Компьютерные вирусы и методы защиты от вирусов

Автор работы: Пользователь скрыл имя, 12 Апреля 2011 в 15:15, курсовая работа

Краткое описание

Сегодня невозможно встретить пользователя персонального компьютера, кото-рый не слышал бы о компьютерных вирусах. В Интернете такие вредоносные програм-мы существуют в огромном количестве.

Содержание работы

Введение ...................................................................................................................................3
Глава 1. Общие сведения о компьютерных вирусах и методах защиты от вирусов ........4
1.1 Понятие и классификация компьютерных вирусов ....................................................4
1.2 Методы защиты информации от вирусов ..................................................................19
Глава 2. Обзор современных программных средств, обеспечивающих безопасную рабо-ту компьютера ........................................................................................................................21
2.1 Антивирус Касперского 7.0 .........................................................................................21
2.2 Norton AntiVirus ............................................................................................................27
2.3 Dr. Weber ........................................................................................................................29
Выводы и предложения .........................................................................................................32
Список использованных источников

Содержимое работы - 1 файл

информатика курсовая.doc

— 1.25 Мб (Скачать файл)

     Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого  диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных  вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

     При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.

     Заражение дискет производится единственным известным  способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.

     При инфицировании диска вирус в  большинстве случаев переносит  оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Макровирусы 

     Многие  табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макроязыки для автоматизации выполнения повторяющихся действий. Эти макроязыки часто имеют сложную структуру и развитый набор команд. Макровирусы являются программами на макроязыках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.

     Наибольшее распространение получили макровирусы для Microsoft Office (Word, Excel и PowerPoint), хранящих информацию в формате OLE2 (Object Linking and Embedding). Вирусы в прочих приложениях достаточно редки.

     Физическое  расположение вируса внутри файла MS Office зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен — каждый файл-документ Word, Office97 или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. По причине такой сложности форматов файлов Word, Excel и Office97 представить расположение макро-вируса в файле можно лишь схематично:

     При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом MS Word, например, ищет и выполняет соответствующие «встроенные макросы» — при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т.д., если, конечно, таковые макросы определены.

     Существует  также несколько «автомакросов», автоматически вызываемых при различных  условиях. Например, при открытии документа MS Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы — AutoExit, при создании нового документа — AutoNew. Автоматически (т.е. без участия пользователя) выполняются также макросы/функции, ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. MS Word/Excel вызывают макрос/функцию при нажатии на какую-либо конкретную клавишу (или комбинацию клавиш) либо при достижении какого-либо момента времени.

     Макровирусы, поражающие файлы MS Office, как правило, пользуются одним из перечисленных выше приемов — в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление макровирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макровирусы самостоятельно ищут другие файлы на диске.

Троянские программы  

     Троянские программы различаются между  собой по тем действиям, которые  они производят на зараженном компьютере.

     Backdoor – троянские утилиты удалённого администрирования

     Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

     Единственная  особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

     Утилиты скрытого управления позволяют делать с компьютером все, что в них  заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

     Таким образом, троянские программы данного  типа являются одним из самых опасных  видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

     Отдельно  следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

     Trojan-PSW – воровство паролей

     Данное  семейство объединяет троянские  программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к Интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

     Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

     Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

     Trojan-Clicker – интернет-«кликеры»

     Семейство троянских программ, основная функция  которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

     У злоумышленника могут быть следующие цели для подобных действий:

  • Увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
  • Организация DoS-атаки (Denial of Service) на какой-либо сервер;
  • Привлечение потенциальных жертв для заражения вирусами или троянскими программами.

     Trojan-Downloader – доставка прочих вредоносных программ

     Троянские программы этого класса предназначены  для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных  систем. Загруженные из Интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

     Информация  об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы)

     Trojan-Dropper – инсталляторы прочих вредоносных программ

     Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

     Данные  троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

     Обычно  структура таких программ следующая:

     Основной код
     Файл 1
     Файл 2
     ...

     «Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).

     Обычно  один (или более) компонентов являются троянскими программами, и как минимум  один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.

     В результате использования программ данного класса хакеры достигают  двух целей:

  • Скрытная инсталляция троянских программ и/или вирусов;
  • Защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

     Trojan-Proxy – троянские прокси-серверы

     Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным  интернет-ресурсам. Обычно используются для рассылки спама.

     Trojan-Spy – шпионские программы

     Данные  троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

     Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

     Trojan-Notifier – оповещение об успешной атаке

     Троянцы данного типа предназначены для  сообщения своему «хозяину» о  зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

     Данные  троянские программы используются в многокомпонентных троянских  наборах для извещения своего «хозяина» об успешной инсталляции  троянских компонент в атакуемую систему.

     Trojan – прочие троянские программы

     К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

     В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику. 
 

     Rootkit – скрытие присутствия в системе

Информация о работе Компьютерные вирусы и методы защиты от вирусов