс може допълнително да включва поведенчески анализатори и одитори на промени, които не използват антивирусния двигател.
Има следните видове антивирусни комплекси:
- Антивирусен комплекс за защита на работни станции
- Антивирусен комплекс за защита на файлови сървъри
- Антивирусен комплекс за защита на пощенските системи
- Антивирусен комплекс за защита на портали.
Облачна срещу традиционна десктоп антивирусна програма: Кое да изберете?
(Според ресурса Webroot.com)
Съвременният пазар на антивирусни инструменти е предимно традиционни решения за настолни системи, защитните механизми в които са изградени на базата на методи, базирани на подписи. Алтернативен начинантивирусна защита - използване на евристичен анализ.
Проблеми с традиционния антивирусен софтуер
През последните години традиционните антивирусни технологии стават все по-малко ефективни и бързо остаряват поради редица фактори. Броят на вирусните заплахи, идентифицирани чрез техните сигнатури, вече е толкова голям, че осигуряването на навременна 100% актуализация на базите данни със сигнатури на потребителските компютри често е нереалистична задача. Хакерите и киберпрестъпниците все повече използват ботнет мрежи и други технологии, за да ускорят разпространението на вирусни заплахи от нулевия ден. Освен това сигнатури на съответните вируси не се създават по време на целеви атаки. И накрая, прилагат се нови технологии за откриване на вируси: криптиране на зловреден софтуер, създаване на полиморфни вируси от страната на сървъра, предварително тестване на качеството на вирусна атака.
Традиционната антивирусна защита най-често е изградена в архитектурата на "дебелия клиент". Това означава, че на компютъра на клиента е инсталиран том. програмен код. Той проверява входящите данни и открива наличието на вирусни заплахи.
Този подход има редица недостатъци. Първо, сканирането за злонамерен софтуер и съвпадение на сигнатури изисква значително изчислително натоварване, което се „отнема“ от потребителя. В резултат на това производителността на компютъра намалява, а работата на антивирусната програма понякога пречи на паралелното изпълнение на приложените задачи. Понякога натоварването на системата на потребителя е толкова забележимо, че потребителите изключват антивирусните програми, като по този начин премахват бариерата пред потенциална вирусна атака.
Второ, всяка актуализация на машината на потребителя изисква прехвърляне на хиляди нови подписи. Обемът на прехвърляните данни обикновено е от порядъка на 5 MB на ден на машина. Трансферът на данни забавя мрежата, отклонява допълнителни системни ресурси, изисква участието на системни администраториза контрол на трафика.
Трето, потребителите, които са в роуминг или са далеч от постоянното си работно място, са уязвими на атаки от нулевия ден. За да получат актуализирана част от подписите, те трябва да се свържат с VPN мрежа, която не е достъпна за тях от разстояние.
Антивирусна защита от облака
При преминаване към антивирусна защита от облака, архитектурата на решението се променя значително. На компютъра на потребителя е инсталиран "лек" клиент, чиято основна функция е да търси нови файлове, да изчислява хеш стойности и да изпраща данни облачен сървър. В облака се извършва пълномащабно сравнение на голяма база данни от събрани подписи. Тази база данни се актуализира постоянно и своевременно с данни, предавани от антивирусни компании. Клиентът получава доклад с резултатите от одита.
По този начин облачната архитектура на антивирусната защита има цяла линияпредимства:
- обемът на изчисленията на компютъра на потребителя е незначителен в сравнение с дебел клиент, следователно производителността на потребителя не намалява;
- няма катастрофален ефект от антивирусния трафик върху пропускателна способностмрежи: трябва да се изпрати компактна част от данните, съдържащи само няколко десетки хеш стойности, средният дневен трафик не надвишава 120 KB;
- облачното хранилище съдържа огромни масиви от подписи, много по-големи от тези, съхранявани на потребителските компютри;
- алгоритмите за сравнение на сигнатури, използвани в облака, са значително по-интелигентни от опростените модели, използвани на ниво локална станция, и поради по-високата производителност сравнението на данни отнема по-малко време;
- базираните в облак антивирусни услуги работят с реални данни, получени от антивирусни лаборатории, разработчици на сигурност, корпоративни и частни потребители; заплахите от нулев ден се блокират едновременно с тяхното разпознаване, без забавяне, причинено от необходимостта от получаване на достъп до потребителските компютри;
- потребители, които са в роуминг или нямат достъп до основните си работни места, получават защита от атаки от нулевия ден едновременно с достъпа до интернет;
- натоварването на системните администратори е намалено: не е необходимо да отделят време за инсталиране на антивирусен софтуер на компютрите на потребителите, както и за актуализиране на бази данни със сигнатури.
Защо традиционните антивируси се провалят
Съвременният злонамерен код може:
- Заобиколете антивирусните капани, като създадете специален целеви вирус за компанията
- Преди антивирусната програма да създаде подпис, тя ще избегне с помощта на полиморфизъм, транскодиране с помощта на динамичен DNS и URL
- Създаване на цел за компанията
- Полиморфизъм
- Никому неизвестен код - без подпис
Труден за защита
Високоскоростни антивируси от 2011 г
Руският независим информационен и аналитичен център Anti-Malware.ru публикува през май 2011 г. резултатите от друга сравнителен тест 20-те най-популярни антивирусни програми за производителност и консумация на системни ресурси.
Целта на този тест е да покаже кои персонални антивируси оказват най-малко влияние върху типичните операции на потребителя на компютъра, "бавят" по-малко работата му и консумират минимално количество системни ресурси.
Сред антивирусните монитори (скенери в реално време) цяла група продукти демонстрира много висока скоростработи, сред които: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro и Dr.Web. С тези антивируси на борда, забавянето на копирането на тестовата колекция беше по-малко от 20% в сравнение с бенчмарка. Антивирусните монитори BitDefender, PC Tools, Outpost, F-Secure, Norton и Emsisoft също показаха високи резултати по отношение на производителността, попадащи в диапазона 30-50%. Антивирусните монитори BitDefender, PC Tools, Outpost, F-Secure, Norton и Emsisoft също показаха високи резултати по отношение на производителността, попадащи в диапазона 30-50%.
В същото време Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost и PC Tools могат да бъдат значително по-бързи в реални условия поради тяхната оптимизация след проверка.
Антивирусната програма Avira показа най-добрата скорост на сканиране при поискване. Малко зад него бяха Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus и Outpost. По отношение на скоростта на първото сканиране тези антивируси са само малко по-ниски от лидера, като в същото време всички те имат в арсенала си мощни технологии за оптимизиране на многократни сканирания.
Друга важна характеристика на скоростта на антивирусната програма е нейното въздействие върху работата на приложенията, с които потребителят често работи. Пет от тях бяха избрани за теста: Internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe AcrobatЧитател и Адобе Фотошоп. Най-малкото забавяне при стартирането на тези офис програмипоказа антивируси Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost и G Data.
Юджийн Касперски през 1992 г. използва следната класификация на антивирусите в зависимост от техния принцип на работа (дефинираща функционалност):
Ø Скенери (остаряла версия - "полифаги", "детектори") - определят наличието на вирус чрез базата данни със сигнатури, която съхранява сигнатурите (или техните контролни суми) на вирусите. Тяхната ефективност се определя от релевантността на вирусната база данни и наличието на евристичен анализатор.
Ø одитори (клас, близък до IDS) - запомнете състоянието на файловата система, което прави възможно анализирането на промените в бъдеще.
Ø пазач (резидентни монитори или филтри ) - проследяване на потенциално опасни операции, издаване на съответната заявка на потребителя за разрешаване/забрана на операцията.
Ø Ваксини (имунизатори ) - променете присадения файл по такъв начин, че вирусът, срещу който се прави ваксината, вече да счита файла за заразен. В съвременните условия, когато броят на възможните вируси се измерва в стотици хиляди, този подход е неприложим.
Съвременните антивируси комбинират всички горепосочени функции.
Антивирусите също могат да бъдат разделени на:
Продукти за домашни потребители:
Всъщност антивируси;
Комбинирани продукти (например към класическата антивирусна програма са добавени анти-спам, защитна стена, анти-руткит и др.);
Корпоративни продукти:
Сървърни антивируси;
Антивируси на работни станции („крайна точка“).
Споделянеантивирусните програми дават добри резултати, тъй като се допълват добре:
Проверяват се данните, идващи от външни източници детекторна програма. Ако тези данни са били забравени да бъдат проверени и заразената програма е била стартирана, тя може да бъде уловена от програмата watchdog. Вярно е, че и в двата случая вирусите, известни на тези антивирусни програми, се откриват надеждно. Това са не повече от 80-90% от случаите.
- пазачможе да открие дори неизвестни вируси, ако се държат много нагло (опитайте да форматирате HDDили правете промени в системни файлове). Но някои вируси могат да заобиколят тези контроли.
Ако вирусът не е открит от детектор или пазач, тогава резултатите от неговата дейност ще бъдат открити от програма - одитор.
По правило програмите за наблюдение трябва да работят постоянно на компютъра, детекторите трябва да се използват за проверка на данни, идващи от външни източници (файлове и дискети), а одиторите трябва да се изпълняват веднъж на ден, за да открият и анализират промените на дисковете. Всичко това трябва да се комбинира с редовно архивиране на данни и използване на превантивни мерки за намаляване на вероятността от вирусна инфекция.
Всяка антивирусна програма "забавя" компютъра, но е надеждно средство за защита срещу вредното въздействие на вирусите.
Фалшиви антивируси (фалшиви антивируси).
През 2009г различни производителиантивирусите започнаха да съобщават за широко разпространение на нов тип антивируси - фалшиви антивируси или псевдо-антивируси (rogueware). Всъщност тези програми или изобщо не са антивируси (т.е. не са в състояние да се борят със зловреден софтуер), или дори вируси (те крадат информация за кредитни карти и т.н.).
Измамните антивируси се използват за изнудване на пари от потребителите чрез измама. Един от начините за заразяване на компютър с фалшива антивирусна програма е следният. Потребителят се отвежда до "заразен" сайт, който му дава предупредително съобщение като: "В компютъра ви е открит вирус." След това потребителят е подканен да изтегли безплатна програма(фалшив антивирус), за да премахнете вируса. След инсталирането фалшивата антивирусна програма сканира компютъра и уж открива много вируси на компютъра. За да премахне зловреден софтуер, фалшива антивирусна програма предлага да закупи платена версия на програмата. Шокираният потребител плаща (сума от $50 до $80) и фалшива антивирусна програма почиства компютъра от несъществуващи вируси.
Антивируси на SIM, флаш карти и USB устройства
Произвежданите днес мобилни телефони имат широка гама от интерфейси и възможности за пренос на данни. Потребителите трябва внимателно да проучат методите за защита, преди да свържат малки устройства.
Методите за защита като хардуер, може би антивируси на USB устройства или на SIM, са по-подходящи за потребителите на мобилни телефони. Техническа оценкаи преглед на това как да инсталирате антивирусна програма на клетъчен мобилен телефон трябва да се разглежда като процес на сканиране, който може да засегне други законни приложения на този телефон.
Антивирусните програми на SIM картата с антивирусна защита, вградена в областта на паметта с малък капацитет, осигуряват защита срещу злонамерен софтуер/вирус, като защитават ПИН кода и информацията на потребителя на телефона. Антивирусите на флаш карти позволяват на потребителя да обменя информация и да използва тези продукти с различни хардуерни устройства, както и да изпраща тези данни на други устройства, използвайки различни комуникационни канали.
Антивируси, мобилни устройства и иновативни решения
В бъдеще е възможно мобилните телефони да бъдат заразени с вирус. Все повече разработчици в тази област предлагат антивирусни програми за борба с вируси и защита на мобилни телефони. AT мобилни устройстваИма следните видове контрол на вирусите:
– ограничения на процесора;
– ограничение на паметта;
– идентифициране и актуализиране на подписите на тези мобилни устройства.
Заключение:Антивирусна програма (антивирус) - първоначално програма за откриване и лечение на злонамерени обекти или заразени файлове, както и за превенция - предотвратяване на инфекция на файл или операционна система зловреден код. В зависимост от принципа на действие на антивирусните програми има следната класификация на антивирусите: скенери (остаряла версия - "полифаги", "детектори"); одитори (клас близък до IDS); пазач (резидентни монитори или филтри); ваксини (имунизатори).
ЗАКЛЮЧЕНИЕ
Напредък в компютърните технологии последните годинине само допринесе за развитието на икономиката, търговията и комуникациите; осигури ефективен обмен на информация, но също така предостави уникален набор от инструменти за извършителите на компютърни престъпления. Колкото по-интензивен е процесът на компютъризация, толкова по-реален става растежът на компютърната престъпност и съвременното общество не само усеща икономическите последици от компютърната престъпност, но и става все по-зависимо от компютъризацията. Всички тези аспекти задължават да се обръща все повече внимание на защитата на информацията, по-нататъшното развитие законодателна рамкав района на информационна сигурност. Целият набор от мерки трябва да се сведе до защита на държавата информационни ресурси; за регулиране на отношенията, произтичащи от формирането и използването на информационни ресурси; създаване и използване информационни технологии; защита на информацията и правата на субектите, участващи в информационните процеси; както и дефиниране на основните понятия, използвани в законодателството.
Доцент към катедра „Организация на охраната и конвоирането в пенитенциарната система“.
кандидат на техническите науки
подполковник от вътрешната служба В.Г. Зарубски
антивирусна инфекция със зловреден софтуер
За успешната си работа вирусите трябва да проверят дали файлът вече не е заразен (от същия вирус). Така избягват самоунищожението. За целта вирусите използват сигнатура. Повечето често срещани вируси (включително макро вируси) използват символни подписи. По-сложните вируси (полиморфни) използват сигнатури на алгоритъма. Независимо от вида на вирусната сигнатура, антивирусните програми ги използват за откриване на „компютърни инфекции“. След това антивирусната програма се опитва да унищожи открития вирус. Този процес обаче зависи от сложността на вируса и качеството на антивирусната програма. Както вече споменахме, най-трудни за откриване са троянските коне и полиморфните вируси. Първият от тях не добавя тялото си към програмата, а го вгражда в нея. От друга страна, антивирусните програми трябва да отделят доста време, за да определят сигнатурата на полиморфните вируси. Факт е, че техните подписи се променят с всяко ново копие.
За откриване, премахване и защита срещу компютърни вируси има специални програминаречена антивирусна. Съвременните антивирусни програми са многофункционални продукти, които съчетават както средства за превенция, така и за лечение на вируси и възстановяване на данни.
Броят и разнообразието от вируси е голямо и за да ги открие бързо и ефективно, антивирусната програма трябва да отговаря на определени параметри:
1. Стабилност и надеждност на работа.
2. Размери на вирусната база данни на програмата (броят на вирусите, които са правилно открити от програмата): като се има предвид постоянното появяване на нови вируси, базата данни трябва да се актуализира редовно.
3. Способността на програмата да открива различни видове вируси и възможността за работа с файлове различни видове(архиви, документи).
4. Наличието на резидентен монитор, който проверява всички нови файлове "в движение" (т.е. автоматично, докато се записват на диска).
5. Скоростта на програмата, наличност допълнителни функциикато например алгоритми за откриване на вируси дори непознати за програмата (евристично сканиране).
6. Възможност за възстановяване на заразени файлове, без да ги изтривате от твърдия диск, а само премахвате вируси от тях.
7. Процентът на фалшивите положителни резултати на програмата (погрешно откриване на вирус в "чист" файл).
8. Крос-платформа (наличие на версии на програмата за различни операционни системи).
Класификация на антивирусните програми:
1. Детекторните програми осигуряват търсене и откриване на вируси в RAM и на външни носители и при откриване издават съответно съобщение. Има детектори:
Универсални - използват в работата си за проверка на неизменността на файловете чрез преброяване и сравняване със стандартна контролна сума;
Специализирано - търсене на известни вируси по техния подпис (секция с повтарящ се код).
2. Докторските програми (фаги) не само намират заразени с вируси файлове, но и ги „лекуват“, т.е. премахнете тялото на вирусната програма от файла, връщайки файловете в първоначалното им състояние. В началото на работата си фагите търсят вируси в RAM, унищожават ги и едва след това пристъпват към „третиране“ на файлове. Сред фагите се разграничават полифагите, т.е. лекарски програми, предназначени да откриват и унищожават голям брой вируси.
3. Програмите-одитори са сред най-надеждните средства за защита срещу вируси. Одиторите запомнят първоначалното състояние на програмите, директориите и системните области на диска, когато компютърът не е заразен с вирус, и след това периодично или по искане на потребителя сравняват текущото състояние с първоначалното. Откритите промени се показват на екрана на монитора.
4. Филтриращите програми (watchmen) са малки резидентни програми, предназначени да откриват подозрителни действия по време на работа на компютъра, които са характерни за вирусите. Такива действия могат да бъдат:
Опит за коригиране на файлове с разширения COM и EXE;
Промяна на файлови атрибути;
Директен запис на диск на абсолютен адрес;
Записване в зареждащи сектори на диска;
5. Програмите за ваксини (имунизатори) са резидентни програми, които предотвратяват заразяване на файлове. Ваксините се използват, ако няма лекарски програми, които "лекуват" този вирус. Ваксинирането е възможно само срещу известни вируси Безруков Н. Компютърна вирусология: Учебник [Електронен ресурс]: http://vx.netlux.org/lib/anb00.html..
Всъщност архитектурата на антивирусните програми е много по-сложна и зависи от конкретния разработчик. Но един факт е неоспорим: всички технологии, за които говорих, са толкова тясно преплетени една в друга, че понякога е невъзможно да се разбере кога една е стартирана и друга започва да работи. Това взаимодействие на антивирусните технологии позволява те да бъдат най-ефективно използвани в борбата срещу вирусите. Но не забравяйте, че няма идеална защита и единственият начин да се предупредите срещу подобни проблеми е постоянните актуализации на операционната система, добре конфигурираната защитна стена, често актуализираната антивирусна програма и най-важното - не стартирайте/теглете подозрителни файлове от Интернет.
Юджийн Касперски през 1992 г. използва следната класификация на антивирусите в зависимост от техния принцип на работа (дефинираща функционалност):
1. Скенери (остаряла версия - "полифаги") - определят наличието на вирус чрез базата данни със сигнатури, която съхранява сигнатурите (или техните контролни суми) на вирусите. Тяхната ефективност се определя от релевантността на вирусната база данни и наличието на евристичен анализатор (виж: Евристично сканиране).
2. Одитори (клас, близък до IDS) - запомнят състоянието на файловата система, което прави възможно анализирането на промените в бъдеще.
3. Watchmen (монитори) - следят потенциално опасни операции, като издават съответната заявка на потребителя за разрешаване/забрана на операцията.
4. Ваксини - променете присадения файл по такъв начин, че вирусът, срещу който е направена ваксината, вече счита файла за заразен. В съвременни (2007 г.) условия, когато броят на възможните вируси се измерва в стотици хиляди, този подход е неприложим.
Съвременните антивируси комбинират всички горепосочени функции.
Антивирусите също могат да бъдат разделени на:
1. Продукти за домашни потребители:
2. Всъщност антивируси;
3. Комбинирани продукти (например към класическата антивирусна програма са добавени анти-спам, защитна стена, анти-руткит и др.);
4. Корпоративни продукти:
5. Сървърни антивируси;
6. Антивируси на работни станции ("крайна точка").
Антивируси на SIM, флаш карти и USB устройства
Произвежданите днес мобилни телефони имат широка гама от интерфейси и възможности за пренос на данни. Потребителите трябва внимателно да проучат методите за защита, преди да свържат малки устройства.
Методите за защита като хардуер, може би антивируси на USB устройства или на SIM, са по-подходящи за потребителите на мобилни телефони. Техническа оценка и преглед на това как да инсталирате антивирусна програма на клетъчен мобилен телефон трябва да се разглежда като процес на сканиране, който може да засегне други законни приложения на този телефон.
Антивирусните програми на SIM картата с антивирусна защита, вградена в областта на паметта с малък капацитет, осигуряват защита срещу злонамерен софтуер/вирус, като защитават ПИН кода и информацията на потребителя на телефона. Антивирусите на флаш карти позволяват на потребителя да обменя информация и да използва тези продукти с различни хардуерни устройства, както и да изпраща тези данни на други устройства, използвайки различни комуникационни канали.
Антивируси, мобилни устройства и иновативни решения
В бъдеще е възможно мобилните телефони да бъдат заразени с вирус. Все повече разработчици в тази област предлагат антивирусни програми за борба с вируси и защита на мобилни телефони. В мобилните устройства има следните видове контрол на вирусите.