Компьютерные вирусы

Автор работы: Пользователь скрыл имя, 20 Декабря 2010 в 03:38, реферат

Описание

Раздел "компьютерные вирусы" в информационной прессе в настоящее время буквально пестрит разнообразными сообщениями о появлении новых разновидностей вирусных инфекций (в дальнейшем – просто "вирусы"). Но рядом с такими сообщениями всегда рисуется реклама средств активной и пассивной борьбы с вирусами, приводятся рекомендации по предохранению от заражения и леденящие душу описания последствий и симптомов "заболевания". Распространение компьютерных вирусов приобрело такие масштабы , что практически любому пользователю хоть раз в жизни пришлось столкнуться с вирусом на своем компьютере. Количество известных вирусов исчисляется тысячами (по подсчетам экспертов в настоящее время существует около 3 тысяч вирусов), а хакеры постоянно пишут новые, самоутверждаясь в

Содержание

I. Введение

II. Защита от компьютерных вирусов

а) Что такое компьютерный вирус ?

б) Испорченные и зараженные файлы :

1) Исполнимые файлы

2) Загрузчик операционной системы и главная загрузочная запись жесткого диска

3) Драйверы устройств

4) INTERNET-вирусы

4.1 Вложенные файлы.

4.2 Троянские программы.

4.3 HTML-вирусы.

4.4 Java-вирусы.

в) Вирусы, меняющие файловую систему

г) "Невидимые" и самомодифицирующиеся вирусы :

1) "Невидимые" вирусы

2) Самомодифицирующиеся вирусы

д) Что могут и чего не могут компьютерные вирусы

е) Основные методы защиты от компьютерных вирусов

ж) действия при заражении компьютерным вирусом

з) Лечение компьютера

и) Профилактика против заражения вирусом :

1) Копирование информации и разграничение доступа

2) Проверка поступающих извне данных

3) Подготовка "ремонтного набора"

4) Защита от загрузочных вирусов

5) Периодическая проверка на наличие вирусов

III. Заключение

IV. Список источников информации

а) литературные издания

б) компьютерные источники

Работа состоит из  1 файл

Р Е Ф Е Р А Т.docx

— 45.23 Кб (Скачать документ)

4.3 HTML-вирусы.

Вирусы  данного типа встречаются  редко, так что  информация о них представляет скорее "академический" интерес, нежели практический. Суть такова: на самой языке HTML, который используется для разметки гипертекстовых документов, никакие вирусы, конечно, написать нельзя. Но для создания динамических страниц, организации взаимодействия с пользователем и прочих действий используются программное вставки (скрипты) в HTML-документы. Известные HTML-вирусы используют скрипты, написанные на языке VISUAL BASIC. С их помощью находя HTM и HTML-файлы на локальной машине и записываются в них. Иногда такие вирусы как-нибудь проявляют себя (например, выводят сообщения). Малому распространению вирусов данного типа (равно как и малому их числу) способствует то, что при стандартных настройках браузера выполнение "опасных"(к таковым относятся и те, в которых происходит обращение к файлам локального компьютера) скриптов запрещено. Обычные же, "безопасности", скрипты не могут производить описанные манипуляции.

4.4 Java-вирусы.

В настоящее время  известны два вируса, написанные на языке JAVA. Опасности они практически не представляют. Кратко поясним, в чем суть. исполняемые модули программ, написанных на JAVA (CLASS-файлы), бывают двух типов: приложения и апплеты. Приложения выполняются под управлением интерпреатора и являются почти обычными программами (почти, ибо имеют все же некоторые ограничения, например, в области работы с памятью). Апплеты, в отличие от приложений, могут выполняться под управлением броузеров, но на них накладываются значительно более серьезные ограничения для обеспечения безопасности: апплеты в частности, не имеют почти никакого доступа к файловой системе компьютера (в отличии от случая со скритами, отключить данное ограничение в браузере невозможно). таким образом, JAVA-вирусы могут быть оформлены только как приложения и для подавляющего большинства пользователей опасности не предоставляют. Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только EXE файлы, некоторые - только COM , а большинство - и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко; обычно такие вирусы умеют заражать и исполнимые файлы.

  Вирусы, меняющие файловую систему.

В последнее время  получили распространение  вирусы нового типа вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие  вирусы прячут свое тело в некоторый  участок диска ( обычно - в последний кластер диска ) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех COM- и EXE-файлов содержащиеся в соответствующих элементах каталога указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки. Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностном просмотре зараженного диска на "чистом" компьютере также ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным). При анализе на "чистом" компьютере с помощью программ ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов ( "... cross linked on cluster..." ) и о цепочках потерянных кластеров ("... lost clusters found in...chains"). Не следует исправлять эти ошибки программами ChkDsk или NDD - при этом диск окажется совершенно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы ( например, последние версии Aidstest).

"Невидимые"  и самомодифицирующиеся  вирусы.

Чтобы предотвратить свое обнаружение, некоторые  вирусы применяют довольно хитрые приемы маскировки. Я расскажу о двух из них: "невидимых" (Stealth) и самомодифицирующихся вирусах:

"Невидимые"  вирусы.

Многие  резидентные вирусы (и  файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают  обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в загрузочных областях диска можно легко обнаружить. Замечу, что некоторые антивирусные программы могут все же обнаруживать "невидимые" вирусы даже на зараженном компьютере. Такие программы для этого выполняют чтение диска, не пользуясь услугами DOS (например, ADinf ). Некоторые антивирусные программы (например, AVSP) используют для борьбы с вирусами свойство "невидимых" файловых вирусов "вылечивать" зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем, уже после загрузки с "чистой" дискеты, исполнимые файлы восстанавливаются в исходном виде.

Самомодифицирующиеся  вирусы.

Другой  способ, применяемый  вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами. Однако программы-детекторы все же научились ловить "простые" самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления "незначащих" команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознования таких вирусов надежного решения пока не получила. Что могут и чего не могут компьютерные вирусы. У многих пользователей ЭВМ из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати создается своеобразный комплекс боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:

1. Склонность приписывать  любое повреждение  данных или необычное явление действию вирусов. Например, если у "вирусофоба" не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если на жестком диске появляется сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.

2. Преувеличенные представления  о возможностях  вирусов. Некоторые  пользователи думают, например, что достаточно  вставить в дисковод  зараженную дискету,  чтобы компьютер  заразился вирусом.  Распространено также  мнение, что для  компьютеров просто  стоящих в одной  комнате, заражение  одного компьютера  обязательно тут  же приводит к  заражению остальных. Лучшим "лекарством" от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами, и они не могут совершать никаких сверхъестественных действий. Для того чтобы компьютер заразился вирусом, необходимо, чтобы на нем хотя бы один раз была выполнена программа, содержащая вирус. Поэтому первичное заражение компьютера вирусом может произойти в одном из следующих случаев: на компьютере была выполнена зараженная программа типа COM или EXE или зараженный модуль оверлейной программы (типа OVR или OVL); компьютер загружался с дискеты, содержащей зараженный загрузочный сектор; на компьютере была установлена зараженная операционная система или зараженный драйвер устройства. Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если: на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации - это копирование зараженного файла: при этом его копия, разумеется, тоже будет "заражена", но ни компьютер, ни какие-то другие файлы заражены не будут;

Основные  методы защиты от компьютерных вирусов.

Для защиты от вирусов  можно использовать: общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей; профилактические меры, позволяющие уменьшить вероятность заражения вирусом; специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств: копирование информации - создание копий файлов и системных областей дисков; разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря  на то, что общие  средства защиты информации очень важны для  защиты от вирусов, все  же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов:

Программы-детекторы  позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Программы-доктора, или "фаги", "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом. Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояния с исходным. При выявлении несоответствий об этом сообщается пользователю. Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Следует учесть, что ни один тип антивирусных программ в отдельности не может полностью защитить от вирусов и поэтому советы типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут достаточными. Наилучшей стратегией защиты от вирусов является комплексная многоуровневая защита: Перед первым этапом следует разместить программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов; На первом этапе размещаются программы-фильтры, т.к. они первыми сообщат о работе вируса и предотвратят заражение программ и дисков; На втором этапе размещаются ревизоры и доктора: они позволяют обнаружить вирусы, "пробившиеся" через первый этап, а затем вылечить зараженные программы, но следует учитывать, что они не всегда лечат правильно и идеальным вариантом было бы иметь копию нужных программ в архивах на дискетах, защищенных от записи. Самый главный этап защиты - разграничение доступа, которое не позволяет проникшим вирусам и неверно работающим программам испортить важные данные.

Действия  при заражении  вирусом.

При заражении компьютера вирусом (или при  подозрении на это)важно соблюдать четыре правила:

1. Прежде всего не надо торопиться и принимать опрометчивых решений: опрометчивые действия могут привести не только к потере части файлов, которые можно было бы восстановить, но и к повторному заражению компьютера.

2. Тем не менее одно действие должно быть выполнено немедленно надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по  обнаружению последствий заражения и лечению компьютера следует выполнять только при перезагрузке компьютера с защищенной от записи "эталонной" дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищенных от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при перезагрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Если Вы не обладаете  достаточными знаниями  и опытом для  лечения компьютера, попросите помочь  Вам более опытных  коллег. Если Вы используете резидентную программу-фильтр для защиты от вируса, то наличие вируса в какой-либо программе можно обнаружить на самом раннем этапе, когда вирус не успел еще заразить другие программы и испортить какие-либо файлы. В этом случае следует перезагрузить DOS с дискеты и удалить зараженную программу, а затем переписать эту программу с эталонной дискеты или восстановить ее из архива. Для того, чтобы выяснить, не испортил ли вирус каких-то других файлов, следует запустить программу ревизор для проверки изменений в файлах, желательно с широким списком проверяемых файлов. Чтобы в процессе проверки не продолжать заражение компьютера, следует запускать исполнимый файл программы-ревизора, находящийся на дискете.

Лечение компьютера.

Рассмотрим  более сложный  случай, когда вирус  уже успел заразить или испортить какие-то файлы на дисках компьютера. При этом эксперты рекомендуют следующие действия:

1. Перезагрузить операционную  систему DOS с заранее  подготовленной эталонной  дискеты. Эта дискета,  как и другие  дискеты, используемые  при ликвидации  последствий заражения  компьютерным вирусом,  должна быть снабжена  наклейкой для  защиты от записи (пятидюймовые  дискеты) или открыта  защелка защиты  от записи (трёхдюймовые дискеты), чтобы вирус не мог заразить или испортить файлы на этих дискетах. Замечу, что перезагрузку не следует выполнять с помощью "Alt+Ctrl+Del", так как некоторые вирусы ухитряются "переживать" такую перезагрузку.

Информация о работе Компьютерные вирусы