Защита информации при помощи антивирусной программы Panda
Ревизоры (инспектора) запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются… Читать ещё >
Защита информации при помощи антивирусной программы Panda (реферат, курсовая, диплом, контрольная)
Лист
Введение 3
1. Классификация компьютерных вирусов 5
1.1 Загрузочные вирусы 6
1.2 Файловые вирусы 9
1.3 Файлово-загрузочные вирусы 10
1.4 Сетевые вирусы 10
1.5 Макро-вирусы 13
1.6 Резидентные вирусы 13
1.7 Нерезидентные вирусы 14
2. Обоснование необходимости защиты 15
2.1 Антивирусные программы 16
2.1.1 Программы-детекторы 16
2.1.2 Программы-доктора 16
2.1.3 Программы-ревизоры (инспектора) 17
2.1.4 Программы-фильтры (мониторы) 18
2.1.5 Вакцины или иммунизаторы 18
2.1.6 Сканер 19
3. Приемы работы 20
3.1 Главное меню 21
3.2 Проверка 23
3.3 Обновления 25
3.4 Настройка 26
3.5 Сервисы 27
4. Техника безопасности 29
4.1 Требования безопасности перед началом работы 29
4.2 Требования безопасности во время работы 29
4.3 Требования безопасности в аварийны ситуациях 30
4.4 Требования безопасности по окончании работы 31
5. Список литературы 32
Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность…
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении все более совершенных, саморазмножающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.
Борьбой с компьютерными вирусами профессионально занимаются сотни или тысячи специалистов в десятках, а может быть, сотнях компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Случается так, что пользователи и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их представлений и не было.
1. Классификация компьютерных вирусов
В зависимости от проявления и дальнейшего поведения вирусы условно можно разделить на следующие группы:
«черви» (при размножении «черви» копируют свой код в различные каталоги дисков в надежде, что эти новые копии будут когда-либо случайно запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск подобного файла — например, «install.exe» или «winstart.bat»);
троянские кони (приложение, которое призвано незаметно и несанкционированно собирать данные и передавать их создателю вируса…);
программы группы риска (программное обеспечение, работа с которым несет в себе долю риска. Например, Internet Explorer. В нем содержится много ошибок, поэтому работа с ним может стать причиной заражения вирусом или проникновения хакера.);
непосредственно вирусы (программа, способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера.)
Вирусы классифицируются по следующим основным признакам:
1. среда обитания
2. способ заражения
3. степень воздействия
4. особенности алгоритма работы По среде обитания вирусы можно разделить на:
1. файловые
2. загрузочные
3. файлово-загрузочные
4. сетевые
5. макро-вирусы По способу заражения вирусы делятся на:
1. резидентные
2. нерезидентные По степени воздействия вирусы можно разделить на следующие виды:
1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах.
2. опасные вирусы, которые могут привести к различным нарушениям в работе компьютера.
3. очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
1.1 Загрузочные вирусы
Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного диска (A, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB — BIOS Parameter Block), высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска.
Если продолжение вируса размещается в секторах, которые принадлежат свободным кластерам диска (при поиске этих секторов вирусу приходится анализировать таблицу размещения файлов — FAT), то, как правило, вирус помечает в FAT эти кластеры как сбойные (так называемые псевдосбойные кластеры). Этот способ используется вирусами «Brain», «Ping-Pong» и некоторыми другими.
В вирусах семейства «Stoned» задействован другой метод. Эти вирусы размещают первоначальный загрузочный сектор в неиспользуемом или редко используемом секторе — в одном из секторов винчестера (если такие есть), расположенных между MBR и первым boot-сектором, а на дискете такой сектор выбирается из последних секторов корневого каталога.
Конечно, существуют и другие методы размещения вируса на диске, например, вирусы семейства «Azusa» содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.
Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.
Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т. е. ПНЗ ПЗУ.
Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:
Всякая дискета размечена на так называемые секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.
Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас интересует сектор начальной загрузки (boot-sector).
В секторе начальной загрузки хранится информация о дискете — количество поверхностей, количество дорожек, количество секторов и прочее. Но нас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.
Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части: голову и так называемый хвост. Хвост может быть пустым.
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва — в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad), копируют в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой, организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА появляется новое звено:
ПНЗ (ПЗУ) — ВИРУС — ПНЗ (диск) — СИСТЕМА Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов — программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.
1.2 Файловые вирусы
К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо или каких-либо ОС.
Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных — документы или электронные таблицы, однако эти вирусы настолько специфичны, что вынесены в отдельную группу.
По способу заражения файлов вирусы делятся на «overwriting», паразитические («parasitic»), компаньон-вирусы («companion»), «link"-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.
Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину».
Какие же действия выполняет вирус? Он ищет новый объект для заражения — подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции — размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) — это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код — следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:
1. он не обязан менять длину файла
2. неиспользуемые участки кода
3. не обязан менять начало файла Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.
1.3 Файлово-загрузочные вирусы
Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных.
Широко был распространен файлово-загрузочный вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие — шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы.
1.4 Сетевые вирусы
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается — сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.
Наибольшую известность приобрели сетевые вирусы конца 1980;х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы «Cristmas Tree» и «Wank Worm&». Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени — вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусом Морриса эпидемия захватилай несколько глобальных сетей в США.
Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Вновь проблема сетевых вирусов возникла лишь в начале 1997;го года с появлением вирусов «Macro.Word.ShareFun» и «Win.Homer». Первый из них использует возможности электронной почты Microsoft Mail — он создает новое письмо, содержащее зараженный файл-документ («ShareFun» является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус «автоматически» внедряется в компьютер адресата зараженного письма.
Этот вирус иллюстрирует первый тип современного сетевого вируса, который объединяет возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.
Второй вирус («Homer») использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как «полусетевой», однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.
Вирус W32.Blaster.Worm (другое название LoveSun)
Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.
Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить «атакующему» компьютеру полный доступ к «атакуемому», а в случае удачи — открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast. exe). Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.
С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.
Так же известны варианты червя B и C, поэтому могут измениться как результаты, так и признаки заражения (например, вместо msblast. exe файл червя может называться penis32. exe, хотя и с сохранением содержимого). Symantec Corp отметила за один день увеличение числа червей до 40%, что привело к заражению 188 тыс. компьютеров. По другим данным, за 24 часа червь заразил более миллиона хостов. Однако производительность сайта Microsoft не пострадала (согласно Keynote Systems Inc), ведь червяк хорошо «виден» в системе, поскольку настойчиво ее перезагружает. Атака червя должна была начаться в 07−00 час утра в пятницу, что по странному стечению обстоятельств совпало с глобальным отключением электроэнергии в Нью-Йорке.
О создателе вируса:
Washington Post сообщил, что новоявленным компьютерным гением оказался 18-летний гражданин США. Его имя и местонахождение не разглашается.
В итоге мир столкнулся с довольно таки задиристым вирусом, создатель которого юный, можно сказать, гений. Bирус, а так же его разновидности, по сведениям компании Symantec Corp., поразил до 500 тыс. компьютеров по всему миру.
Как понять, заражен ли мой компьютер:
— наличие файлов «MSBLAST.EXE», «TEEKIDS.EXE» или «PENIS32.EXE» в системном каталоге Windows (обычно WINDOWSSYSTEM32)
— внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут.
— многочисленные сбои в работе программ Word, Excel и Outlook.
— сообщения об ошибках, вызванных файлом «SVCHOST.EXE»
— появление на экране окна с сообщением об ошибке (RPC Service Failing).
Я полагаю, такое вот окно, видели многие из тех, у кого установлен Windows XP и кто пользуются Интернетом. Этот скромный вирус, на первый взгляд, портит жизнь человеку напрочь. Делает он это очень легко, перезагружая компьютер. Вроде бы ничего в этом особо плохого нет, но, с каждым разом, этот зловредный вирус делает это всё чаще. Мало того, при активизации вируса не возможны некоторые команды, к примеру, Copy.
Так вот, есть несколько способов, как от этого «скромняги» избавится:
1. Первый способ и самый простой (от этого вирус продолжает жить на компьютере, но всё же не рестартит компьютер, значит можно работать). Заходим в Date & Time Properties, что можно сделать двойным нажатием левой кнопки мышки по часам в правом нижнем углу экрана, и отгоняем часы назад (на сутки).
2. Способ второй (деактивирует вирус, после чего он перестает «доставать» пользователя перезагрузкой компьютера). Необходимо поставить «заплатку», которую можно найти на сайте Microsoft, попросту сделав Windows Update.
1.5 Макро-вирусы
Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.
Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями:
1. привязки программы на макро-языке к конкретному файлу;
2. копирования макро-программ из одного файла в другой;
3. возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word, Office и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макро-языки: Word — Word Basic, Excel, Office97 (включая Word, Excel и Access) — Visual Basic for Applications.
На сегодняшний день известны четыре системы, для которых существуют вирусы — Microsoft Word, Excel, Office и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.
1.6 Резидентные вирусы
Под термином «резидентность» (DOS'овский термин TSR — Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после того, как он отформатирован.
1.7 Нерезидентные вирусы
Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе — носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.
Таким образом, нерезидентные вирусы являются опасными только во время выполнения инфицированной программы, когда они проявляют свои деструктивные возможности или создают свои копии. Файлы, пораженные такими вирусами, обычно легче поддаются обнаружению и лечению, чем файлы, содержащие резидентный вирус.
2. Обоснование необходимости защиты
В последнее время большую известность приобрела проблема информационной безопасности. Измученный пользователь всюду читает о компьютерных взломах, хакерских проникновениях, вирусах. Что делать?
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
* общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
* профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
* специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
1. копирование информации — создание копий файлов и системных областей дисков;
2. разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Зачем надо защищаться? Ответов на этот вопрос может быть великое множество. Все зависит от конкретного профиля Вашего рода занятий. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Например, для банка необходимо обеспечить достоверность платежных поручений, то есть, чтобы злоумышленник не мог внести изменения в платежное поручение. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем (например, для провайдеров Интернет).
Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Из всего вышесказанного можно смело сделать вывод, что необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте. Если правильно выбирать антивирусное программное обеспечение и регулярно обновлять его, можно избежать заражения вирусом и соответственно всех его последствий.
2.1 Антивирусные программы
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
1. программы-детекторы
2. программы-доктора или фаги
3. программы-ревизоры (инспектора)
4. программы-фильтры (мониторы)
5. программы-вакцины или иммунизаторы
6. сканер
2.1.1 Программы-детекторы
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
2.1.2 Программы-доктора
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
2.1.3 Программы-ревизоры (инспектора)
Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.
Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).
Дело в том, что ряд вирусов, внедряясь в файлы (то есть дописываясь в конец или в начало файла), подменяют записи об этом файле в таблицах размещения файлов нашей операционной системы. Посмотришь из «виндов» — вроде бы ничего не изменилось: ни длина файла, ни дата, ни время создания, ни даже контрольный код (CRC). Как говорится, по бумагам все сходится, а хищение налицо.
Ревизоры (инспектора) запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры (инспектора) имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров (инспекторов) относится широко распространенная в России программа Adinf.
Запускать ревизора (инспектора) надо тогда, когда компьютер еще не заражен, чтобы он мог создать в корневой директории каждого диска по таблице — файлу kavitab (бyквa_диска).dat (например, kavitabc. dat), со всей необходимой информацией о файлах, которые имеются на этом диске, а также о его загрузочной области. На создание каждой таблицы у нас будет запрошено разрешение.
При следующих запусках ревизор (инспектор) будет просматривать диски, сравнивая данные о каждом файле со своими записями. Скажем, размер файла изменился, а дата и время остались прежними. Странно? Странно! У нескольких файлов изменилась длина, причем на одинаковую величину, как будто в каждый из файлов было добавлено нечто постороннее. Странно? Еще бы! Или в реестре Windows произошли изменения, хотя вы ничего нового в систему не добавляли. Подозрительно? В высшей степени подозрительно! Ну, а когда инспектор сообщает о странных изменениях в загрузочном секторе, то это просто караул! (Если, конечно, вы не установили со времени предыдущей проверки новую операционную систему.)
В такой ситуации ревизор (инспектор) сможет использовать свой собственный лечащий модуль, который восстановит испорченный вирусом файл в 95 случаях из 100 (по крайней мере, так обещают авторы). Для восстановления файлов инспектору даже не нужно ничего знать о конкретном типе вируса, достаточно воспользоваться данными о файлах, сохраненными в таблицах.
Кроме того, в случае необходимости может быть вызван антивирусный сканер.
2.1.4 Программы - фильтры (мониторы)
Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
1. попытки коррекции файлов с расширениями COM, EXE;
2. изменение атрибутов файла;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.
2.1.5 Вакцины или иммунизаторы
Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
2.1.6 Сканер
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.
3. Приемы работы
Я рассмотрел антивирусную программу .
Окно данной программы содержит следующие разделы:
1. «Главное меню» — отображает текущее состояние программы, уровень защиты системы и состояние самодиагностики автоматической защиты.
2. «Проверка» — поиск вирусов и иных угроз на компьютере и их уничтожение.
3. «Обновления» — регулярное обновление программы — позволяет искать и обезвреживать новые вирусы и прочие угрозы.
4. «Настройка» — управление настройками программы.
5. «Сервис» — некоторые услуги Panda Software.
3.1 Главное меню
В этом окне программа информирует о текущем уровне защиты, зависящем от настроек программы, от того, как давно она была обновлена, а также о действиях, которые можно выполнить. В верхней части окна (рис. 1) отображается изображение, показывающее состояние защиты компьютера.
Рис. 1 Главное меню
1. Последнее обновление: Показывает дату, когда антивирус был последний раз обновлен. Если необходимо провести обновление, то цвет текста изменяется, а рядом с ним появляется опция «Обновить». Путем нажатия на нее запускается процесс обновления.
2. Срок окончания действия обновлений и сервисов: отображает дату окончания действия обновлений и сервисов. Если срок истекает менее, чем через месяц, то текст становится оранжевым, а около него появляется опция «Продлить лицензию». Если срок истекает менее, чем через неделю, то текст становится красным, а около него появляется опция «Продлить лицензию». Необходимо нажать на нее для дальнейшего использования обновлений и прочих сервисов.
3. Автоматическое обновление: обновляет файл базы вирусов и саму программу при обнаружении соединения с сетью Интернет. Можно самим определять, когда обновить программу или же Titanium Antivirus 2004 будет делать это автоматически. Этот раздел отображает, включены или отключены автоматические обновления и корректно ли они работают.
Нажав «Дополнительно», можно выполнить следующие дополнительные действия:
1. «Создать резервные диски» — можно создать дискеты для загрузки и проверки компьютера из среды, чистой от вирусов.
2. «Просмотреть список вирусов» — отображает список вирусов и прочих угроз, которые Titanium Antivirus 2004 способна обнаружить и уничтожить. Окно содержит следующие разделы:
1. Типы вирусов
2. Название вируса
3. Описание вируса
4. Дополнительная информация о вирусе
3.2 Проверка
В этом окне мы можем выбрать определенный род проверки (рис. 2).
Рис. 2 Проверка
1. «Проверить весь компьютер» — при выборе данного режима производится проверка ВСЕХ элементов компьютера (это может занять длительное время — как и файл, каждый элемент компьютера будет проверен): память, все дискеты, найденные в дисководах, жесткие диски, CD-ROM, отправленные и принятые по электронной почте письма (находящиеся в Outlook Express и Outlook) и т. д.
2. «Проверить все жесткие диски» — при выборе данного пункта Titanium Antivirus 2004 проверит все файлы, находящиеся на жестких дисках компьютера.
3. «Проверить электронную почту» — выбирая этот режим, запускаем проверку на присутствие вирусов всех отправленных и принятых сообщений, содержащихся в почтовых программах Outlook и Outlook Express.
4. «Проверить дисковод» — нажимаем сюда, если хотим проверить информацию на дискете, находящейся в дисководе.
5. «Проверить другое…» — нажимаем и появляется список, содержащий перечень объектов, которые могут быть проверены по нашему желанию. Для их проверки нужно просто щелкнуть на необходимом объекте. Если мы хотим произвести проверку конкретного файла или папки, то необходимо указать место его (ее) нахождения. Для этого нажимаем на кнопку «Файлы» или «Папки». После этого появится диалоговое окно, позволяющее нам выбрать нужный объект для проверки.
Выбрав «Просмотреть подробный отчет», мы сможем ознакомиться с более детальной информацией: «Произошедшие события», их «Дата» и «Время», проверенный «Объект» или «Путь», «Итоговый результат» (при обнаружении инфицированного объекта).
3.3 Обновления
В меню «Обновление» мы можем мгновенно обновить нашу антивирусную программу, а также изменить настройки обновлений (рис. 3).
Рис. 3 Обновления Обновление антивирусных баз позволяет определить настройки обновления. Здесь можно изменить определенные параметры обновления, а также указать свое имя пользователя и пароль. Меню содержит следующие параметры:
1. «Включить автоматическое обновление» — если этот пункт помечен, то Titanium Antivirus 2004 будет самостоятельно производить обновление при обнаружении установленного соединения с сетью Интернет. Этот процесс протекает в фоновом режиме (мы не замечаем его) и не влияет на работу, выполняемую в данный момент на компьютере.
2. «Вывести оповещение при автоматическом обновлении» — если помечен данный пункт, то при запуске автоматического обновления, программа проинформирует нас об этом, выведя на экран сообщение.
3. «Имя пользователя» — для того, чтобы программа могла производить автоматическое обновление, вводим в данное поле свое Имя пользователя. (Эта информация передается нам после регистрации программы).
4. «Пароль» — для возможности автоматического обновления программы также необходимо ввести свой пароль в это поле. (Он также предоставляется нам после регистрации программы).
5. «Обновить антивирус!» — немедленное обновление антивирусной программы, Titanium Antivirus 2004 будет незамедлительно обновлен. Если программа уже обновлена (дата последнего обновления совпадает с датой доступного), программа сообщит нам об этом. В ином случае, начнется процесс обновления. После завершения на экран будут выведены результаты. В случае, если по какой-то причине произвести обновление программы невозможно, она выведет соответствующее сообщение.
3.4 Настройка
В этом окне мы можем настроить Panda Titanium Antivirus 2004 в соответствие с нашими потребностями (рис. 4).
Рис. 4 Настройка Окно содержит пять настроек:
1. Настройка автоматической защиты
2. Проверка файлов и папок
3. Обновление антивирусных баз
4. Параметры доступа к Интернету
5. Основные опции
3.5 Сервисы
В данном окне мы можем обратиться к различным сервисам антивирусной программы Panda Titanium Antivirus 2004 и связаться с её разработчиками (рис. 5).
Рис. 5 Сервисы
1. «Обновление антивируса» — данная опция позволяет нам обновить антивирус вручную, включать и выключать режим автоматического обновления и определять характеристики обновления.
2. «Разделы загрузки файлов» — доступ к разделу загрузки файлов на веб — сайте Panda Software.
3. «Техническая поддержка через Интернет» — в нашем Интернет — браузере будет открыта страница технической поддержки. На ней мы найдем интерактивную систему разрешения вопросов. Эта система поможет нам лучше узнать нашу антивирусную программу и решить все вопросы, связанные с ее работой.
4. «Техническая поддержка по E-mail» — мы можем послать любой интересующий нас вопрос, используя услугу «Техническая поддержка по Е-mail».
5. «Ваши замечания и предложения» — данный вид сервиса позволяет нам напрямую связаться с Panda Software, послать свои идеи, комментарии и предложения.
6. «Бюллетени Panda» — при выборе данной опции появляется окно, позволяющее нам выбрать бюллетени, на которые мы бы хотели подписаться. Кроме того, оно также позволяет нам познакомиться с архивом бюллетеней, содержащим все предыдущие новости Panda.
7. «Отправить подозрительные файлы» — данная опция позволяет отправить подозрительные файлы в службу спасения от вирусов.
8. Раздел «Virus Info на веб-сайте» — данная опция позволяет нам получать свежую информацию — доступ к ресурсам для защиты от вирусов: Глобальной вирусной обсерватории, Вирусометру, утилитам для восстановления системы и т. д.
9. «Вирусная энциклопедия» — выбераем эту опцию для получения подробной информации о вирусах и прочих угрозах.
4. Техника безопасности
4.1 Требования безопасности перед началом работы
— Тщательно проветрить помещение с ВДТ и ПЭВМ и убедиться, что температура воздуха в кабинете находится в пределах 19−210С, относительная влажность воздуха в пределах 62−55%.
— Убедиться в наличии защитного заземления оборудования, а также защитных экранов видеотерминалов.
— Включить видеотерминалы и проверить стабильность и четкость изображения на экранах.
4.2 Требования безопасности во время работы
Пользователь ПЭВМ во время работы должен:
— выполнять только ту работу, которая ему была поручена и по которой он был проинструктирован;
— в течение всего рабочего дня содержать в порядке и чистоте рабочее место; держать открытыми все вентиляционные отверстия устройств; внешнее устройство «Мышь» применять только при наличии специального коврика; при необходимости прекращения работы на некоторое время, закрыть все активные задачи;
— отключать питание только в том случае, если пользователь ПЭВМ во время перерыва в работе на компьютере вынужден находиться в непосредственной близости от видеотерминала (менее 2 метров), в противном случае питание разрешается не отключать;
— выполнять санитарные нормы и соблюдать режимы труда и отдыха;
— соблюдать правила эксплуатации вычислительной техники в соответствии с инструкциями по эксплуатации;
— соблюдать установленные режимом рабочего времени регламентированные перерывы в работе и выполнять в физкультпаузах и физкультминутках рекомендованные упражнения для глаз, шеи, рук, туловища, ног;
— соблюдать расстояние от глаз до экрана дисплея в пределах 60−80см.
Пользователю ПЭВМ во время работы запрещается:
— обращать видеотерминал в сторону окна и допускать блики и отражение от стен; касаться одновременно экрана монитора и клавиатуры;
— прикасаться к задней панели системного блока (процессора) при включенном питании; переключать разъемы интерфейсных кабелей периферийных устройств при включенном питании;
— загромождать верхние панели устройств бумагами и посторонними предметами; допускать захламленность рабочего места бумагой в целях недопущения накапливания органической пыли;
— производить отключение питания во время выполнения активной задачи;
— производить частые переключения питания;
— допускать попадание влаги на поверхность системного блока (процессора) монитора, рабочую поверхность клавиатуры, дисководов, принтеров и других устройств;
— включать сильно охлажденное (принесенное с улицы в зимнее время) оборудование;
— производить самостоятельно вскрытие и ремонт оборудования;
— превышать величину количества обрабатываемых символов свыше 30 тысяч за 4 часа работы.
4.3 Требования безопасности в аварийны ситуациях
Пользователь ПЭВМ обязан:
— во всех случаях обнаружения обрыва проводов питания, неисправности заземления и других повреждений электрооборудования, появления запаха гари немедленно отключить питание и сообщить об аварийной ситуации руководителю и дежурному электромонтеру;
— при обнаружении человека, попавшего под напряжение, немедленно освободить его от действия электрического тока путем отключения электропитания и до прибытия врача оказать потерпевшему первую помощь;
— при любых случаях сбоя в работе технического оборудования, программного обеспечения немедленно вызвать представителя инженерно-технической службы эксплуатации вычислительной техники;
— в случае появления рези в глазах, резком ухудшении видимостиневозможности сфокусировать взгляд или навести его на резкость, появлении боли в пальцах и кистях рук, усилении сердцебиения немедленно покинуть рабочее место, сообщить о происшедшем руководителю работ и обратиться к врачу;
— при возгорании оборудования отключить питание и принять меры к тушению очага пожара при помощи углекислотного или порошкового огнетушителя, вызвать пожарную часть по телефону 01 и сообщить о происшествии руководителю работ.
4.4 Требования безопасности по окончании работы
По окончании работы пользователи ПЭВМ и ВДТ обязаны:
1. соблюдать следующую последовательность выключения вычислительной техники:
— произвести закрытие всех активных задач;
— выполнить парковку считывающей головки жесткого диска, если не предусмотрена автоматическая парковка головки;
— убедиться, что в дисководах нет дискет;
— выключить питание системного блока (процессора);
— выключить питание всех периферийных устройств;
— отключить блок питания.
2. осмотреть и привести в порядок рабочее место.
3. убрать посторонние предметы.
4. выполнить требования личной гигиены
5. обо всех нарушениях, выявленных при эксплуатации ВДТ и ПЭВМ сообщить руководителю подразделения.
5. Список литературы
1. Д. А. Козлов, А. А. Парандовский, А. К. Парандовский Энциклопедия компьютерных вирусов — «СОЛОН-Р» Москва, 2001 г.
2. Левин А. Ш. Самоучитель полезных программ. 4-е издание. — СПБ.: Питер, 2005.
3. Мостовой Д. Ю. Современные технологии борьбы с вирусами — Мир ПК. — № 8. — 2001 г.
4. Островский С. Компьютерные вирусы Информатика, январь 2002 г.
5. http://www.viruslist.com — Все угрозы