Реферат
по
теме: "ВИРУСНЫЕ И АНТИВИРУСНЫЕ ПРОГРАММЫ"
Содержание
Вступление
. Вирусы
Определение вирусов
Пути проникновения вируса в компьютер
Виды компьютерных вирусов
«Троянские кони», программные закладки и сетевые черви
Вирусы вымогатели
2. Антивирусы
Определение антивирусов
Виды антивирусных программ
Методы антивирусной защиты
Сигнатурные методы
Эвристические методы
Дополнительные методы антивирусной защиты
. Современные антивирусные программы
Microsoft Security Essentials
Norton 360
avast!.Web NOD32
Заключение
Источники
Вступление
История компьютерных вирусов и антивирусов.
Первые антивирусные программы появились еще зимой 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу) под названиями CHK4BOMB и BOMBSQAD. Их написал американский программист Энди Хопкинс (Andy Hopkins). CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявить все текстовые сообщения и «подозрительные» участки кода. Программа BOMBSQAD перехватывала операции записи и форматирования, выполняемые через BIOS. При выявлении запрещённой операции можно было разрешить или запретить её выполнение. Компьютерные легенды гласят, что также в начале 1970-х (предположительно - в 1974г.) на мейнфреймах этого времени появляется программа, получившая название «Кролик» (Rabbit). Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине «Кролик» нередко вызывал сбой в её работе. Скорее всего «Кролики» не передавались от системы к системе и являлись сугубо местными явлениями - ошибками или шалостями системных программистов, обслуживавших компьютер. Более подробно о развитии вирусов в период 1970 - 2000 годов.
Первый антивирус в современном понимании этого термина, то есть резидентный, «защищающий» от вирусных атак, появился в 1985 году. Программа DRPROTECT создана усилиями Джи Вонг (Gee Wong). Разработка блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.
Антивирусные программы до начала 90-х годов представляли собой, по сути, набор из нескольких десятков сигнатур (образцов вирусного кода), которые хранились в теле программы. Предполагалась также процедура поиска этих сигнатур в файлах. Причем зачастую эти сигнатуры разработчики даже не шифровали. Получалось так, что порой один антивирус легко мог «найти вирус» в другом. Усложнение ситуации с вирусами повлекло за собой и усложнение программ, которые были призваны бороться с ними. Как это обычно бывает, совсем скоро инициатива по разработке и впоследствии продаже антивирусных программ перешла к большим компаниям, состоящим, естественно, более чем из одного программиста-энтузиаста. С гордостью стоит отметить, что в развитии этой индустрии одну из ведущих ролей сыграли программисты из России.
В 1992 году появилась программа MtE - генератор полиморфного (постоянно меняющегося) кода, которым мог воспользоваться не только опытный, но и любой начинающий программист. Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные способы борьбы, такие как усложнение алгоритмических языков сверки кода, - перестали работать. Спасло ситуацию только появление эмулятора кода. Система «снимала» зашифрованную часть полиморфного вируса и добиралась до постоянного тела вируса. Первой антивирусной программой с эмулятором стал AVP Евгения Касперского
Помимо эмулятора кода, позволившего антивирусам подстроиться под стремительно набиравшую обороты «индустрию вирусов», примерно в то же время появились такие системы защиты, как криптоанализ, статистический анализ, эвристический анализатор и поведенческий блокиратор. Расписывать, в чем заключается их суть, мы не будем, отметим только, что на их принципах, заданных уже более 15 лет назад, антивирусы большей частью «выезжают» до сих пор.
С появлением Windows с присущей
ей многозадачностью и разветвленной системой сложных программ появились новые
требования к производителям антивирусов. Среди них - необходимость проверять
файлы «на лету» (в момент обращения к ним) и хорошая работа с программами,
такими как Microsoft Office. Количество разработчиков антивирусов тогда резко
сократилось ввиду более строгих требований к ним, предъявляемых временем.
Правда, и прибыль их существенно выросла. На широкое распространение Интернета
и следующего за ним по пятам развития вредоносных (шпионских) программ,
маскирующихся под самые обыкновенные, разработчики антивирусного ПО ответили
внедрением «защиты шлюзов, периметра» - файерволов. На данный момент борьба с
вирусами продолжается. Сейчас во всем мире работает около 60 компаний,
разрабатывающих антивирусное ПО.
1. Вирусы
Определение вирусов
Компьютерные вирусы - вредоносные само распространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области…)
Вредоносный программный код, обычно замаскированный под что-нибудь привлекательное (например, фотография популярного спортсмена) или полезное и выполняющий незапланированные либо нежелательные действия, например повреждение данных.
(Virus - лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.
В общем случае компьютерный вирус - это
небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов,
или "поселяется" в загрузочном (BOOT) секторе диска. При запуске
заражённых программ и драйверов вначале происходит выполнение вируса, а уже
потом управление передаётся самой программе. Если же вирус
"поселился" в загрузочном секторе, то его активизация происходит в
момент загрузки операционной системы с такого диска. В тот момент, когда
управление принадлежит вирусу, обычно выполняются различные неприятные для
пользователя, но необходимые для продолжения жизни данного вируса действия. Это
нахождение и заражение других программ, порча данных и т. д. Вирус может также
остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера.
После окончания работы вируса управление передаётся заражённой программе,
которая обычно работает "как ни в чём не бывало", маскируя тем самым
наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком
поздно, когда большинство программ уже заражено. В этих случаях потери от
зловредных действий вируса могут быть очень велики. В последнее время появились
так называемые макровирусы. Они передаются вместе с документами, в которых
предусмотрено выполнение макрокоманд (например, документы текстового редактора
Word), отсюда и их название. Макровирусы представляют собой макрокоманды,
которые предписывают переносить тело вируса в другие документы, и, по
возможности, совершать различные вредные действия. Наибольшее распространение в
настоящее время получили макровирусы, заражающие документы текстового редактора
Word и табличного редактора Excel.
Пути проникновения вируса в компьютер
вредоносный антивирусный защита сигнатурный
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный
сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне
редко заражаются текстовые файлы. После заражения программы вирус может
выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь
внимания. И, наконец, не забывает возвратить управление той программе, из
которой был запущен. Каждое выполнение зараженной программы переносит вирус в
следующую. Таким образом, заразится все программное обеспечение.
Виды компьютерных вирусов
Рекламные программы. Под рекламными и информационными программами понимаются такие программы, которые, помимо своей основной функции, также демонстрируют рекламные баннеры и всевозможные всплывающие окна с рекламой. Такие сообщения с рекламой порой бывает достаточно нелегко скрыть или отключить.
Такие рекламные программы основываются при работе на поведение пользователей компьютера и являются достаточно проблемными по соображениям безопасности системы.
Бэкдоры (Backdoor) Утилиты скрытого администрирования позволяют, обходя системы защиты, поставить компьютер установившего пользователя под свой контроль. Программа, которая работает в невидимом режиме, дает хакеру неограниченные права для управления системой.
С помощью таких backdoor-программ можно получить доступ к персональным и личным данным пользователя. Нередко такие программы используются в целях заражения системы компьютерными вирусами и для скрытой установки вредоносных программ без ведома пользователя.
Загрузочные вирусы Нередко главный загрузочный сектор вашего HDD поражается специальными загрузочными вирусами.
Вирусы подобного типа заменяют информацию, которая необходима для беспрепятственного запуска системы. Одно из последствий действия таковой вредоносной программы это невозможность загрузки операционной системы...сеть это полноценная сеть в Интернет, которая подлежит администрированию злоумышленником и состоящая из многих инфицированных компьютеров, которые взаимодействуют между собой. Контроль над такой сетью достигается с использованием вирусов или троянов, которые проникают в систему. При работе, вредоносные программы никак себя не проявляют, ожидая команды со стороны злоумышленника. Подобные сети применяются для рассылки СПАМ сообщений или для организации DDoS атак на нужные сервера. Что интересно, пользователи зараженных компьютеров могут совершенно не догадываться о происходящем в сети.
Эксплойт (дословно брешь в безопасности) - это такой скрипт или программа, которые используют специфические дырки и уязвимости ОС или какой-либо программы. Подобным образом в систему проникают программы, с использованием которых могут быть получены права доступа администратора.(дословно шутка, ложь, мистификация, шутка, обман)
Уже на протяжении нескольких лет многие пользователи сети Интернет получают электронные сообщения о вирусах, которые распространяются якобы посредством e-mail. Подобные предупреждения массово рассылаются со слезной просьбой отправить их всем контактам из вашего личного листа.
Ловушки Honeypot (горшочек меда) - это сетевая служба, которая имеет задачу наблюдать за всей сетью и фиксировать атаки, при возникновении очага. Простой пользователь совершенно не догадывается о существовании такой службы. Если же хакер исследует и мониторит сеть на наличие брешей, то он может воспользоваться услугами, которые предлагает такая ловушка. При этом будет сделана запись в log-файлы, а также сработает автоматическая сигнализация.
Вирусы DIR Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с заражённого диска, как файловая система тут же "восстанавливается". На самом же деле происходит инфицирование ещё одного компьютера.
Макровирусы - это очень маленькие программы, которые написаны на макроязыке приложений. Такие программки распространяются только среди тех документов, которые созданы именно для этого приложения. Для активации таких вредоносных программ необходим запуск приложения, а также выполнение инфицированного файла-макроса. Отличие от обычных вирусов макросов в том, что заражение происходит документов приложения, а не запускаемых файлов приложения.
Фарминг - это скрытая манипуляция host-файлом браузера для того, чтобы направить пользователя на фальшивый сайт. Мошенники содержат у себя сервера больших объемов, на таких серверах хранятся большая база фальшивых интернет-страниц. При манипуляции host-файлом при помощи трояна или вируса вполне возможно манипулирование зараженной системой. В результате этого зараженная система будет загружать только фальшивые сайты, даже в том случае, если Вы правильно введете адрес в строке браузера.дословно переводится как "выуживание" личной информации пользователя при нахождении в сети интернет. Злоумышленник при своих действиях отправляет потенциальной жертве электронное письмо, где указано, что необходимо выслать личную информацию для подтверждения. Нередко это имя и фамилия пользователя, необходимые пароли, PIN коды для доступа к счетам пользователя онлайн. С использованием таких похищенных данных, хакер вполне может выдать себя за другое лицо и осуществить любые действия от его имени.
Полиморфные вирусы - это вирусы, использующие маскировку и перевоплощения в работе. В процессе они могут изменять свой программный код самостоятельно, а поэтому их очень сложно обнаружить, потому что сигнатура изменяется с течением времени.
Программные вирусы Компьютерный вирус - это обычная программа, которая обладает самостоятельно прикрепляться к другим работающим программам, таким образом, поражая их работу. Вирусы самостоятельно распространяют свои копии, это значительно отличает их от троянских программ. Также отличие вируса от червя в том, что для работы вирусу нужна программа, к которой он может приписать свой код.
Руткит - это определенный набор программных средств, который скрыто устанавливается в систему пользователя, обеспечивая при этом сокрытие личного логина киберпреступника и различных процессов, при этом делая копии данных.
Скрипт-вирусы и черви Такие виды компьютерных вирусов достаточно просты для написания и распространяются в основном посредством электронной почты. Скриптовые вирусы используют скриптовые языки для работы чтобы добавлять себя к новым созданным скриптам или распространяться через функции операционной сети. Нередко заражение происходит по e-mail или в результате обмена файлами между пользователями. Червь это программа, которая размножается самостоятельно, но которая инфицирует при этом другие программы. Черви при размножении не могут стать частью других программ, что отличает их от обычных видов компьютерных вирусов.
Шпионское ПО Шпионы могут переслать личные данные пользователя без его ведома третьим лицам. Шпионские программы при этом анализируют поведение пользователя в сети Интернет, а также, основываясь на собранных данных, демонстрируют пользователю рекламу или pop-up (всплывающие окна), которые непременно заинтересуют пользователя.
Троянские программы это программы, которые должны выполнять определенные полезные функции, но после запуска таких программ выполняются действия другого характера (разрушительные). Трояны не могут размножаться самостоятельно, и это основное их отличие их от компьютерных вирусов. Если произошло заражение, можете прочесть статью как удалить троян.
Зомби - это инфицированный
компьютер, который инфицирован вредоносными программами. Такой компьютер
позволяет хакерам удаленно администрировать систему и с помощью этого совершать
различные нужные действия (DoS атаку, рассылка спама и т.п.).
«Троянские кони», программные закладки и сетевые
черви
«Троянский конь» - это программа, содержащая в
себе некоторую разрушающую функцию, которая активизируется при наступлении
некоторого условия срабатывания. Обычно такие программы маскируются под
какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или
"троянизировать" другие программы - вносить в них разрушающие
функции. «Троянские кони» представляют собой программы, реализующие помимо
функций, описанных в документации, и некоторые другие функции, связанные с
нарушением безопасности и деструктивными действиями. Отмечены случаи создания
таких программ с целью облегчения распространения вирусов. Списки таких
программ широко публикуются в зарубежной печати. Обычно они маскируются под
игровые или развлекательные программы. Программные закладки также содержат
некоторую функцию, наносящую ущерб вычислительной системе, но эта функция,
наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не
будет вызывать подозрений, тем дольше закладка сможет работать. Если вирусы и
«Троянские кони» наносят ущерб посредством лавинообразного саморазмножения или
явного разрушения, то основная функция вирусов типа "червь",
действующих в компьютерных сетях, - взлом атакуемой системы, т.е. преодоление
защиты с целью нарушения безопасности и целостности. В более 80% компьютерных
преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую
систему через глобальную сеть Internet. Когда такая попытка удается, будущее
компании, на создание которой ушли годы, может быть поставлено под угрозу за
какие-то секунды. Этот процесс может быть автоматизирован с помощью вируса,
называемого сетевой червь. Червями называют вирусы, которые распространяются по
глобальным сетям, поражая целые системы, а не отдельные программы. Это самый
опасный вид вирусов, так как объектами нападения в этом случае становятся
информационные системы государственного масштаба. С появлением глобальной сети
Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к.
ему в любой момент может подвергнуться любой из миллионов компьютеров,
подключенных к этой сети.