Компьютерные вирусы и средства защиты от них

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

"Чувашский государственный университет имени И.Н. Ульянова"

Факультет журналистики

Кафедра электронных средств массовой информации и рекламы

Курсовая работа на тему: Компьютерные вирусы и средства защиты от них

Выполнила: студентка Куприна Е.П.

Научный руководитель Филиппов В.И.

Чебоксары 2012

Содержание

Введение

Глава 1. Что такое компьютерный вирус

1.1 Классификация вирусов

1.2 Самые опасные вирусы

Глава 2. Основные меры по защите от вирусов

2.1 Специализированные программы для обнаружения и защиты от вирусов

2.2 Краткий обзор антивирусных программ

Заключение

Список использованной литературы

Введение

Компьютерные вирусы. На эту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний.

Актуальность данной курсовой работы очевидна: компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

Цели и задачи:

1) Дать понятие "компьютерные вирусы"

2) Изучить Интернет-ресурсы по данному вопросу

3) Узнать обо всех способах защиты компьютера от вирусов

Как пользователи, так и профессионалы-программисты часто не имеют даже навыков "самообороны". Литература, посвященная проблемам борьбы с вирусами, давно устарела.

Немногим лучше обстоят дела на Западе, где, и литературы больше, и вирусов меньше, и антивирусные компании ведут себя активнее.

У нас же, к сожалению, все это не совсем так. Поэтому будем разбираться, и о том, что такое компьютерные вирусы, и как с ними бороться пойдет речь далее.

Глава 1. Что такое компьютерный вирус

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной" Самые знаменитые компьютерные вирусы и черви//Информационный портал "BezvirusOff". - URL:http://www.ref.by/refs/34/7725/1.html (дата обращения: 20.12.2012). Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Вирус - это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в "полной изоляции". Это означает, что сегодня нельзя представить себе вирус, который не использовал бы код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления. Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

На заре компьютерной эры действие этих программ было направлено на поражение отдельных ПК, так как лишь небольшая часть компьютеров имела подключение к Сети. Но вычислительные технологии совершенствовались, росла роль Интернета в жизни людей и компьютеров, и создатели вирусов также вышли па новый плацдарм. Они получили возможность производить атаки через Всемирную паутину, причиняй гораздо больше вреда за меньший промежуток времени. Суммы ущерба, причиненного вирусами, росли как на дрожжах.

Обычным пользователям компьютерные вирусы могут показаться маленьким недоразумением или даже приключением, доставляющим всего лишь некоторые неудобства. Но если представить более широкую картину, то можно увидеть полностью парализованные после вирусной атаки компьютерные системы государственных учреждений, университетов и школ, предприятий и фирм.

Эти вирусы и черви распространяются быстрее, чем вирус гриппа. От чего, конечно, страдает современный бизнес, ведь он имеет очень высокую зависимость от компьютерных систем и сетей передачи данных в области производства, реализации товаров и предоставления услуг. Вирусная атака может привести к миллионам и даже миллиардам долларов убытков. Хотя не все вирусные компьютерные программы были разрушительными в глобальном масштабе, но все они так иди иначе вызвали значительный ущерб на том или ином этапе ИТ-технологии.

1.1 Классификация вирусов

Размещено на http://www.allbest.ru/

Зараженная программа - это программа, содержащая внедренную в нее программу-вирус

Вирусная атака - это процесс в результате, которого программное обеспечение уничтожается. САМОЕ СТРАШНОЕ FORMATC:

Программный вирус может вывести из строя и программное обеспечение. Тогда надо менять микросхему.

1. По среде обитания

Сетевые обитают в компьютерных сетях (передача по сетям) - электронные сообщения, СПАМ, рекламные изображения.

Электронный спам стал настоящим бедствием для Интернета. Спам - бесполезная информация (обычно реклама), рассылаемая большому числу абонентов электронной почты.

Загрузочные ("Бутовые") вирусы поражают не программные файлы, а определенные системные области магнитных носителей, загрузочную область, содержащую программу загрузки системного диска. Тогда вирус включается прямо в момент загрузки и берет под свой контроль все программы, включая ОС.

Драйверные - поражающие драйверы устройств.

Зараженный диск - это диск, в загрузочном секторе которого находится программа-вирус.

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные секторы дисков (вирус OneHalf).

Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов

Файловые(программные) вирусы внедряются в исполняемые модули, т.е. файлы с расширением COM, EXE. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление "хозяину" (хотя еще неизвестно, кто в такой ситуации хозяин).

Зараженная программа - это программа, содержащая внедренную в нее программу-вирус

2. По способу заражения среды обитания они делятся на:

Резидентные. При заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3. По степени воздействия вирусы можно разделить на:

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения

Неопасные, не мешающие работе компьютера, но уменьшающие объем свободной памяти на дисках, действия таких вирусов проявляются в графических или звуковых эффектах;

Опасные - могут привести к различным нарушениям в работе компьютера

Разрушительные (очень опасные)- их воздействие может привести к полному или частичному нарушению работы прикладных программ, уничтожению данных, стиранию информации в системных областях диска.

4. По алгоритмической особенности построения

- Простейшие вирусы - паразитические, изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены

- Вирусы невидимки (стелс-вирусы), трудно обнаружить и обезвредить, т.к. они перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

- Вирусы-мутанты, содержащие алгоритмы шифровки-дешифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Самовоспроизводясь, создают копии, которые явно отличаются от оригинала.

- Макровирус. Документы современного текстового или табличного процессора могут иметь собственные наборы макрокоманд - маленькие программки, которые запускаются при загрузке файла в редактор, выполняют некоторые полезные действия по оформлению документа. Вот сюда-то, в макрокоманды файла и может забраться макровирус, который испортит текст или таблицу.

- Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Необходимо иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, куда может внедриться вирус.

1.2 Самые опасные вирусы

THE RABBIT (конец 1960 - начало 1970)

На мейнфреймах этого времени периодически появлялись программы, которые получили название "кролик" (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего "кролики" не передавались от системы к системе и являлись сугубо местными явлениями - ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией "компьютерного вируса", произошел на системе Univax 1108. Вирус, получивший название "PERVADING ANIMAL", дописывал себя к выполняемым файлам - делал практически то же самое, что тысячи современных компьютерных вирусов.

THE CREEPER, (первая половина 1970)

Программа, написанная сотрудником компании BBN (Bolt Beranek and Newman) Бобом Томасом (Bob Thomas). Creeper обладала возможностью самоперемещения между серверами. Попадав на компьютер, она выводила на экран сообщение "I'M THE CREEPER... CATCH ME IF YOU CAN" ("Я Крипер... Поймай меня, если сможешь"). По своей сути, эта программа еще не являлась полноценным компьютерным вирусом. Никаких деструктивный действий, или действий шпионского характера, Creeper не выполнял. Позже другим сотрудником BBN Рэем Томлинсоном была написана программа Reaper, которая также самостоятельно перемещалась по сети и, при обнаружении Creeper, прекращала его действие.

ELK CLONER (1981)

Эпидемия загрузочного вируса на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне - переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.

BRAIN (1986)

Brain ("Мозг") был новым вирусом, удар которого был направлен на компьютеры под управлением популярной в то время операционной системы Microsoft MS-DOS. Вирус создали два брата из Пакистана. Басит Фарук Алви (Basil Farooq Alvi) и Амджад Фарук Алви (Amjad Farooq Alvi), и даже оставили в коде вируса номер телефона своей мастерской по ремонту компьютеров. Вирус Brain инфицировал загрузочный сектор 5-дюймовых дискет объемом 360 Кбайт. После заражения вирус постепенно заполнял все неиспользуемое пространство дискеты, делая невозможным дальнейшее ее использование. У вируса Brain есть еще одна пальма первенства - он был первым вирусом-невидимкой (stealth), прятал себя от любой возможности обнаружения и маскировал инфицированное пространство на диске. Из-за достаточно слабых деструктивных и разрушительных проявлений Brain часто оставался незамеченным, так как многие пользователи обращали мало внимания на замедление скорости работы флоппи-дисков.

CRISTMAS TREE, (1987).

В декабре произошла первая известная повальная эпидемия сетевого вируса написанного на языке REXX. Распространялся в операционной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем - в сеть IBM VNet. Через четыре дня вирус парализовал сеть - она была забита его копиями. При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG. История компьютерных вирусов и вредоносных программ//Яндекс-народ URL: http://zheno-palchewskij.narod.ru/istoriya_virusov/ . (дата обращения:20.12.2012)

MORRIS (1988)

Автор вируса - аспирант Корнельского университета Роберт Таппан Моррис (Robcri Tappan Morris). Примерно 6 тыс. компьютеров, подключенных к сети Интернет, были инфицированы данным вирусом. Кстати, отец Морриса был одним из главных экспертов правительства США по компьютерной безопасности, поэтому первые компьютеры - на которые проник не Моррис-папа, не Моррис-сын, по Morris-червь, были частью прабабушки Интернета, знаменитой сети Arpanet, а во Всемирную сеть вирус рвался через сети международных телефонных линий, кабели и спутниковые каналы связи, установленные пентагоном еще в 1969 г.

Позже Моррис утверждал, что червь был написан не для того, чтобы навредить, но чтобы оцепить размер Интернета. Поселившись в компьютере, он проверял наличие копии себя любимого и, если их не было, и он оказывался первым, засчитывал очередного " Интернет-жителя". В целях более тщательного учета и во избежание повторного счета в случае удаления не прошеной программы администраторами серверов, которые были не в курсе затеянной электронном переписи, Моррис предусмотрел в своей программе функцию регенерации. Но скорость самовоспроизведения оказалась слишком высока, компьютеры заражались, затем многократно самозаражались, и больше не могли работать. Это случилось непреднамеренно, однако привело к значительному ущербу.

CIH, ОН ЖЕ "ЧЕРНОБЫЛЬСКИЙ ВИРУС", ОН ЖЕ SPACEFILLER(1998)

Этот вирус остался одним из наиболее опасных и разрушительных, потому что был способен длительное время оставаться незамеченным в памяти компьютера, заражая ее запускаемые программы и приложения. Вирус CIH был выпущен в Сеть и впервые обнаружен в 1998. (однако пользователи познакомились с его действием в апреле 1999 г. в 13-ю годовщину аварии на Чернобыльской АЭС), инфицировал исполняемые файлы операционных систем Windows 95, 98 и ME.

Опасной особенностью этого вируса было то, что его активация привязывалась к конкретной дате, то есть, но сути, являлась миной замедленного действия. После установленной платы, вирус перезаписывал все файлы на жестком диске компьютера и полностью уничтожал его содержимое. Вирус также имел возможность модификации BIOS, после которой компьютер вообще переставал загружатьcя. Автором грозного вируса стал выпускник университета Тайваня Чем Инь Хау (Chen Ing Hau - CIH), который дал ему свое имя. Вирус также известен как Spacfillcr благодаря своей способности к незаметному заполнению всего свободного файлового пространства на жестких дисках компьютера, чтобы не допустить установки и запуска антивирусного программного обеспечении. Вирусная программа вызвала значительный ущерб в ряде азиатских (и не только) стран, парализовала тысячи компьютеров.

MELISSA (1999)

Червь "Мелисса" - впервые появился на сетевых просторах 2 марта 1999 г. как очередная вирусная программа для массовой рассылки спама. Первыми жертвами стали компьютерные сети таких крупных компаний, как Microsoft, Intel и др. которые использовали программу MS Outlook в качестве почтового клиента. Пришлось на какое-то время приостановить работу почтовых серверов по всему миру в целях предотвращения распространения вируса, ну и для того, чтобы удалить вирус из системы.

Распространялся он по электронной почте, в том числе в виде вложения файла в формате текстового процессора MS Word. Сразу после открытия файла вирус рассылал себя по электронной почте первым 50 адресатам из списка контактов MS Outlook. Он также переписывал файлы документов в зараженном компьютере, заменяя текст, на цитаты из популярного мультсериала "Симпсоны". Также червь "Мелисса" активно распространялся через новостную Usenet группу altsех. Создатель вируса Дэвид Л. Смит (David L Smith). Ущерб от последствий действия этого вируса оценивается к N0 млн долл. Суд Соединенных Штатов Америки приговорил Дэвид Смита к 20 месяцам лишения свободы.

ILOVEYOU, ОН ЖЕ LOVEBUG, ОН ЖЕ LOVELETTER-ВИРУС (2000)

Вирус ILOVEYOU многие считают самым разрушительным. Он распространялся по электронной почте в 2000г. в виде вложения в сообщения. Вирус загружал себя в оперативную память и инфицировал все исполняемые файлы.

Пользователю было достаточно открыть письмо, содержащее вложение и виде файла LOVE-LETTER-FOR-YOU.txt. vbs, - и компьютер заражался автоматически. Затем вирус распространялся по всему жесткому диску и заражал исполняемые файлы, графические файлы изображений, а также такие аудиофайлы, как MPS. После этого вирус рассылал себя по электронной почте по всем адресам из списка контактов MS Outlook. Вирус был написан филиппинским программистом, студентом колледжа, и "случайно" выпущен им на свободу. Он распространился по всему миру зa один день, заражая компьютеры сотрудников крупных корпорации и правительств, в том числе Пентагона. Эпидемия привела к 8.8 млрд долл. убытков. Основной фактический ущерб был причинен во время удаления инфекции из компьютеров, так как для этого пришлось приостановить работу почтовых серверов и даже компьютерных сетей.

CODE RED (2001)

Мир еще не оправился от шока, вызванного эпидемией вируса ILOVEYOU, когда в середине 2001 г. пришла новая напасть - Code Red. В отличие от других вирусов, разрушительное действие этого носителя вреда было направлено только против определенных компьютеров, на которых был установлен веб-сервер под управлением Microsoft IIS (Internet Information Server). Вирус использовал неизвестную на то время ошибку в программном обеспечении. Попав в компьютер, он изменял стартовую страницу основного веб-сайта, отображая сообщение: Welcome to http://www.worm.com! Hacked by Chinese! ("Добро пожаловать Haworm.com! Взломано китайцами!") После чего приступал к поиску других веб-сайтов под управлением этого сервера, делал аналогичные модификации. Примерно через две недели после начала заражения вирус был запрограммирован па запуск DDoS-атак (распределенный отказ в обслуживании) на конкретные веб-сайты, к лом числе сервер Белого дома. Ущерб от эпидемии Code Red оценивается в 2.6 млрд долл.

NIMDA (2001)

Вирус-червь Nimda обладатель приза за самое быстрое распространение: всего за 12 ч он успел поразить почти полмиллиона компьютеров. Это случилось 18 сентября 2001. Многие средства массовой информации немедленно связали появление нового вируса с недавней атакой террористов на Всемирный торговый центр и ошибочно приписали авторство "Аль-Кайде" . Вирус поражал пользователей компьютеров под управлением Windows 95, 98, M, NT или 2000 и серверы под Windows NT и 2000. Если прочитать название вируса задом наперед, то получится admin.

У этого червя было четыре способа распространении - через электронную почту (брешь в системе безопасности Iniemei Kxplorer, позволяющая автоматически запускать вложенный файл на исполнение), через общедоступные папки и ресурсы локальных сетей, уязвимость веб-серверов под управлением Microsoft IIS (Internet Information Server), через обычный браузер с уже инфицированные сайтов, а также через дыры, оставленные предшественниками - червями Code Red II и Saclmind IIS. После заражения вирус наделял пользователя "Гость" всеми привилегиями администратора системы и открывал все локальные диски компьютера на полный сетевой доспи. Считается, что создателем червя Nimda был студент университета в Сакраменто.

KLEZ (2001)

Klez - еще один вариант компьютерного червя, распространявшегося по Сети через электронную почту, впервые появился в конце 2001 г. Существует несколько разновидностей этого вируса. Klez заражал компьютеры под управлением ОС Microsofl Windows, используя брешь в системе безопасности Internet Explorer (движок Trident задействует такие почтовые программы, как Microsofl Outlook и Outlook Express, для отображения гипертекстового содержимого электронных писем).

Электронное письмо с вирусом, как правило, имело текстовую часть и не менее одного вложенного в письмо файла. Текстовая часть письма включала небольшой HTML-фрейм, который автоматически открывал и запускал файл. Жертве не нужно было даже открывать вложение - вирус все делал сам. Некоторые письма маскировались под корреспонденцию, якобы отправленную компанией Microsoft, а вложенный файл - под антивирус. Для рассылки вирус использовал адресные книги почтовых прочих программ MS Outlook, случайным образом вставлял найденные адреса в поля "Кому:" и "От кого:", значительно затрудняя поиск инфицированных компьютеров - определить источник инфекции можно было только по IP адресу, с которого пришло письмо, содержащее вирус. На инфицированном компьютере Klez старался заразить все исполняемые файлы, включая содержимое архивов, обнаруживал и успешно деактивировал антивирусное программное обеспечение. Каждое 14-е число четного месяца и каждое 6-е нечетного вирус перезаписывал все файлы на дисках пораженного компьютера случайным содержимым.

BLASTER (2003)

Вирус Blaster ("Взрыватель") является еще одним видом вирусных программ, которые распространяются не с помощью электронной почты, а через уязвимости в компьютерах под управлением операционных систем Windows 2000 и Windows ХР. Эта вирусная программа впервые была обнаружена в серенан на запуск DDoS-атаки на серверы Microsoft в апреле 2004 г., но к моменту широкого распространения вируса эта дата уже истекла. Код вируса содержал скрытое послание к основателю Microsoft Биллу Гейтсу следующего содержания: "Билл Гейтс, зачем Вы делаете это возможным? Хватит делать деньги, Ваше программное обеспечение!"

SOBIG.F (2003)

Пользователи компьютеров еще не оправились от ущерба, причиненного вирусом Blaster в 2003 г., когда появился Sobig.F, еще один массовый электронный почтальон. Ущерб от действия этого компьютерного вируса исчислялся миллиардами долларов. Вирус значительно затруднял или полностью блокировал работу Интернет-шлюзов и почтовых серверов. В результате сильное замедление скорости глобального доступа к сети Интернет ощутил на себе практически каждый пользователь. Вирус собирал адреса электронной почты из различных документов, обнаруженных на дисках зараженного компьютера, затем рассылал себя по этим адресам. В течение нескольких часов после начала вспышки эпидемии Sobig.F смог отправить более миллиона копий самого себя. В сентябре 2003 г. вирус сам прекратил активность, так как был на это запрограммирован, после чего перестал представлять угрозу.

SQL SLAMER, ОН ЖЕ HELKERN (2003)

Ущерб от действия вируса SQL Slammer был не самым серьезным в сравнении с его товарищами из группы вирусных программ, но достаточно заметным - убытки от эпидемии 2003 г. оцениваются в 1 млрд долл. Хотя, если учитывать очень компактным код червя (всего 376 байт), то каждый байт обошелся почти в 3 млн. Червь поражал сетевые маршрут и заторы, блокируя их нормальную работу. Целью его была уязвимость в программном обеспечении веб-серверов под управлением Microsoft SQL Server. Были инфицированы только компьютеры, па которых установлено это серверное программное обеспечение, но их блокировка вызвала замедление доступа в Интернет по всему миру. Всего за десять минут вирус смог заразить тысячи серверов в разных странах.

BAGLE (2004)

Bagle был еще одним вариантом классического вирусного ПС для массовой спам-рассылки, но значительно модернизированным. Впервые был обнаружен в 2004 г. привычно заражал компьютеры пользователей через вложение к электронному письму, также использовал электронную почту для распространения. В отличие от предыдущих спам-вирусов, Bugle не полагался на адресную книгу почтовой программы MS Outlook, чтобы составить список адресатов, по которому можно разослать себя же. Он собирал все адреса электронной почты из различных документов, хранящихся в файлах на зараженном компьютере - от обычных текстовых файлов до электронных таблиц MS Excel.

Особая опасность данного вируса состояла в том, что на пораженном компьютере он открывал черный ход, через который удаленный пользователь, вероятно, автор или группа хакеров, мог получить доступ и контроль над зараженным компьютером. Эта лазейка помогала загрузить дополнительные компоненты либо программу - шпион для кражи информации у пользователей или за-DoS-атаку на определенные сети. Хотя оригинальным вирус получил распространение после 2004 г., сегодня сотни вариантов и разновидностей этого вируса все еще имеют хождение по Сети.

SASSER (2004)

Написанный 17-летним немецким студентом в ноябре 2004 г. Sasser был еще одним компьютерным червем, поразившим тысячи компьютеров. Sasser не распространялся через электронную почту и не требовал вмешательства человека, чтобы заразить компьютер. Он использовал ту же дыру, что и Blaster. - проникал в компьютеры через уязвимость ОС Windows 2000 и Windows XP известную как RPC (Remote Procedure Call, удаленный вызов процедур). Sasser успешно инфицировал и вывел из строя тысячи компьютерных сетей всего за несколько дней. После заражения компьютера он был запрограммирован на подключение к сети Интернет для поиска других уязвимых машин, чтобы заразить их

MYDOOM (2004)

Скачкообразное возрастание Интернет-трафика из-за действия MyDoom сказалось даже на работе поисковика Google, хотя это был просто очередной вирус для массовой рассылки сообщений. Соответственно, основным способом его распространения стала, как и следовало ожидать, электронная почта. MyDoom также успешно расходился по сети Интернет через инфицированное программное обеспечение файлообменника КаZаА.

Первое его появление на Интернет-сцене состоялось в 2004, г., а результатом продолжительных "овации" инфицированных компьютеров стало 10%-ное замедление скорости передачи данных. Доступ к некоторым веб-сайтам был ограничен на 50%. После заражения почтовый червь просматривал все адресные книги и списки контактов на компьютере жертвы и рассылал себя по найденным адресам. Было отмечено, что в течение первых дней каждое десятое электронное письмо содержало в себе MyDoom. Остановить распространение удалось только через месяц.

CONFICKER, ОН ЖЕ DOWNUP, ОН ЖЕ DOWNADUP, ОН ЖЕ KIDO (2008)

Червь Conticker, атаковавший компьютеры под управлением операционной системы Microsoft Windows, впервые был обнаружен в '2008 г. Это была самая крупномасштабная эпидемия со времен распространения вируса SQL Slammer 2003 г. Для проникновения в компьютер Conflcker использовал некоторые уязвимости ОС Windows, а чтобы получить привилегии администратора, подбирал пароль админа по словарю и связывал пораженные компьютеры в единую локальную сеть, готовую выполнять любые команды и задачи, поставленные создателем вируса, - ботнет. Эта сеть насчитывала более 8 млн. компьютеров в 200 странах мира. Противостоять заражению было чрезвычайно трудно, так как вирус использовал целый ряд новейших технологий для распространения и внедрения вирусного программного обеспечения. Первый вариант червя начал поражение компьютеров в ноябре 2008 г. благодаря известной уязвимости сетевой службы на машинах под управлением Windows 2000, Windows ХP, Windows Vista, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 Beta. Даже свежайшая на то время операционка Windows 7 имела аналогичную уязвимость, от массового заражения ее спас запоздалый выход на широкую публику в январе 2009 г. Хотя Microsoft и выпустила соответствующий набор исправлений еще 23 октября 2008 г.. установить патч на все компьютеры просто не успевали. Приблизительно 30% всех персоналок под управлением ОС Windows являлись носителем вируса до января 2009 г.DVik Самые знаменитые компьютерные вирусы и черви //Интернет-форум "BezvirusOff". URL:http://bezvirusoff.ru/article/118-samye-znamentitye-kompyuternye-virusy-i-chervi.html (дата обращения: 20.12.2012)

STUXNET (2010)

Червь STUXNET является одним из самых ярких примеров кибервойн. Этот червь, разрабатывался специально для атак на атомные электростанции. Он смог инфицировать атомную электростанцию вблизи города Бушер (Иран), и это было подтверждено иранскими властями. В то же время на свет появился еще один червь под кодовым названием

HERE YOU HAVE(2010)

("Здесь у вас…"), он был распространен с помощью старых методов и был создан организацией террористов под названием "Brigades of Tariq ibn Ziyad". Если верить имеющимся данным, то данная группировка имела цель напомнить жителям США о терактах 11-ого сентября 2001 года и призвать их к уважению Ислама.

ОПЕРАЦИЯ "АВРОРА"(2010)

Это еще один яркий пример кибервойны. Цель данной атаки были работники известных крупных транснациональных корпораций. Инфицированы были их рабочие компьютеры, а именно Трояном, способным получить доступ ко всей информации, которая являлась конфиденциальной.

Кроме информации о серьёзных недоработках в системе безопасности Mac и Windows, в ежегодном отчёте безопасности за 2010 год была затронута проблема, связанная с безопасностью популярных социальных сетей. Среди наиболее пострадавших имеются такие сайты, как Twitter и Facebook. Также, мы успели пронаблюдать атаки и на другие сайты, например, Fotolog или Linkedln. Компьютерные вирусы 2010 года - итоги //Программирование и создание сайтов URL: http://www.sd-company.su/news/832 (дата обращения: 20.12.2012)

EXPLOIT.CPLLNK.GEN (2011)

Этот эксплойт использует ошибки при проверке файлов с расширением.Ink and .pif (ярлыки) во время Windows shortcuts. Он был известен, как CVE-2010-2568, с середины 2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вирусный код загружается автоматически. Этот код также же может быть загружен из локальной системы файлов (например, со съемных носителей, которые также содержат ярлыки) или из Интернета используя возможности WebDAV.

TROJAN.WIMAD.GEN.1.(2011)

Этот троянец выдает себя за обычный.wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь запустит такой файл, злоумышленник получит возможность установить в систему любую вирусную программу. Инфицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети.

WORM.AUTORUN.VHG. (2011)

Червь, распространяющийся в ОС Windows с помощью функции autorun.inf. Он использует сменный носитель информации (например, USB-флешка или внешний жесткий диск). Worm.Autorun.VHG является сетевым и Интернет-червем и использует уязвимость Windows CVE-2008-4250.

GEN:VARIANT.ADWARE.HOTBAR.(2011)

Данный поддельный антивирус устанавливается преимущественно незаметно для пользователей как часть бесплатного пакета программного обеспечения, такого как VLC, XviD или подобного, которые загружаются не производителем, а из других источников. Подозрительными спонсорами этого актуального ПО являются 'Clickpotato' и 'Hotbar'. Все пакеты "Pinball Corporation" имеют цифровой номер и запускаются автоматически при каждом запуске Windows и обозначаются в виде иконки в трее.

WIN32.RAMNIT.N. WIN32.RAMNIT.N (2011)

Классический сетевой червь, который инфицирует исполняемые файлы (.exe), динамические библиотеки (.dll) и сохраненные на жестком диске HTML-файлы. После запуска инфицированного.exe-файла, загрузки инфицированного.dll-файла, производится копирование на компьютер жертвы еще одного.exe файла. Одновременно создается строка автозапуска для активации инфицированного файла при каждой перезагрузке или включении компьютера. Сетевой полиморфный червь устанавливает подключение по протоколам http или https к собственным серверам. Протокол в этом случае отличается от стандартного. Червь регулярно проверяет каждую локальную папку на жестком диске и инфицирует дроппером некоторые, если не все exe, dll и HTML-файлы. Этот дроппер копирует такой же файловый инфектор, как и оригинальный инфицированный файл. К инфицированным HTML-файлам добавляется VB-Skript, копирующий тело червя.

JAVA.TROJAN.EXPLOIT.BYTVERIFY.N.(2011)

Эта программа использует уязвимость в Java Bytecode Verifier и размещается в модифицированных Java-апплетах на веб-страницах. Использование этих уязвимостей может обеспечить выполнение вирусного кода, который, например, загрузит троянскую программу. Так злоумышленник может получить контроль над системой своей жертвы.

JAVA.TROJAN.DOWNLOADER.OPENCONNECTION.AI. (2011)

Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запускает его. Эти файлы могут содержать любые вирусные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средства безопасности Java (Java-Sandbox) и получить права на локальную запись данных.Эстерле Е. Топ-10 вредоносных программ июля-августа 2011//Информационный сайт "Chip.Ua".

URL: http://www.chip.ua/novosti/bezopasnost/2011/08/top-10-vredonosnyh-programm-iyulya-avgusta-2011 . (дата обращения 20.12.2012)

Глава 2. Основные меры по защите от вирусов

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов.

Для защиты от вирусов можно использовать:

џ общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

џ профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

џ специализированные программы для защиты от вирусов.

К общим средствам, помогающим предотвратить заражение вирусами и его разрушительных последствий относят:

џ резервное копирование информации (создание копий файлов и системных областей жестких дисков);

џ перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;

џ разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

В комплекс профилактических мер борьбы с вирусами входят:

џ оснащение компьютера эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ;

џ использование только лицензионных дистрибутивных копий программных продуктов;

џ осуществление входного контроля нового программного обеспечения;

џ проверка файлов в архивированном виде сразу после разархивации;

џ осуществление входного контроля всех файлов, получаемых из компьютерных сетей.

џ периодическая проверка на наличие вирусов жестких дисков компьютера с тестированием файлов, памяти и системных областей;

џ обязательная проверка электронных писем, к которым приложены исполняемые файлы или RAR или ZIP-архивы;

џ при установке большого программного продукта необходимо вначале проверить все дистрибутивные файлы, а после инсталляции продукта повторно произвести контроль наличия вирусов;

џ не сообщайте адрес своей электронной почты кому попало. Если вы часто регистрируетесь на различных сайтах, общаетесь на форумах, то для таких случаев лучше предусмотреть отдельный почтовый ящик;

џ откажитесь от посещения сайтов, содержащих сомнительные видеоролики, ворованные программы, бесплатную музыку и фильмы.

2.1 Специализированные программы для обнаружения и защиты от вирусов

Полностью отсечь вирусы с вашего компьютера вряд ли удастся, разве что вы отключите дисководы, перестанете работать в Интернете и будете пользоваться только легальным программным обеспечением. А еще лучше вообще не включайте питание, так как возможно, что вирус уже зашит в ПЗУ. Но в современных условиях все эти советы выглядят либо утопией, либо издевательством. Остается один способ - установить на компьютере специальные утилиты - программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим - даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. В таком случае всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться - что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение "чистоты" компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов "на лету" (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в "чистом" файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

Различают следующие виды антивирусных программ:

џ программы-детекторы;

џ программы-доктора или фаги;

џ программы-ревизоры;

џ программы-фильтры;

џ программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Недостатком программ-детекторов является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и лечат их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться

џ попытки коррекции файлов с расширениями COM, EXE;

џ изменение атрибутов файла;

џ прямая запись на диск по абсолютному адресу;

џ запись в загрузочные сектора диска;

џ загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их назойливость (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, лечащие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Недостатки антивирусных программ:

џ Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов.

џ Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на маломощных компьютерах.

џ Антивирусные программы могут видеть угрозу там, где ее нет (ложные срабатывания).

џ Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.

џ Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми, антивирусным программным обеспечением. Для обнаружения этих "замаскированных" вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

2.2 Краткий обзор антивирусных программ

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся на воле. На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.

На сегодняшний день перечень доступных антивирусных программ весьма обширен. Они различаются как по цене (от весьма дорогих до абсолютно бесплатных), так и по своим функциональным возможностям. Наиболее мощные (и, как правило, наиболее дорогие) антивирусные программы представляют собой на самом деле пакеты специализированных утилит, способных при совместном их использовании поставить заслон практически любому виду зловредных программ.

Вот типовой перечень тех функций, которые способны выполнять такие антивирусные пакеты:

џ сканирование памяти и содержимого дисков по расписанию;

џ сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;

џ выборочное сканирование файлов с измененными атрибутами;

џ распознавание поведения, характерного для компьютерных вирусов;

џ блокировка и/или удаление выявленных вирусов;

џ восстановление зараженных информационных объектов;

џ принудительная проверка подключенных к корпоративной сети компьютеров;

џ удаленное обновление антивирусного программного обеспечения и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам через Интернет;

џ фильтрация трафика Интернета на предмет выявления вирусов в передаваемых программах и документах;

џ выявление потенциально опасных Java-апплетов и модулей ActiveX;

џ ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.

Таким образом, в настройках антивируса устанавливаем проверку оперативной памяти и всех без исключения файлов на любых доступных дисках. Обязательно включаем функцию лечения зараженных данных и ведение подробного отчета по инфицированным файлам, чтобы после сканирования составить наиболее достоверную картину о состоянии компьютера. С объектами, которые антивирус не одолел, расправляемся вручную согласно инструкциям, доступным на веб-сайте любого производителя антивирусных продуктов.

На российском рынке антивирусного программного обеспечения наиболее востребованы программные продукты следующих фирм: Symantec (США), ЗАО "ДиалогНаука", ЗАО "лаборатория Касперского (обе Россия), ESET (Словакия), Panda Software (Испания).

Norton AntiVirus (Symantec).

Один из наиболее известных и популярных антивирусов, отлично зарекомендовал себя у пользователей по всему миру. В программе используется технология SONAR. позволяющая в режиме реального времени распознавать новые неизвестные вирусы. Данный антивирус не позволяет рассылать зараженные письма, автоматически распознает и блокирует вирусы, программы-шпионы и троянские компоненты, обнаруживает угрозы, скрытые в операционной системе, проверяет загружаемые файлы, выполняет функции просмотра электронной почты и защиты от интернет-червей.

Мастер по борьбе с вирусами выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий.

Антивирусные базы обновляются очень часто (иногда обновления появляются несколько раз в неделю). Имеется резидентный монитор.

Антивирус Dr.Web (ЗАО "ДиалогНаука")

Dr.Web - одна из самых известных и популярных отечественных антивирусных программ. вирус компьютер программа

Имеет эвристический анализатор, позволяющий с большой долей вероятности обнаруживать неизвестные вирусы. При проверке какой-либо программы анализатор эмулирует ее исполнение и протоколирует все ее "подозрительные" действия, например, открытие или запись в файл, перехват векторов прерываний и т.д. На основе этого протокола принимается решение о возможном заражении программы вирусом.

Таким образом, с помощью эвристического анализатора кода обнаруживаются до 92% новых вирусов. Этот механизм достаточно эффективен и очень редко приводит к ложным срабатываниям. Файлы, в которых эвристический анализатор обнаружил подозрение на вирус, называют возможно зараженными или подозрительными.

Dr.Web допускает автоматическую загрузку из Интернета новых баз данных вирусов и автообновление самой программы, что позволяет оперативно реагировать на появление новых вирусов. Передовые технологии Dr.Web позволяют организовать надежную антивирусную защиту, как в рамках крупных корпоративных сетей, так и на домашнем компьютере или в домашнем офисе. Антивирусные программы Dr.Web могут быть использованы практически под всеми популярными операционными системами.

Антивирусные программы Dr.Web отличаются от аналогичных решений других производителей исключительной нетребовательностью к ресурсам компьютера, компактностью, быстротой работы и надежностью в детектировании всех видов вредоносных программ.

Антивирус Касперского (ЗАО "Лаборатория Касперского")

Антивирус Касперского - одна из популярнейших и наиболее качественных антивирусных программ. За счет специального алгоритма работы у нее очень высокий процент определения вирусов, в том числе и еще не известных. Антивирус Касперского умеет проверять на вирусы почтовые базы данных и получаемые письма вместе с приложениями к ним, очень хорошо определяет макровирусы, внедренные в документы Microsoft Office, а также проверяет наиболее популярные форматы архивов.

Основные функции:

џ Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор.

џ Защита от вирусов, троянских программ и червей.

џ Защита от шпионского и рекламного ПО.

џ Проверка файлов, почты и интернет-трафика в режиме реального времени.

џ Защита от вирусов при работе с ICQ.

џ Защита от всех типов клавиатурных шпионов.

џ возможность проверки архивов, даже вложенных. Следует отметить, что эта возможность является почти уникальной. Последняя версия программы может проверять содержимое архивов ZIP, ARJ, RAR. При проверке архивов, защищенных паролем, программа запрашивает этот пароль у пользователя.

...