Компьютерные вирусы и борьба с ними

Автор работы: Пользователь скрыл имя, 05 Июня 2013 в 15:58, реферат

Краткое описание

Пользователи должны соблюдать ряд правил, которые должны помочь антивирусам эффективно выполнять свою работу.
К таким правилам относятся:
- не стоит скачивать с интернета сомнительные файлы, а если это невозможно, то после скачки необходимо проверить их антивирусом;
- нельзя посещать неизвестные сайты;
- не надо открывать почтовые письма от неизвестных вам людей;
- при использовании различных накопотилей информации, их следует также проверять антивирусом;
Соблюдение этих простых правил должно обезопасить компьютеры от вредоносных программ. Также не стоит забывать о своевременном обновлении антивирусов.

Содержание работы

Введение……………………………………………………………….3
1. История возникновения компьютерных вирусов…………….4
2. Компьютерные вирусы………………………………………....6
3. Каналы распространения………………………………………10
4. Назначение и характеристики антивирусных программ….....12
5. Методы обнаружения вирусов ………………………………..17
6. Рекомендации по защите от компьютерных вирусов………..20
Заключение…………………………………………………………….21
Список литературы……………………………………………………22

Содержимое работы - 1 файл

Документ Microsoft Office Word (2).docx

— 130.72 Кб (Скачать файл)

Черви — вид вирусов, которые  проникают на компьютер-жертву без  участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки  в программном обеспечении, которые  позволяют удаленно загрузить и  выполнить машинный код, в результате чего вирус-червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров  через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DoS-атак.

 

4. Назначение и характеристики антивирусных программ

 

Борьба с компьютерными  вирусами осуществляется с помощью  антивирусных программ, которые в настоящее время должны обладать весьма значительным запасом "прочности" против различных ухищрений создателей компьютерных вирусов. Изначально самым распространенным способом обнаружения компьютерных вирусов был "поиск по маске", т.е. выявление в файлах специфичной для каждого вируса последовательности символов. Со временем эти последовательности стали объединять в специализированные антивирусные базы, которые стали неотъемлемым атрибутом современных антивирусных программ. Чем больше набор подобных шаблонов в базе антивирусной программы, тем с большим количеством вирусов она способна бороться.

Большая антивирусная база - залог удачного восстановления зараженного объекта в первоначальном виде. При этом необходимы индивидуальный подход к каждому вирусу и его тщательный анализ. Разные вирусы используют одинаковые методы заражения объектов, но не следует забывать и о том, что каждый вирус индивидуален, даже если это вирусы одного семейства.

Говоря о тенденциях увеличения числа компьютерных вирусов, нельзя не сказать о том, что все чаще встречаются сложные вирусы, не только способные обходить традиционную защиту и использовать свои механизмы заражения  и маскировки, но и направленные против конкретных антивирусных средств.

К отличительным особенностям современных антивирусных программ можно добавить еще две: мощный эвристический механизм для борьбы с еще неизвестными программе вирусами и механизм для борьбы с самошифрующимися вирусами. Не вдаваясь в подробности работы этих сложных программных механизмов, отметим, что по характерным для вирусов участкам кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Тесты независимых изданий (например, английский журнал "Virus Bulletin") и большой опыт работы с пользователями во всем мире позволяют утверждать, что в 80 случаях из 100, когда объект заражен неизвестным вирусом, программа выдаст подозрение о заражении объекта. Эвристический механизм позволяет предполагать (прогнозировать) наличие вируса, маска которого на данный момент отсутствует в базе антивирусной программы. Встраивание эвристического механизма в антивирусные программы позволяет расширить их возможности, поскольку дает возможность вести борьбу с пока еще "неизвестными" вирусами. Любой механизм, работающий по эвристическому принципу, может давать ложные срабатывания. Однако, как показал продолжительный опыт работы, их процент незначителен, и в любом случае в таких вопросах лучше немного перестраховаться.

Характерной особенностью так  называемых полиморфных вирусов является способность к существенной мутации своего кода, из-за чего некоторые программы (типа Aidstest, весьма популярной в свое время) принципиально не в состоянии обезвредить такие вирусы. Для борьбы с полиморфными вирусами антивирусы нового поколения используют встроенный эмулятор процессора, благодаря которому опознают вирусы под различными шифровщиками и упаковщиками, а с помощью блока эвристического анализа обнаруживают и многие (свыше 80%) неизвестные вирусы. Эмулятор процессора создает имитацию продолжительной работы компьютерных программ, что провоцирует полиморфные вирусы к мутации и, следовательно, к изменению программ.

Отличительными особенностями  современных антивирусных программ являются заложенные в них новые  возможности:

• проверка архивных и упакованных файлов;

• избыточное сканирование, при котором в поисках вируса объект "разбирается" по байтам и проводится тщательный анализ возможности выполнения деструктивного действия. Это несколько замедляет процесс сканирования, однако повышает надежность обнаружения и удаления вирусных тел из файлов компьютера;

• наличие вирусной энциклопедии с детальным описанием вирусов, которые могут обнаруживаться конкретной программой.

В России антивирусные программы  активно разрабатывают сле­дующие фирмы:

• ЗАО "Лаборатория Касперского" (раньше называлась КАМИ), где идеологом  развития средств борьбы с вирусами с самого начала является Е.В. Касперский;

• "Диалог-Наука", в  которой раньше основным разработчиком  был Д.Н. Лозинский, а затем коллектив  пополнился И.А. Даниловым, благодаря  которому появилась "Лаборатория  Данилова".

Помимо антивирусных программ отечественного производства в нашей  стране достаточно широко используются разработки таких зарубежных компаний, как Symantec, McAfee, Elashim, Avil Software, S&S International, Sophos.

Антивирусные программы  можно классифицировать по различным признакам (рис. 2.1).

       

Рис. 2.1. Классификация антивирусных программ

По характеру  действия антивирусные программы подразделяются на следующие виды: полифаги, ревизоры, вакцины.

Полифаги предназначены для выявления вирусов и излечения от них файлов. К полифагам относятся AidsTest (Д.Н. Лозинский), DrWeb (И.А. Данилов), AVP (Е.В. Касперский), NAV (Symantec).

Ревизоры (иногда встречается название "CRC-сканеры") служат для информирования пользователя обо всех изменениях в структуре и содержании файлов с момента последней проверки компьютера. Как правило, подобные программы включаются в состав стартового пакета и проводят проверку изменений в файловой системе компьютера по сравнению с предыдущим включением. Программы этой категории не тестируют файлы на предмет наличия в них вирусов и не удаляют вирусы из файлов, их задача - только констатация всех изменений, которые выводятся в виде таблицы. Решать, что явилось причиной изменений, - задача пользователя.

Примером программы-ревизора является ADINF, созданная в свое время Д.Н. Лозинским.

Вакцины (другое название - иммунизаторы) предназначены для защиты файлов от заражения, как правило, определенным вирусом. Так, например, корпорация Microsoft создала иммунизирующую программу, предотвращающую заражение операционных систем вирусом W32.Blaster. Worm.

По способу  проверки антивирусные программы классифицируются на две категории:

• программы принудительного запуска. Для поиска и устранения вирусов такие программы (AidsTest, DrWeb for DOS) необходимо запускать специально. Несмотря на возможность многих антивирусных программ вести мониторинг на предмет отсутствия вирусов, иногда ими пользуются в режиме принудительного запуска для проверки отдельных носителей информации (дискет, дисков);

• программы, осуществляющие постоянное наблюдение за вирусной обстановкой. Такие программы (AVP, DrWeb for Windows, NAV), будучи запущены резидентно, ведут постоянный мониторинг на предмет отсутствия вирусов. В зависимости от установленных параметров при возникновении опасной ситуации программы проводят необходимые действия или формируют сообщение пользователю. Следящие программы наблюдают за появлением вирусов и удаляют вирусные тела из файлов без прерывания обычной работы компьютера.

По способу настройки программы можно объединить в две группы:

• пакетные (AidsTest, Cleaner), параметры работы которых задаются в командной строке при запуске программы;

• программы-оболочки (подавляющее  большинство современных программ для Windows), имеющие развитый интерфейс. Настройка параметров работы проводится в специальном режиме установки параметров.

 

        1. Методы обнаружения вирусов

 

 Обнаружение, основанное  на сигнатурах - метод, когда антивирусная  программа, просматривая файл, обращается  к антивирусным базам, которые  составлены производителем программы-антивируса. В случае соответствия, какого  либо участка кода просматриваемой  программы известному коду (сигнатуре)  вируса в базах, программа-антивирус  может по запросу выполнить  одно из следующих действий:

1.                 Удалить инфицированный файл.

2.                 Заблокировать доступ к инфицированному  файлу.

3.                 Отправить файл в карантин (то  есть сделать его недоступным  для выполнения с целью недопущения  дальнейшего распространения вируса).

4.                 Попытаться «вылечить» файл, удалив  тело вируса из файла.

5.                 В случае невозможности лечения/удаления, выполнить эту процедуру при  следующей перезагрузке операционной  системы.

Для того чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о  новых вирусах. Если бдительные и  имеющие склонность к технике  пользователи определят вирус по горячим следам, они могут послать  зараженные файлы разработчикам  антивирусной программы, а те затем  добавляют информацию о новых  вирусах в свои базы.

Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает  или посылает файлы по почте. Таким  образом,

Обнаружение аномалий –  метод, при котором антивирусы, использующие метод обнаружения подозрительного  поведения программ не пытаются идентифицировать известные вирусы, вместо этого они  прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.

В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: проактивная  защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).

В отличие от метода поиска соответствия определению вируса в  антивирусных базах, метод обнаружения  подозрительного поведения даёт защиту от новых вирусов, которых  ещё нет в антивирусных базах. Однако следует учитывать, что программы  или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах  работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как  стало появляться всё больше не вредоносных  программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных  предупреждений. Несмотря на наличие  большого количества предупреждающих  диалогов, в современном антивирусном программном обеспечении этот метод  используется всё больше и больше.

Обнаружение, основанное на эмуляции – метод, при котором  некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы, перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет  себя как вирус (то есть, например, немедленно начинает искать другие .EXE-файлы), такая  программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим  количеством ошибочных предупреждений.

Метод «Белого списка» - общая  технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Практически все современные  антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко  используется совместно с сигнатурным  сканированием для поиска сложных  шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет  обнаруживать ранее неизвестные  инфекции, однако, лечение в таких  случаях практически всегда оказывается  невозможным. В таком случае, как  правило, требуется дополнительное обновление антивирусных баз для  получения последних сигнатур и  алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном  вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ. 

        1. Рекомендации по защите от компьютерных вирусов

 

Панацеи от компьютерных вирусов не существует и существовать не может. Совершенствуется компьютерное оборудование, развиваются информационные технологии. К сожалению, вирусные разработчики постоянно повышают свое мастерство, создавая все более сложные и опасные вирусы. Однако соблюдение следующих рекомендаций по крайней мере снизит вероятность тяжелых последствий, которые могут вызвать их творения.

В целях защиты компьютеров  от заражения вирусами рекомендуется:

• оснастить свой компьютер современными антивирусными программами (например, DrWeb, AVP, McAfee, NAV или другими) и постоянно обновлять их версии;

• регулярно создавать  резервные копии важных файлов и системных областей жестких дисков;

Информация о работе Компьютерные вирусы и борьба с ними