Студопедия

Главная страница Случайная лекция


Мы поможем в написании ваших работ!

Порталы:

БиологияВойнаГеографияИнформатикаИскусствоИсторияКультураЛингвистикаМатематикаМедицинаОхрана трудаПолитикаПравоПсихологияРелигияТехникаФизикаФилософияЭкономика



Мы поможем в написании ваших работ!




Лекция №5

Читайте также:
  1. АКУСТИКА ЗАЛОВ (лекция 3, 4)
  2. Блок 3.10. Лекция 17. Управление в области безопасности
  3. Блок 3.2. Лекция 9. Опасности техногенного характера
  4. Гигиена питания лекция.
  5. Жемчужины Мудрости. Лекция Элизабет Клэр Профет о Циклопее
  6. Защита от шума строительно-акустическими методами (лекция 5)
  7. История лекция 5 Тема: средневековье как стадия исторического процесса
  8. К лекциям.
  9. Лекция - организационно-правовые формы предприятий
  10. Лекция - предприятие как объект государственного регулирования

(Основы обслуживания компьютеров гр21 2013-2014уч.год)

 

Тема лекции: Основы защиты компьютера от ошибок, вирусов и др.

 

1.Вредоносные программы

1.1.Как уберечь компьютер от вредоносных программ?

1.2.Шпионские модули Spyware и борьба с ними

1.3.Виды шпионских модулей

Сканер жесткого диска. Клавиатурный шпион.

Автоматический дозвон. Контролер программ.

Почтовый шпион. Программы типа «прокси-сервер».

Интернет-монитор. Прочие шпионские модули.

2. Борьба со шпионскими модулями

2.1.Microsoft Antispyware.

2.2.SpywareBlaster.

2.3.AVZ.

2.4.Клавиатурные шпионы

3.Полезность программ-шпионов

3.1.Как получить пользу от Spyware ?

Руководители предприятий и организаций.

Системные администраторы

Фискальные органы и силовые структуры

Родители.

Рядовые пользователи.

3.2.Рекламные модули Adware и борьба с ними

Откуда берутся Adware

Каким образом действуют рекламные модули?

Способы борьбы с рекламными модулями

4.Вирусы и борьба с ними

4.1.Общие сведения

4.2.Основные понятия

4.3.Способы заражения вирусом

4.4.Схема работы вируса

4.5.Признаки проявления вируса

4.6.Классификация вирусов

среда обитания

способ заражения среды обитания

воздействия вируса

особенности алгоритма

4.7.Способы защиты от вирусов

4.8.Характеристика антивирусных программ

5. Что за зверь — «троянский конь»?

6. Новаторские подходы хакеров — «руткиты» rootkits)

 


1.Вредоносные программы

В настоящее время жизнь пользователям портят не только разнообразные компьютерные вирусы. Кроме них в Интернете (и не только в нем) существует множество различных вредоносных программ. Рассматриваются наиболее распространенные виды таких приложений: шпионские модули Spyware и рекламные модули Adware.

В первую очередь перечислим меры предосторожности, соблюдение которых хоть и не исключает, но сводит к минимуму вероятность проникновения в компьютер вредоносных программ.

1.1.Как уберечь компьютер от вредоносных программ?

Производители губительного программного обеспечения постоянно совершенствуют методы проникновения в чужие компьютеры, но соблюдение следующих несложных мер предосторожности избавит пользователя от многих проблем:

· при скачивании из Интернета файлов и приложений рекомендуется использовать специально предназначенные для этого программы, в которых предусмотрена возможность просмотра и анализа скачиваемых файлов и архивов (например, Download Master);

· иногда при щелчке на ссылке для скачивания файла или программы на экране автоматически появляется приглашение перейти по другой ссылке и скачать другую (более дешевую, более современную, более полезную и т. п.) программу. От подобных предложений следует отказываться. В противном случае существует риск получить на свой компьютер вредоносные модули;

· существуют приложения, которые при установке добавляют в интерфейс почтовой программы или браузера собственные элементы управления (кнопки, панели инструментов, пункты меню и т. д.). Такие программы вполне могут включать в себя шпионские или рекламные модули. Это не относится ко всем подобным приложениям, но определенная осторожность при их использовании не помешает. После установки настоятельно рекомендуется проверить такие утилиты программой типа Antispyware или Antiadware;

· по возможности не скачивайте из Интернета и не устанавливайте на свой компьютер программы и утилиты неизвестных разработчиков;

· если вам пришлось установить на компьютер подозрительное приложение, обязательно проверьте его специальной программой типа Antispyware или Antiadware на наличие шпионских и рекламных модулей.

 

1.2.Шпионские модули Spyware и борьба с ними

Основное отличие шпионских модулей Spyware от компьютерных вирусов заключается в том, что они, как правило, не наносят вреда программному обеспечению и данным, хранящимся в компьютере (если не считать занимаемых ими ресурсов оперативной памяти и места на жестком диске). Задача шпионских модулей — собирать информацию о пользователе (адреса электронной почты, содержимое жесткого диска, список посещаемых страниц в Интернете, информацию личного характера) и отправлять ее по определенному адресу. При этом пользователь даже не подозревает, что за ним ведется своеобразное тайное наблюдение. Полученная таким способом информация может использоваться для самых разных целей: это может быть как относительно безобидный анализ посещаемости тех или иных сайтов, так и что-то противозаконное или наносящее ущерб пользователю.

Каким образом шпионские модули проникают в компьютер? В большинстве случаев это происходит в процессе самостоятельной инсталляции пользователем нужных и полезных приложений. Например, существуют бесплатные утилиты, которые можно использовать только вместе со встроенной программой-шпионом. Если удалить это «дополнение», то основная программа работать не будет.

Нужно также внимательно относиться к установке приложений: некоторые шпионы проникают в компьютер, например, после того, как пользователь, не задумываясь, утвердительно ответил на какой-либо запрос, который появился на экране в процессе инсталляции. Одни разработчики самостоятельно вставляют в дистрибутивы своих программ программы-шпионы, другие обращаются за помощью к фирмам, создающим и поставляющим подобные приложения. Программы-шпионы могут также проникать в компьютер из Интернета.

 

1.3.Виды шпионских модулей

В настоящее время особенно распространены следующие виды шпионских модулей.

Сканер жесткого диска. Такие модули изучают содержимое жесткого диска и отправляют данные по указанному адресу. В результате злоумышленник получает информацию об установленных на компьютере программах, хранящихся файлах и т. п.

Клавиатурный шпион. Подобные программы постоянно наблюдают за клавиатурой и запоминают нажатие каждой клавиши, после чего отправляют эти данные по указанному адресу. В результате вся набранная информация попадает к посторонним лицам; а ведь это могут быть и письма, и секретные документы, и, что еще хуже, пароли, номера кредитных карт и т. п. Более подробно о клавиатурных шпионах рассказано в гл. 3.

Автоматический дозвон. При внедрении на компьютер такой программы модем будет автоматически устанавливать соединение с указанным в ней телефонным номером. Поскольку в большинстве случаев этот номер находится в отдаленной стране, то пользователь рискует получить астрономический телефонный счет. Для защиты от подобных неприятностей рекомендуется держать включенным динамик модема. В этом случае вы наверняка обратите внимание на то, что модем самостоятельно набирает какой-то телефонный номер.

Контролер программ. Шпионы этого вида собирают и отправляют по определенному адресу информацию о наиболее часто используемых на данном компьютере программах.

Почтовый шпион. Эти программы вносят изменения в почтовые сообщения, например они могут изменять подпись в электронных письмах, вставлять в них рекламную информацию и др. Некоторые почтовые шпионы передают злоумышленникам содержимое адресной книги и информацию об активном почтовом ящике. Такие данные ценятся среди спамеров.

Программы типа «прокси-сервер». Компьютер с такой внедренной программой легко использовать в качестве прокси-сервера для работы в Интернете. Злоумышленник, который установил такую программу на компьютер, как бы прикрывается чужим именем: ответственность за все его действия (как законные, так и незаконные) ложится на пользователя зараженного компьютера.

Интернет-монитор. Подобные шпионы собирают информацию о работе пользователя в Интернете, в частности о посещаемых страницах, совершаемых заказах и покупках и т. п. Некоторые из таких программ наряду с другой информацией успешно запоминают, например, номера кредитных карточек, используемых при расчетах за товары интернет-магазинов.

Прочие шпионские модули. К этому виду можно отнести комбинированные программы-шпионы, например сканер жесткого диска, совмещенный с контролером программ. Здесь также можно отметить бессмысленные, шутливые программы-шпионы. Как правило, они не передают никому информацию, не ведут никакого наблюдения, а просто периодически выдают на экран сообщения о каких-либо несуществующих неполадках (например, Ваш компьютер заражен вирусом; через 15 минут начнется автоматическое форматирование диска С). Не исключено, что, прочитав подобное сообщение, испуганный пользователь начнет лихорадочно сохранять всю более-менее ценную информацию на внешние носители, да и вообще совершать массу ненужных действий. Возможно также, что, не дождавшись обещанного форматирования диска, пользователь сам запустит этот процесс (разумеется, это относится в первую очередь к неопытным пользователям).

 

2.Борьба со шпионскими модулями

Характерной особенностью шпионских модулей Spyware является то, что их трудно распознать с помощью штатных антивирусных программ, поэтому для борьбы с ними рекомендуется использовать специальные утилиты, которые во множестве представлены в Интернете. Однако при этом обязательно нужно учитывать следующее: многие шпионские программы искусно маскируются именно под утилиты для борьбы с ними. Иначе говоря, установив на свой компьютер утилиту для борьбы с Spyware, можно вместо нее заполучить сам шпионский модуль, поэтому для распознавания и устранения Spyware лучше использовать утилиты известных разработчиков или прислушаться к рекомендациям других пользователей, столкнувшихся с подобной проблемой ранее.

Может ли пользователь самостоятельно (без применения специальных утилит) заметить присутствие в компьютере шпионской программы? Да, в некоторых случаях это возможно. Вот наиболее характерные симптомы, свидетельствующие о проникновении в систему программы-шпиона (некоторые из этих признаков относятся также к рекламным модулям Adware, рассмотренным далее):

· при запуске Internet Explorer по умолчанию начинает открываться совершенно незнакомая веб-страница вместо пустой или заданной в качестве домашней;

· значительно увеличивается исходящий трафик;

· сбои в работе операционной системы;

· неоправданно высокие счета за телефонную связь (в таком случае в компьютер наверняка проник шпионский модуль автоматического дозвона);

· в Internet Explorer присутствуют незнакомые элементы управления (кнопка, пункт контекстного меню, инструментальная панель и т. п.);

· незнакомые пункты в списке меню Избранное, удалить которые невозможно;

· в окне Диспетчера задач на вкладке Процессы видно, что какой-то новый процесс использует практически все ресурсы компьютера;

· на экране монитора периодически появляются рекламные окна, причем даже при отсутствии действующего подключения к Интернету;

· на Рабочем столе появляются незнакомые значки, щелкнув на которых вы автоматически переходите на незнакомую веб-страницу.

Например, распространенный шпионский модуль, известный под именем 180Solutions Web3000 Spyware, присутствует в списке запущенных процессов как файл msbb.exe. Он отслеживает активность интернет-обозревателя и сообщает об этом через Интернет своим «хозяевам». Попутно он заставляет пользователя смотреть всплывающие рекламные окна. Много полезной информации о подобных вредоносных программах можно найти на сайте www.processlibrary.com.

Для обнаружения Spyware можно провести небольшую «ревизию» содержимого компьютера. В частности, следует проверить содержимое папки Program Files, каталога автозагрузки, а также раздела Установка и удаление программ на Панели управления. Некоторые шпионские программы помещают свой значок в область уведомлений Панели задач, поэтому при возникновении подозрений нужно проверить, не появился ли там неизвестный значок. Необходимо также просмотреть содержимое подменю Пуск ► Все программы: некоторые шпионские модули могут проявиться здесь. В Internet Explorer следует обратить внимание на страницу, открывающуюся по умолчанию, а также на содержимое папки Избранное.

Кратко рассмотрим несколько популярных утилит, предназначенных специально для поиска и удаления шпионских модулей. Нужно каждую из них периодически обновлять — по аналогии с антивирусными программами.

2.1.Microsoft Antispyware. Данная утилита корпорации Microsoft является популярной программой для борьбы со шпионскими модулями. Она работает с операционными системами Windows 2000, Windows XP и Windows 2003 Server. Эту программу можно бесплатно скачать с сайта Microsoft и других источников в Интернете. Однако следует учитывать, что размер дистрибутива, предлагаемого к скачиванию, достаточно велик — около 6,5 Мбайт.

К достоинствам данной программы можно отнести успешное блокирование практически любых шпионских модулей, которые пытаются проникнуть в компьютер, поэтому использование Microsoft Antispyware при работе в Интернете позволяет чувствовать себя в относительной безопасности. Слабое место программы — сканирование компьютера на наличие Spyware. Если компьютер заражен шпионскими модулями, то Microsoft Antispyware не всегда успешно обнаруживает их (особенно это касается малознакомых шпионских модулей).

2.2.SpywareBlaster. Программа SpywareBlaster, разработчиком которой является фирма Javacool Software, обеспечивает достаточно надежную защиту от различных шпионских модулей. Для домашнего использования эта утилита распространяется бесплатно, и ее можно без труда найти в Интернете. Размер дистрибутива, предлагаемого к скачиванию, примерно равен 2,5 Мбайт. Данная программа предназначена для работы с операционной системой Windows любой версии, начиная с Windows 95.

SpywareBlaster отличается эргономичным, простым и интуитивно понятным пользовательским интерфейсом, в котором большинство параметров можно настроить с помощью флажков и переключателей.

Среди всего многообразия параметров следует обратить внимание на возможность блокирования настроек домашней страницы, после которого ни один шпионский модуль не сможет изменить, например, адрес страницы, загружаемой по умолчанию. В программе также реализована возможность отката настроек браузера.

Данная утилита может работать не только с Internet Explorer, но и с другими популярными интернет-обозревателями — Netscape, Mozilla и др. Исключение составляет только браузер Opera.

Просто зафиксируйте настройки браузера (причем можно сохранить несколько различных конфигураций настроек) — и вы сможете вернуться к ним в любой момент. Например, к сохраненным параметрам можно вернуться при возникновении подозрений, что в настройки обозревателя без вашего участия внесены нежелательные изменения.

Кроме того, программа SpywareBlaster имеет еще множество инте­ресных возможностей.

AVZ. Еще одна полезная утилита для борьбы с «компьютерным мусором» — программа AVZ, которая также распространяется бесплатно. Многие пользователи считают ее одной из лучших утилит для поиска и удаления не только программ-шпионов, но и различных рекламных модулей (подробно о рекламных модулях и методах борьбы с ними рассказывается в разд. «Рекламные модули Adware и борьба с ними»). Кстати, помимо шпионских и рекламных модулей эта программа успешно борется с некоторыми вирусами.

Русскоязычный интерфейс приложения прост и понятен пользователю. Основные параметры настройки сгруппированы на трех вкладках: Область поиска, Типы файлов и Параметры поиска. Вы можете указать программе, как поступать при обнаружении вредоносного объекта конкретного типа (вирус, программа-шпион и др.): удалять, просто информировать соответствующим сообщением и т. д. Кроме того, можно настроить сканирование на выборочный поиск вредоносных программ, например искать и удалять только шпионские модули, а все остальное игнорировать.

В нижней части окна ведется протокол процесса сканирования. Полученный результат при необходимости можно сохранить в отдельном файле для последующего изучения.

 

2.3.Клавиатурные шпионы

Несмотря на то что в разд. «Шпионские модули Spyware и борьба с ними» уже упоминалось о клавиатурных шпионах, на них следует остановиться подробнее. Клавиатурные шпионы являются чуть ли не самыми коварными из всего многообразия шпионских модулей и программ.

Клавиатурный шпион — это программа или устройство, постоянно наблюдающее за нажатием клавиш на клавиатуре, а иногда также за щелчками кнопками мыши с целью получения информации обо всех действиях пользователя. Для чего это нужно? Ответ на этот вопрос у каждого злоумышленника свой: одному нужно перехватить почтовые сообщения, другому — получить номера кредитных карт, третьему — взломать пароли, четвертому — украсть у разработчика исходные тексты еще не вышедшей программы, а пятому — все перечисленное и еще что-нибудь.

Характерной особенностью клавиатурных шпионов является то, что это может быть не только внедренное в компьютер вредоносное программное обеспечение, но и отдельное устройство. Такие устройства могут быть установлены между клавиатурой и системным блоком и достаточно долго оставаться незамеченными из-за своих небольших размеров. Однако чтобы установить такое устройство, необходимо получить доступ к компьютеру в отсутствие пользователя, поэтому на домашних компьютерах такой вид клавиатурных шпионов встречается редко. Чаще эти устройства подключаются к рабочим компьютерам, а также к компьютерам в студенческих аудиториях, на почтах, в интернет-клубах и др. Чтобы своевременно обнаружить такой «сюрприз», рекомендуется чаще обращать внимание, не появилось ли между клавиатурой и системным блоком неизвестное устройство.

Достаточно широко распространены так называемые перехватывающие клавиатурные шпионы. Они чаще всего представляют собой программы, состоящие из исполняемого файла с расширением ЕХЕ и DLL-библиотеки, с помощью которой осуществляется управление процессами записи информации. Перехватывающий клавиатурный шпион запоминает практически любой набранный текст: документы, письма, исходные коды программ (данная возможность нередко используется для кражи еще не вышедших программ), номера кредитных карт, пароли (в том числе и самозаполняющиеся) и т. д.

Клавиатурный шпион-программа может проникнуть в компьютер разными способами, например, как и любой другой шпионский модуль, в составе устанавливаемой на компьютер бесплатной программы (как правило, неизвестного или сомнительного разработчика), через программу обмена сообщениями и т. д. В последнее время клавиатурные шпионы все чаще попадают в компьютер после посещения пользователем определенного сайта.

Рассмотрим следующие вопросы:

· как предупредить проникновение клавиатурных шпионов в компьютер:

· как попытаться обмануть такого шпиона, если он, возможно, уже проник в компьютер (меры предосторожности при вводе секретных данных);

· как обнаружить и удалить программу-шпиона.

Стопроцентной защиты от клавиатурных шпионов, как и от других вредоносных программ, в настоящее время не существует: как известно, на каждое противоядие можно найти новый яд. Однако вы можете свести к минимуму вероятность их проникновения в компьютер, соблюдая некоторые меры предосторожности.

Для защиты от аппаратных клавиатурных шпионов рекомендуется по возможности ограничить доступ посторонних лиц к компьютеру. В первую очередь это касается компьютеров, установленных на рабочих местах (разумеется, при этом не следует впадать в крайности и отгонять от компьютера, например, системного администратора). Кроме того, как уже упоминалось, необходимо периодически проверять, не появилось ли между клавиатурой и системным блоком какое-либо неизвестное устройство. Иногда это касается и домашнего компьютера: вспомните, кто имеет к нему доступ? Одно дело, если только вы, и другое - если, например, периодически приходят друзья-компьютерщики. В последнем случае вам вполне могут подсунуть какого-нибудь «жучка».

Для защиты от программных шпионов-перехватчиков можно принять меры, перечисленные в подразделе «Как предостеречь компьютер от вредоносных программ».

Если вы предполагаете, что в компьютер проник клавиатурный шпион, в первую очередь необходимо сканировать компьютер специальной программой. Для поиска и уничтожения клавиатурных шпионов можно использовать некоторые программы, предназначенные для борьбы с другими Spyware. Кроме того, есть программы, специально разработанные для поиска и избавления от клавиатурных шпионов (одну из таких программ рассмотрим чуть ниже). Однако бывают ситуации, когда немедленно сканировать компьютер невозможно и в то же время необходимо срочно выполнить какие-либо действия с конфиденциальными данными. Как поступить в таком случае?

При возникновении подобных ситуаций рекомендуется использовать так называемую виртуальную клавиатуру. Виртуальная клавиатура — это программа, интерфейс которой представляет собой изображение клавиатуры. Нужные символы в этом случае вводят с помощью мыши. Поскольку принцип действия большинства клавиатурных шпионов заключается в перехвате вводимых с клавиатуры символов, то использование виртуальной клавиатуры достаточно эффективно.

Необходимо учитывать, что некоторые клавиатурные шпионы снимают также копии экрана после каждого щелчка кнопкой мыши. Для защиты от таких шпионов предусмотрены виртуальные клавиатуры, в которых для ввода символа достаточно просто подвести указатель мыши к соответствующей позиции. Благодаря этому можно ввести информацию без единого щелчка.

При частой или регулярной работе с конфиденциальными данными рекомендуется постоянно использовать виртуальную клавиатуру: никогда нельзя быть полностью уверенным в том, что в компьютер не проник клавиатурный шпион.

Как уже упоминалось, для уничтожения клавиатурных шпионов можно использовать программы, предназначенные для борьбы с другими Spyware, а также специальные приложения. Одной из таких спе­циальных утилит является Anti-keylogger, разработанная российскими специалистами. Скачать демонстрационную версию данной программы можно в Интернете по адресу http://dl.softportal.com/load/antikey.zip. Размер дистрибутива — 3,29 Мбайт.

К достоинствам программы можно отнести ее многоязычность (она поддерживает русский, английский, немецкий, французский и украинский языки); к недостаткам — относительно высокую стоимость (полнофункциональная версия программы стоит чуть менее $60).

Характерной особенностью программы Anti-keylogger является то, что при работе она не использует сигнатурные базы. Это позволяет ей выявлять и блокировать любые виды клавиатурных шпионов — как известные большинству аналогичных программ, так и неизвестные.

Программа обладает простым и дружественным пользовательским интерфейсом. В разделе Опции предусмотрена возможность настройки параметров работы приложения. Кроме того, в разделе Лист исключений реализована возможность ведения списка исключений; в этот список можно включать программы, которые не должны распознаваться как клавиатурные шпионы.

Помимо Anti-keylogger в Интернете можно найти еще множество программ (как платных, так и бесплатных), специально предназначен­ных для борьбы с клавиатурными шпионами.

 

3.Полезность программ-шпионов

3.1.Как получить пользу от Spyware ?

Как ни парадоксально, из некоторых шпионских модулей и программ можно извлечь определенную пользу. Программы-шпионы могут быть полезны следующим категориям людей.

Руководители предприятий и организаций. Внедрив на компьютеры подчиненных какую-либо шпионскую программу, можно контролировать то, чем занимаются сотрудники в рабочее время. Можно узнать, какой текст они набирают, когда открывают и закрывают различные программы, когда включают и выключают компьютер, что содержит буфер обмена и т. д. Некоторые программы-шпионы могут через определенные промежутки времени делать снимки экрана.

Системные администраторы. С помощью программы-шпиона можно вести постоянное наблюдение за каждым пользователем и за действиями, которые он выполняет.

Фискальные органы и силовые структуры. С помощью программ- шпионов можно получить необходимую оперативную информацию, которая поможет предотвратить планируемое преступление.

Родители. Установленная на компьютере программа-шпион позволит установить, что делал ребенок на компьютере - выполнял домашнее задание или играл. Большинству родителей интересно, какие ресурсы посещает их ребенок в Интернете — здесь также поможет программа-шпион.

Рядовые пользователи. Если к компьютеру имеет доступ несколько человек, то с помощью программы-шпиона всегда можно узнать, какие действия выполнялись на компьютере в ваше отсутствие.

Кроме того, возможности многих программ-шпионов иногда позволяют восстанавливать утерянные данные: содержимое того или иного документа, пароль и т. п.

 

3.2.Рекламные модули Adware и борьба с ними

Наряду с вирусами, шпионскими программами и прочими раздражающими и вредоносными приложениями широкое распространение получили так называемые рекламные модули — Adware. В отличие от компьютерных вирусов, они, как правило, не причиняют ущерба хранящейся в компьютере информации. В большинстве случаев они не ведут также и шпионской деятельности. Назначение таких программ — рекламирование различных товаров и услуг путем навязчивой демонстрации пользователям Интернета соответствующих баннеров, всплывающих окон, ссылок и т. п.

Откуда берутся Adware. Рекламные модули могут проникать в компьютер в процессе установки некоторых бесплатных программ. Иногда это является главным условием возможности работы с такой программой. Данный способ широко применялся для распространения первых Adware. Причем нередко в процессе инсталляции пользователю сообщалось о том, что такое Adware и с какой целью этот рекламный модуль включен в дистрибутив программы (например, Установка данного модуля является платой за использование программы). При инсталляции некоторых программ пользователю предлагалось выбрать вариант использования приложения: бесплатно с рекламным модулем Adware или на платной основе. Иногда при выборе платного варианта можно было в течение нескольких дней поработать с демонстрационной версией программы. При деинсталляции программы одновременно удалялся и рекламный модуль.

Однако в настоящее время Adware практически не распространяются такими цивилизованными способами. Нередко рекламный модуль устанавливается на компьютер даже после того, как пользователь отказался от этого. Adware, проникший в компьютер, нелегко обнаружить и удалить (для этого нужно использовать специально разработанные утилиты, о которых будет рассказано далее). Если рекламный модуль проник в компьютер в процессе инсталляции какой-либо программы, то при ее удалении рекламный модуль не исчезнет вместе с ней.

Рекламные модули, созданные с применением современных технологий, сравнимы с троянскими конями и иными вирусами. Они могут несанкционированно проникать в компьютер и вести там свою деятельность. Более того, некоторые Adware способны вступать в «схватки» с конкурентами, которые проникли в компьютер ранее, и уничтожать их. При этом часто бывает так, что пользователь ничего не подозревает об этих «сражениях» и иной бурной деятельности, которую ведут в компьютере рекламные модули, и только периодически появляющаяся реклама, с каждым разом раздражающая все сильнее, может навести на мысль, что в компьютере «кто-то поселился».

Каким образом действуют рекламные модули? Все зависит от их направленности, а также от фантазии разработчика. Например, очень раздражает пользователей появление рекламных всплывающих окон. Созданные с применением передовых технологий рекламные всплывающие окна трудно убрать с экрана. Нередко они даже перемещаются по странице при прокрутке ее содержимого, оставаясь перед глазами пользователя.

Разновидностью рекламных всплывающих окон являются переходные и дополнительные окна. Переходные окна появляются после щелчка на какой-либо ссылке и отображаются до открытия следующего окна, а дополнительные возникают между двумя информационными окнами.

Одним из видов навязчивой рекламы является автоматическое размножение окон браузера. В каждом окне при этом загружается определенная веб-страница.

Некоторые рекламные модули выводят на экран рекламу, которую невозможно убрать с помощью кнопок Назад или Закрыть, поскольку эти кнопки оказываются заблокированными. В данном случае закрыть окно с рекламой можно только нажатием сочетания клавиш Al.t+F4 или снятием соответствующей задачи в окне Диспетчера задач.

Неприятной особенностью многих Adware является то, что реклама на экране может появляться даже при отсутствии действующего под­ключения к Интернету.

Способы борьбы с рекламными модулями. Рекламные модули Adware, как и шпионские программы Spyware, трудно обнаружить и уничтожить с помощью штатных антивирусных программ. Несмотря на то что некоторые разработчики антивирусного программного обеспечения включают в свои продукты функции для борьбы с рекламными модулями, целесообразнее использовать для этого специальные утилиты, которые во множестве представлены в Интернете. Рассмотрим некоторые из них. Большинство утилит предназначено для поиска и удаления не только рекламных модулей, но и других вредоносных программ.

Spyware Annihilator Pro. Эта программа, разработчиком которой является компания Solidlabs Technology, предназначена для поиска и устранения шпионских и рекламных модулей. К ее достоинствам можно отнести возможность использования русскоязычного интерфейса, а также то, что размер дистрибутива, предлагаемого к скачиванию (его можно легко найти в Интернете), достаточно невелик — около 330 Кбайт. Данная программа является платной, но вы можете поработать с бесплатной демонстрационной версией.

Возможности приложения предусматривают сканирование следующих объектов: оперативной памяти, системного реестра (причем реестр можно сканировать в двух режимах: Бегло и Основательно), файлов Cookies, а также локальных, сетевых дисков и дискет. Для выбора объектов сканирования достаточно установить соответствующие флажки.

Интерфейс программы достаточно прост, поэтому настроить требуемые параметры и проверить компьютер сможет даже начинающий пользователь. Однако следует учитывать, что удалить обнаруженные шпионские и рекламные модули вы сможете только после оплаты утилиты (демонстрационная версия только ищет вредоносные программы, но не удаляет их).

Ad-Aware. Полифункциональная программа Ad-Aware, разработчиком которой является немецкая компания Lavasoft, представляет собой мощную утилиту для обнаружения и удаления вредоносных программ различных типов, в том числе рекламных модулей. Следует отметить, что в настоящее время Ad-Aware является одной из самых популярных программ подобного рода. Достоинством данного приложения является наличие бесплатной версии, единственное ограничение которой — отсутствие защиты компьютера в режиме мониторинга. Немаловажным является и то, что в программе реализована возможность использования русскоязычного интерфейса. Размер дистрибутива утилиты, предлагаемого для скачивания, — 1,7 Мбайт.

В процессе сканирования Ad-aware проверяет содержимое оперативной памяти, системного реестра, а также настройки и содержимое Internet Explorer.

Утилита отличается простым, эргономичным и дружественным интерфейсом, что делает работу с ней доступной даже начинающим пользователям.

NoAdware. Данная утилита помогает избавиться не только от рекламных модулей, но и от множества других вредоносных программ. Размер дистрибутива последней версии программы (NoAdware 4.0), предлагаемого для скачивания, составляет примерно 980 Кбайт.

К достоинствам приложения можно отнести его быстродействие и простоту в использовании; к недостаткам — отсутствие русскоязычного интерфейса.

В процессе сканирования программа проверяет системный реестр и локальные диски компьютера. При необходимости можно выборочно проверить только объекты, вызывающие подозрение. В программе реализована возможность ручного или автоматического обновления базы.

Spybot — Search & Destroy. Основное предназначение данной программы — поиск и уничтожение шпионских и рекламных модулей, проникших в компьютер. Кроме того, в ней реализована возможность очистки временных файлов Интернета и Cookies, а также удаления информации о предыдущем использовании компьютера. Несомненные достоинства этой утилиты — бесплатное распространение и многоязычность (предусмотрено использование более 30 языков, в том числе русского).

В программе заложена возможность гибкой настройки параметров сканирования. В частности, можно установить выборочное сканирование, например искать только рекламные модули Adware, а шпионские модули и прочие вредоносные программы игнорировать. Кроме того, средства приложения позволяют запомнить состояние настроек системы, а затем при необходимости (для устранения последствий пребывания вредоносных программ) выполнить откат к сохраненному состоянию.

Следует отметить возможность программы отслеживать загружаемые из Интернета файлы, что позволяет выявить вредоносные модули еще до проникновения их в компьютер.

 

4.Вирусы и борьба с ними

4.1.Общие сведения

В работах фон Неймана, Винера и других авторов были даны определения и проведены исследования по вопросу саморазмножающихся или самовоспроизводящихся искусственных конструкций – конечных автоматов. Самовоспроизводящиеся программы появились намного позднее и за ними закрепился термин компьютерный вирус. Этот термин впервые употребил сотрудник Лехайского университета (США)Ф.Коэн в 1984 году на 7-й конференции по безопасности информации (проходило в США).

Оказалось, что саморазмножающиеся программы стали создавать с определенной целью – препятствовать нормальной работе компьютера, разрушение файловой структуры дисков и этим наносить ущерб хранимой в компьютере информации.

Основную массу вирусов пишут люди, которые недавно изучили язык ассемблера и хотят попробовать свои силы в программировании на ассемблере, но не смогли найти для себя более достойного применения своих знаний. Такие программы-вирусы чаще всего оказываются примитивными и с очень большим числом ошибок.

Очень опасными считаются программы-вирусы, созданные профессиональными программистами, которые чаще всего являются талантливыми программистами. В такие программы-вирусы закладываются оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области дисков. Так появляются очень опасные «профессиональные» вирусы, программа тщательно продумывается и отлаживается. Часто профессиональные вирусы выполняются по технологии «стелс» или «призрак» (неведимка).

Как видно причиной появления программ-вирусов скрывается в психологии человеческой личности и ее теневых сторонах (зависть, месть, тщеславие, невозможность применить свои способности). Кроме того причиной продолжающегося появления вирусов является отсутствие аппаратных средств защиты самой ОС и противодействия со стороны ОС компьютера.

 

2.Основные понятия

Можно привести определение вируса с точки зрения его воздействия на программы компьютера. Компьютерный вирус – это специальная созданная программа (т.е. некоторая совокупность исполняемого кода), которая способна самопроизвольно присоединяться к другим программам, создавать свои копии (необязательно совпадающее с оригиналом) и внедрять их в файлы ( в начало, в середину, в конец или в разные части файла), системные области диска, в вычислительные сети и т.д. Основное назначение программ-вирусов – это нарушение работы программ, порча файлов и каталогов и создания всевозможных помех в работе компьютера.

Надо выяснить такие понятия, как зараженный диск и зараженная программа. Зараженный диск – это диск, в загрузочном секторе которого находится программа-вирус. Загрузочный сектор занимает всего один сектор (512 байт), но там есть свободные места и вот туда может «прописаться» программа-вирус.

Зараженная программа – это такая программа, которая содержит внедренную в нее программу-вирус.

Внедрение вируса может быть различным – в начало программы, в ее середину, в конец программы или частями в разных местах программы. Размер файла будет увеличен на величину самого внедренного вируса. Если следить за размерами файла, то можно определить файл, в котором есть вирус.

Лечение файла, диска – это удаление вируса. Для этих целей разработаны специальные антивирусные программы.

Сигнатура вируса – это специальный код, который получается из кода самого вируса и позволяет классифицировать сам вирус, т.е. его принадлежность к определенным классам вирусов.

 

4.3.Способы заражения вирусом

Во всех странах мира принимаются законы о борьбе с компьютерными преступлениями, разрабатываются программные средства зашиты от вирусов, но количество новых вирусов постоянно растет. Для эффективной борьбы с вирусами пользователь компьютера должен знать природу вирусов, способы заражения вирусами файлов и самого компьютера и самое главное – знать способы защиты от них.

Только сьемные диски (гибкие и лазерные) являются основными путями проникновения вирусов в компьютер и затем и в коммуникационные сети. Заразить дискету очень просто – вставили в дисковод зараженного компьютера и просто прочитали ее оглавление. Затем дискету использовали на другом компьютере или даже перезагрузили компьютер со вставленной дискетой.

Если в компьютере запускается зараженный вирусом файл, то становится возможным заражение других файлов. Наиболее часто заражаются вирусом исполняемые файлы с типами ЕХЕ, СОМ, SYS и загрузочный сектор. Крайне редко заражаются вирусом текстовые и графические файлы.

 

4.4.Схема работы вируса

На настоящий момент известно, что в мире разработано несколько десятков тысяч вирусов и каждый из них работает по своей схеме. Поэтому можно говорить об обобщенной схеме работы среднего вируса. Таким образом, в обобщенном виде средний вирус проходит в своем развитии три этапа:

· Заражение;

· Размножение;

· Атака.

Есть вирусы, которые обходятся без размножения – это вирусы типа бомба. Некоторые обходятся без атаки и такие вирусы получили название троянский конь. Есть и такие вирусы, которые имеют еще этап маскировки, получившие название полиморфных или стелс-вирусов.

Заражение. Это этап внедрения кода вируса в компьютер и потом на файлы через внешний носитель. Наиболее часто внедрение вируса происходит при запуске уже зараженной программы (инфицированной программы). Обычно схма заражения такова: в первую очередь код вируса записывается в память компьютера, а затем оттуда копируется на внешние запоминающиеся устройства (жесткий , гибкий диски).

Размножение. Это серия последовательных заражений файлов. При запуске такого инфицированного файла код вируса перемещается в ОЗУ и становится резидентной на время работы компьютера. Теперь из ОЗУ происходит внедрение в запускаемые файлы. В первую очередь поражаются файлы (в особенности command.com) самой ОС. Чем больше запускаются файлов, тем больше происходит заражение. Так размножаются файловые вирусы.

Кроме файловых вирусов имеются вирусы, средой обитания которых являются загрузочный сектор. Это загрузочные вирусы и от них можно освобождаться только форматированием. После запуска ОС код вируса перемещается со служебного сектора. В ОЗУ, а уже потом оттуда копируется в загрузочные сектора других носителей (вставленных дисков).

Атака. Это последняя фаза развития вируса и проявляется в том, что производит более или менее разрушительные действия и этим проявляет себя. Если бы вирус после внедрения в компьютер начинал атаку, то их бы по одиночке вывели бы против вирусными средствами. Поэтому большинству вирусов нужна пассивная фаза размножения. Вирус должен сделать некоторое количество своих копий и только потом происходит механизм запуска вируса на выполнение разрушительных действий.

Механизм вирусной атаки может запускаться по счетчику, когда будет создано определенное количество копий по системным часам на определенную дату, по командам из удаленного центра управления ПК в компьютерной сети, при запуске определенных файлов или открытия определенных документов.

 

4.5.Признаки проявления вируса

Для борьбы с вирусами надо прежде всего его обнаружить. Для этого надо знать основные признаки, по которым можно судить о наличии вируса в компьютере. В качестве признаков могут служить следующие проявления:

· прекращение работы или неправильная работа ранее успешно функционирующая программа или несколько программ;

· медленная работа компьютера;

· невозможность загрузки ОС;

· исчезновение файлов и каталогов или искажение их содержимого;

· изменение даты и времени модификации файлов;

· изменение и значительное увеличение количества файлов на диске;

· существенное уменьшение размера свободной оперативной памяти;

· вывод на экран непредусмотренных сообщений или изображений;

· подача непредусмотренных звуковых сигналов;

· частые зависания и сбои в работе компьютера.

Компьютерные вирусы различных типов в основном предназначены для поражения определенных объектов файловой системы. Этим и можно объяснять такое обилие основных признаков проявления вируса, так как только файловая система обеспечивает доступ к файлам и его параметрам.

 

4.6.Классификация вирусов

Все известные вирусы классифицируются по следующим признакам (рис 1):

· среде обитания;

· способу заражения среды обитания;

· по воздействию;

·

б)
по особенностям алгоритма.

Среда обитания. Можно выделить четыре среды обитания (Рис 1,а) – это сетевые, файловые, загрузочные, файлово-загрузочные.

Сетевые вирусы располагаются только в ОЗУ компьютеров и не копируют себя на носители данных. На автономных компьютерах сетевые вирусы существовать могут только при включенном питании, так как при выключении питания сетевой вирус погибает. В крупных сетях компьютеры не выключаются очень продолжительное время и если какой, то компьютер выключился, то вирус пережидает на других компьютерах сети. Считается, что такие вирусы для индивидуальных пользователей не страшна.

 
 

 


Файловые вирусы. Этот тип вирусов внедряются главным образом в исполняемые файлы, имеющие расширения СОМ или ЕХЕ. Заражение происходит в тот момент, когда файл находится в ОЗУ, т.е. в момент исполнения. Также вирус может внедряться в SYS-файлы (это файлы ОС и драйверы). Вирус может располагать себя как в начало, середину или в конец файла. В настоящее время в связи с работой в появились новые типы файлов, как BIN, Dll, DRV, VXD ( динамическая библиотека, драйверы) и некоторых других. Такие файлы также подвержены заражению.

Загрузочные вирусы. Это такие вирусы, которые располагаются в свободных местах загрузочного сектора системной дискеты или жесткого диска (Boot Record). Кроме того такой вирус может также располагаться в области Vaster Boot Record – MBR) жесткого диска, если он был разделен на разделы. При запуске ПК такой вирус поступает в ОЗУ и потом будет переходить в системные области гибких дисков, если их вставлять в дисковод для записи данных. При выполнении ремонтно-восстановительных работ следует использовать не завирусованные системные диски, т.е. надо иметь для таких целей проверенные дискеты. Считается, что очень часто вирусы попадают в ПК после ремонтно-восстановительных работ. Сам вирус размещается в ВР или MBR не полностью, центральная часть (ядро), а остальную часть – в свободное место на диске (как правило в последних секторах).

Файлово-загрузочные вирусы. Это вирусы, которые могут поражать как файлы, так и системные области диска BR и MBR.

Макровирусы. Это новый вид вирусов, которые внедряются в файлы документов, подготовленные в тестовом редакторе Word, в котором есть возможность составления макрокоманд. В общем случае такие вирусы могут поражать документы, подготовленные в других пользовательских средах, в которых есть свой язык макрокоманд. Для защиты от таких вирусов надо отключать, например в Word, возможность выполнения макрокоманд при просмотре «чужих» документов, подготовленных самостоятельно, макрокоманды можно подключать снова.

Способ заражения среды обитания. По способу заражения вирусы делятся на резидентные и нерезидентные (рис 1,б). Резидентный вирус при инфицировании компьютера оставляют в ОЗУ свое ядро, резидентную часть. Которая потом перехватывает обращение ОС к объектам заражения (файлы, системные сектора дисков и т.д.) и внедряется в них. Такое ядро находится постоянно в памяти и является активным вплоть до включения или перезагрузки компьютера.

Нерезидентные вирусы не записываются в память компьютера и являются активными лишь ограниченное время.

Бывают вирусы, которые в ОЗУ оставляют резидентную часть, но она не распространяет вирус. Такие вирусы относят к нерезидентным.

 

Воздействия вируса. По степени воздействия (Рис 1,г) вирусы могут быть неопасными, опасными и очень опасными.

Неопасные или безвредные вирусы себя проявляют в каких-либо графических или звуковых эффектах. Механизм таких вирусов, как видно, не предполагает опасных действий. Практически такие вирусы занимаются только размножением. Вероятнее всего создатели таких вирусов хотят самоутвердиться и попробовать свои силы в программировании на ассемблере. Такие вирусы не выполняют разрушительных действий, но они перегружают ресурсы компьютера и этим способны понижать производительность компьютера.

Опасные вирусы – это такие вирусы, которые способны привести к различным нарушениям в работе компьютера.

Промежуточное положение занимают так называемые малопасные вирусы. Они в момент своей активизации не производят разрушительных действий, но могут беспокоить пользователей неожиданными сообщениями, экранными и звуковыми эффектами. Их вредность почти такая же, как и у вредных вирусов. Малоопасные вирусы имеют одно положительное качество –предупреждают пользователя ПК о том, что не все в порядке в его системе безопасности и этим спасают его от еще больших неприятностей.

Очень опасные вирусы или разрушительные вирусы. Это такие вирусы, которые могут привести к потере программ, уничтожению данных, стиранию информации в системных областях. Такие вирусы не могут обрабатывать жесткий диск часами и чтобы никто ничего не заметил. Поэтому они обычно уничтожают только служебные области. Такая операция занимает доли секунды и может полностью исчезнуть доступ к программам т данным (это разрушение FAT). Восстановление такого жесткого диска потребует специальных знаний и специальных средств.

Современные вирусы – разрушители могут иметь доступ до CMOS-памяти и до флеш-памяти (перезаписываемая микросхема). Восстановление их - это простая замена ПЗУ. Защита от такого вируса – это установка на материнской плате перемычки, чтобы вирус не смог включать режим перепрограммирования микросхемы.

Особенности алгоритма. По особенностям алгоритма функционирования вирусы трудно классифицировать из-за большого их разнообразия. Все таки такая попытка сделана и она представлена на Рис 1,г. Большинство антивирусных программ выявляют вирусы по известным образцам их программного кода – сигнатурам. Это определенная последовательность групп кодов, характерные для известных вирусов. Если в файле имеется такая характерная последовательность байтов (сигнатура) и она зарегистрирована в базе данных как характерная для вируса, то антивирусная программа выдает сообщение о наличии вируса и может предлагать ее уничтожение.

По алгоритму функционирования простейшими вирусами являются паразитические, которые при распространении своих копий обязательно изменяют содержимое файлов и секторов диска. Такие вирусы достаточно легко обнаруживаются и уничтожаются.

Вирусы-репликаторы или вирусы черви (Worm). Они, как правило, распространяются по компьютерной сети и не изменяют файлы и сектора на дисках. Такие вирусы из сети записываются в ОЗУ компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.

Некоторые авторы используют такие алгоритмы, которые позволяют вирусу быть невидимой антивирусной программе, а также такие алгоритмы, которые формируют вирусы-мутанты, которые изменяют свой код.

Вирусы-невидимки или стелс-вирусы (Stealth). Это такие вирусы, которые имеют весьма совершенные программы и их нельзя увидеть средствами антивирусной защиты. Такие вирусы перехватывают прерывания при просмотре файлов средства операционной системы (например, по F3 операционной оболочки MSDOS). В этом случае вирус удаляет свое тело из файла и пользователь не увидит код вируса. При закрытии файла вирус записывает себя снова в файл.

Для обнаружения таких вирусов-невидимок антивирусные программы должны иметь свои собственные средства просмотра, независимое от операционной системы.

Наиболее трудно обнаружить вирусы-мутанты или вирусы-призраки (полимофные вирусы). Такие вирусы не имеют постоянных кодов. Это нужно для того, чтобы обмануть антивирусные защитные средства. Вирус распространяется в закодированном виде. Используется алгоритм случайного кодирования и декодирования и он находится в самом же вирусе. Из-за этого копии вирусов всякий раз выглядят по разному, так как получаются разные сигнатуры, т.е. в последовательности байтов в вирусе нет ничего общего. Выявлять такие вирусы простым сравнением сигнатур с данными из базы антивирусной программы практически невозможно. Против таких вирусов антивирусные программы используют специальные алгоритмы эвристического анализа.

 

4.7.Способы защиты от вирусов

Можно ли вообще защититься от компьютерных вирусов?. Можно, если полностью ограничить себя в пользовании программами, не устанавливать никакие новые программы. Полной защиты от компьютерных вирусов нет, так как могут быть вирусы до сих пор не проявляли себя. Пока вирус безвреден, он где-то может существовать. Но если он начнет размножаться и начнет наносить ущерб, то его нужно вычислить и обезвредить. Так что первый день его активности станет и последним.

Так что вывод таков: полностью защититься при очень большом изобилии вирусов нельзя, но минимизировать угрозы от вирусов можно, чтоб вред от них стал меньше.

Обычно с понятием вирус связывается потеря информации на компьютере. Очень часто информация теряется не от вирусов, а от собственного головотяпства и от нестабильной работы операционной системы.

Можно предложить некоторые меры по защите от компьютерных вирусов, следуя которым можно свести к минимуму потери информации.

1).Подготовка к последствиям.

Считается, что потери информации происходят только по старости жесткого диска, но и по собственной небрежности. Подготовка к последствиям могут быть следующие:

· это выполнение резервного копирования всего того, что представляет ценность и не хранить их на работающем жестком диске. Лучше записывать на лазерные диски;

· надо обязательно хранить дистрибутивы программ, устанавливаемые на компьютер. Надо быть готовым к их переустановке в любую минуту и рассматривать это не как обычное периодическое обслуживание компьютера;

· следует особо позаботиться о сохранении паролей и адресов, хранящихся на компьютере – переписать в записную книжку;

· обязательное условие – создание системной загрузочной дискеты, заранее проверив ее работоспособность и хранить в надежном месте;

· рекомендуется иметь пакет служебных программ (типа NU 2000) и создать с их помощью аварийный комплект дискет для реанимации компьютера.

2).Меры защиты от вирусов.

Начальной мерой защиты от фокусов операционной системы надо исключить некорректность в установке и удалении программ.

Затем для борьбы с компьютерными вирусами надо устанавливать на компьютер специальные антивирусные программы как зарубежные так и отечественные антивирусные программы. Вообще-то отечественные антивирусные программы намного эффективнее западных.

Современные антивирусные программы при запуске контролируют собственную неприкосновенность. Если замечается постороннее вмешательство в программный код, то дальнейшая работа блокируется и выдается предубеждение о нарушении целостности антивирусной программы и необходимости ее повторной переустановки.

Некоторые вирусы атакуют компьютер при наступлении определенной даты (например, Чернобыль 26 апреля). В таких случаях после включения питания надо войти в настройку BIOS и изменить системную дату на несколько дней назад. Теперь можно смело загружаться, так как для компьютера сегодняшний день наступит не сегодня.

 

4.8.Характеристика антивирусных программ

Сам термин «вирус» пришел из медицины и поэтому при описании антивирусных программ широко используются такие медицинские термины, как «лечение», «доктор», «вакцина», иммунизатор», «карантин», «прививка» и другие термины. Такое использование медицинских терминов наиболее понятно и однозначно определяют происходящие действия.

Имеются такие виды антивирусных программ:

· программы – детекторы;

· программы – доктора или фаги;

· программы – ревизоры;

· программы – фильтры;

· программы – вакцины или иммунизаторы.

Программы – детекторы. Это такие программы, которые осуществляют поиск сигнатуры вируса в ОЗУ и в файлах. При обнаружении сигнатур выдается соответствующее сообщение. Такие программы могут обнаруживать только те вирусы, сигнатуры которых уже известна разработчикам программ-детекторов

Программы – доктора (или фаги). Такие программы не только находят зараженные вирусом файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файл в исходное состояние. В начале своей работы фаги ищут вирусы в ОЗУ, уничтожают их, и только затем переходят к «лечению» самих файлов. Среди фагов выделяют еще полифаги, т. е. Программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы DoctorWeb,Norton Antivirus и другие. Программы-доктора должны постоянно обновлять свои базы данных сигнатурами новых вирусов для успешной борьбы с вирусами

Программы-ревизоры. Такие программы запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда ПК не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние м исходным. Обнаруженные изменения выводятся на экран монитора. Сравнение производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют развитые алгоритмы, обнаруживающие стелс-вирусы и могут отличать изменения версий проверяемой программы от изменений, внесенных вирусом. К числу таких программ-ревизоров относится широко распространенная в России программа Adinf фирмы «Диалог-Наука».

Программы – фильтры. Их еще называют программа-сторож. Это небольшие резидентные программы и предназначены для обнаружения подозрительных действий при работе компьютера, характерными действиями являются:

· попытка коррекции файлов с расширениями СОМ и ЕХЕ;

· изменение атрибутов файлов;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные сектора диска;

· загрузка резидентной программы.

В таких случаях программа формирует сообщение для пользователя и предлагает запретить или разрешить соответствующие действия.

Программы-фильтры способны обнаруживать вирус на самой ранней стадии его существования до размножения. Эти программы не умеют «лечить» файлы и диски. Для уничтожения вирусов требуется применить другие программы, требуется применить другие программы, например, фаги.

Недостаток таких программ-фильтров в их «назойливости» (постоянно выдают предупреждения о любой попытке копирования исполняемого файла), а также возможные конфликты с другими программами.

Программы-вакцины. Это резидентные программы и предотвращают заражение файлов. Следует применять при отсутствии фагов. Вакцинация возможна только от известных вирусов. Вакцина модифицирует файл или диск так, что вирус воспринимает их как зараженными и вирус не будет внедряться. Модификация файла, диска не отражается на их работе. В настоящее время программы-вакцины имеют ограниченное применение.

 

5. Что за зверь — «троянский конь»?

Практически ни один разговор о компьютерных вирусах не обходится без термина «троянская программа», или «троянец». Чем это приложение отличается от вируса, каково его назначение и чем он опасен? К этой категории относятся программы, выполняющие различные несанкционированные действия без ведома пользователя. По характеру действия «троянец» очень напоминает вирус: он может красть персональную информацию (прежде всего файлы паролей с расширениями PWL, SAM, почтовые базы), перехватывать данные, введенные с клавиатуры, реже — уничтожать важную информацию или нарушать нормальную работоспособность компьютера. Кроме того, часто «троянская» программа может применяться для использования ресурсов компьютера, на котором она запущена, в неблаговидных или преступных целях: рассылки вирусов, проведения DDOS-атак (Distributed Denial of Service — распределенные атаки, направленные на нарушение работы сетевых сервисов).

Все это могут делать и вирусы. Отличие заключается в том, что часто внешне «троянец» выглядит как вполне нормальная программа, выполняющая некоторые полезные функции. Однако, кроме этого, у нее есть и «вторая жизнь», о которой пользователь не догадывается, так как часть функций приложения скрыта. «Троянская» программа также отличается от вируса неспособностью к самораспространению: она не может самостоятельно копироваться на другие компьютеры, ничего не уничтожает и не изменяет на компьютере пользователя (кроме функций, которые нужны для запуска программы). «Троян» может прокрасться к ничего не подозревающему пользователю под видом ускорителя Интернета, очистителя дискового пространства, видеокодека, плагина к проигрывателю Winamp или исполняемого файла, имеющего двойное расширение (Хотя, в отличие от вируса, «троянец» не способен к саморазмножению, от этого он не становится менее опасным).

В последнем случае может просто прийти письмо с просьбой посмотреть фотографию и с прикрепленным файлом вроде superfoto. bmp. ехе (как вариант, после BMP может быть большое количество пробелов, чтобы пользователь ничего не заподозрил). В итоге получатель сам устанавливает вредоносную программу. Отсюда, кстати, и произошло название таких приложений: вспомните, как ахейцы захватили Трою. Город был хорошо укреплен, ахейцы долго не могли его взять и в конце концов просто обманули защитников. Для жителей Трои конь был символом мира, и ахейцы якобы для примирения построили деревянную статую коня, внутрь которой посадили своих лучших воинов. Ничего не подозревающие троянцы затащили подарок в город, а ночью ахейцы вылезли из статуи, обезвредили стражу и открыли ворота, впустив основные силы.

Размножению «троянской» программы во многом способствует сам пользователь, копируя его друзьям и коллегам. Кстати, возможны варианты, когда программа попадает на компьютер пользователя как «червь», а далее работает как «троян», обеспечивая своему создателю возможность дистанционного управления зараженным компьютером. Чаще всего такие программы все-таки относят к «червям».

Запустившись, «троянец» располагается в памяти компьютера и отслеживает запрограммированные действия: крадет пароли для доступа в Интернет, обращается к сайтам, накручивая чьи-то счетчики (за что пользователь платит лишним трафиком), звонит на платные, часто очень дорогие, телефонные номера или следит за действиями и привычками хозяина компьютера, читает его электронную почту.

Современные «троянцы», как правило, уже не тащат все подряд. Они целенаправленно занимаются сбором конкретной информации. Например, «банковские» шпионы занимаются сбором номеров кредитных карточек и других банковских данных. В связи с ростом популярности интернет-игр появился интерес к краже игровых предметов или персонажей, цена которых порой доходит до нескольких тысяч долларов. Поэтому кража учетных записей является для мошенников не менее привлекательным делом, чем кража банковских атрибутов.

Отдельно следует упомянуть так называемые Trojan-Downloader и Trojan-Dropper, которые используются для установки на компьютеры «троянских», рекламных (adware) или порнографических (pornware) программ. Кроме того, «троянцы» часто используются для создания «троянских» прокси-серверов или даже целых «зомби-сетей» для рассылки спама или вирусов.

Как определить, что в вашей системе поселилась «троянская» программа? Во-первых, согласитесь, странно, когда только что установленный новый плагин к Winamp не обнаруживается в списке. Во-вторых, при инсталляции «трояна» может быть выведено сообщение, причем как об успешном окончании установки (вроде Internet Exsplorer already patched), так и, наоборот, говорящее о том, что утилита не установлена, потому что системная библиотека является несовместимой с версией программы либо архив поврежден. Возможно, будут также выведены некоторые рекомендации по устранению ошибки. После долгих мучений пользователь вряд ли получит ожидаемый результат, скорее всего, оставит все попытки и будет пребывать в полной уверенности в том, что это полезная программа, которая просто не запустилась по непонятным причинам. «Троянец» тем временем пропишется в автозапуске. Например, в Windows необходимо быть внимательным к следующим веткам реестра:

HKEY_L0CALJ4ACHINE\S0FTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY^LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\ RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunservicesOnce

Возможно помещение ярлыка «трояна» в папку Автозагрузка (это встречается очень редко, так как присутствие вредоносной программы в этой папке очень легко обнаружить) или запись в файлы autoexec.bat, win. ini, system, ini. Часто разработчики принимают меры, чтобы «трояна» не было видно в окне Диспетчер задач, выводимом нажатием сочетания клавиш Ctrl+Alt+Delete. Наиболее сложные троянские» программы умеют самостоятельно обновляться через Интернет, прятаться от антивирусов, а также расшифровывать файлы паролей. Управлять «троянцем» можно несколькими способами: от прямого подключения к компьютеру до проверки определенного сетевого ресурса, на который хозяин посылает e-mail, XQ и IRC-команды.

Часто «троянец» состоит из двух частей: клиентской, установленной у хозяина, и. серверной, работающей на машине «жертвы». Такие программы также называют backdoor — «потайной ход». Запустив программу-клиент, злоумышленник проверяет, находится ли сервер в Сети: если отклик получен, то удаленным компьютером можно управлять как своим.

История «троянских» программ началась примерно в середине 1980-х. Первые программы назывались «вандалами», потому что, попав в систему, они каким-то образом вредили ей. Затем, когда Интернет получил более широкое распространение, появилась мысль не разрушать, а красть информацию. Наибольшую известность среди «троянских» программ получила BackOrifice, появившаяся в июле 1998 года. Группа хакеров, называвшая себя «Культ мертвой коровы» (Cult of the Dead Cow), создала «троянца» для Windows 95/98. BackOrifice позволял любому человеку, располагающему номером порта и паролем для входа, совершать на машине «жертвы» практически любые действия: выполнять команды операционной системы, просматривать файлы, скачивать и закачивать файлы,


<== предыдущая страница | следующая страница ==>
Лекция №3 Тема: СТРУКТУРА И НАЗНАЧЕНИЕ УПРАВЛЯЮЩЕГО УСТРОЙСТВА ПРОЦЕССОРА ЭВМ | 

Дата добавления: 2014-10-17; просмотров: 754; Нарушение авторских прав




Мы поможем в написании ваших работ!
lektsiopedia.org - Лекциопедия - 2013 год. | Страница сгенерирована за: 0.024 сек.