Недостатком является большое количество похожих троянских программ, имеющих схожие сигнатуры. По этой причине необходимо разработать шаблон, который вносится в базу данных и затем используется в качестве основы для поиска нежелательного программного обеспечения. Это иногда приводит к ложным предупреждениям антивируса, что может раздражать.
Лекция 13. Вирусы и антивирусные программы
Программа, содержащая вирус, называется зараженной программой. Когда зараженная программа начинает работать, вирус первым делом берет управление на себя. Вирус заражает другие программы, а также выполняет запланированные разрушительные действия. Вирус не всегда активируется для сокрытия, а только при выполнении определенных условий (время, действие). Как только вирус выполняет желаемое действие, он передает управление программе, в которой находится.
Как и настоящие вирусы, компьютерные вирусы прячутся, размножаются и ищут возможности для распространения на другие компьютеры.
13.2 Какой вред наносят вирусы
Различные вирусы выполняют разные разрушительные действия:
Главная опасность самовоспроизводящегося кода заключается в том, что вирусные программы развивают собственную жизнь, практически не поддающуюся контролю программиста. Подобно цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.
13.3 На что указывает вирусная инфекция?
Основные симптомы заражения компьютерным вирусом следующие:
13.4.Какие бывают вирусы
Существует большое количество различных категорий вирусов:
- Сетевые вирусы, которые распространяются из различных компьютерных сетей,
- Файловые вирусы — заражают исполняемые файлы с расширениями exe и com. Макровирусы, которые пишутся с помощью макросов, также относятся к этой категории. Они заражают неисполняемые файлы (Word, Excel),
- Загрузочные вирусы вставляются в загрузочный сектор жесткого диска или в сектор, содержащий загрузчик системного жесткого диска. Некоторые вирусы вставляют себя в свободные сектора жесткого диска и помечают их как неисправные в таблице FAT,
- boot-файл — включает в себя характеристики двух последних групп,
- Стойкий вирус можно логически разделить на две части — инсталлятор и стойкую сущность. Когда зараженная программа запускается, программа установки берет управление на себя и выполняет следующие действия
- помещает постоянный блок вируса в оперативную память и выполняет необходимые операции для его постоянного хранения там,
- заменяет некоторые обработчики прерываний, позволяя резидентному модулю брать управление на себя при возникновении определенных событий.
- Harmless — аудио- и видеоэффекты,
- опасно — уничтожает некоторые файлы на диске,
- очень опасно — форматирует жесткий диск,
- сопутствующие вирусы не изменяют файлы. Алгоритм их работы заключается в том, что они создают новые файлы-компаньоны (копии) для файлов exe, имеющих одинаковое имя, но расширение com (сначала обнаруживается файл com, а затем вирус запускает файл exe),
- паразитические — при распространении своих копий они неизбежно изменяют содержимое секторов или файлов на жестком диске (все вирусы, кроме компаньонов и червей),
- черви (репликаторы) — как и вирусы-компаньоны, они не изменяют файлы или сектора на жестком диске. Они могут проникнуть в компьютер через сеть, узнать сетевые адреса других компьютеров и отправить копии на эти адреса. Черви снижают пропускную способность сети и замедляют работу серверов,
- Стелсы — используют ряд инструментов, чтобы скрыть свое присутствие на компьютере. Их трудно обнаружить, поскольку они перехватывают вызовы операционной системы к зараженным файлам или секторам и перезаписывают незараженные части файлов,
- полиморфные (призраки, мутанты) — они по-разному кодируют свои тела. Их трудно обнаружить, поскольку их копии не содержат практически идентичных фрагментов кода,
- Троянское программное обеспечение — маскируется под полезную или интересную программу, а во время выполнения выполняет деструктивные задачи или собирает непубличную информацию на компьютере. В отличие от вирусов, троянские кони не обладают свойством самовоспроизведения.
Открытый урок
Мастер Чепурной С.В.
Методология: Продемонстрировать эффективность использования компьютерных технологий при изучении предмета.
Образование: Дать знания о типах компьютерных вирусов, методах их распространения, антивирусных программах и их практическом применении.
Развитие: Развитие умения писать конспект, умения пользоваться компьютером, познавательной активности учащихся, коммуникативных навыков.
Воспитание: развитие чувства ответственности, самостоятельности в принятии решений, терпимости, многоязычия и согласия.
Необходимые знания:
Определение компьютерного вируса,
Классификация компьютерных вирусов,
Определение термина «антивирусное программное обеспечение»,
Типы антивирусного программного обеспечения,
Правила предотвращения компьютерных вирусов,
Признаки заражения компьютерным вирусом.
Обнаружение и удаление вирусов на различных носителях.
Устный (обсуждение, изложение материала).
Визуальный (демонстрация учебного материала, эскиз).
Самостоятельная (работа над презентациями, рисунками, диаграммами). 1.
1. Вводный момент.
Добрый вечер, коллеги! Здравствуйте, дети! Давайте все подарим друг другу улыбку. Улыбка имеет силу и заслуживает награды. Улыбка — это все, что нужно, и добро пожаловать!
Сегодня у нас в классе будет семинар, а пока давайте вспомним, что мы уже узнали о компьютерных вирусах и антивирусных препаратах в рамках подготовки к семинару. Давайте ответим на вопросы викторины.
* Что такое компьютерный вирус?
1) Прикладная программа. 2) Системная программа. 3) Программа, выполняющая несанкционированные действия на компьютере. 4) База данных.
* Основными типами компьютерных вирусов являются:
1) Аппаратные, программные, загрузочные. 2) Программные вирусы, загрузочные вирусы, макровирусы. 3) Вирусы на основе файлов, программные вирусы, макровирусы.
4) Файловая, загрузочная.
* Фазы действия программных вирусов:
1) Репликация, заражение вирусом. 2) Запись в файл, репликация. 3) Запись в файл, обмен, уничтожение программы.
4) Тиражирование, уничтожение программ.
* Что такое репликация программного вируса?
1) Вирусная программа копируется один раз в тело другой программы. 2) Код вируса многократно копируется в тело другой программы.
3) Вирусная программа неоднократно заражает другие программы.
4) Код вируса копируется один раз в тело другой программы.
* Что такое вирусная атака?
1) Повторное копирование кода вируса в код программы. 2) Выключение компьютера вирусом.
3) Прерывание работы программы, повреждение данных, форматирование жесткого диска.
4) Частое зависание компьютера и замедление его работы.
* Каковы методы реализации защиты от вирусов?
1) Аппаратное и программное обеспечение. 2) Программное, аппаратное и организационное обеспечение. 3) Только программное обеспечение.
4) Только аппаратное обеспечение.
* Какие меры защиты являются наиболее важными?
1) Создайте резервную копию наиболее важных данных. 2) Аппаратные носители. 3) Программные инструменты.
4) Аппаратные и программные средства.
* Какие существуют средства защиты?
Цель работы: научиться использовать антивирусную программу ESET NOD32 Smart Security для проверки компьютера и дисков на наличие вирусов и его излечения.
Задача.
Как решить практическую задачу:
Запустите программное обеспечение ESET NOD32.
Сканировать на вирусы — выберите диск для сканирования (рекомендуемый диск E или диск C).
Если вирусы обнаружены, нажмите кнопку «Антивирус все» — «Удалить».
«Основные меры по защите компьютера от вирусной атаки».
Ваш компьютер должен быть оснащен современным антивирусным программным обеспечением и поддерживать его актуальные версии.
Если вы используете глобальную сеть, у вас должна быть установлена программа фильтрации (Gatekeeper, Monitor).
Всегда проверяйте эти накопители на наличие вирусов, прежде чем считывать какую-либо информацию с флэш-накопителя.
Если вы переносите архивные файлы на компьютер, их необходимо проверить сразу после распаковки.
Хорошая идея — архивировать ценную информацию на других носителях.
Не оставляйте USB-накопитель при включении или перезагрузке компьютера, так как это может привести к заражению запускаемыми вирусами.
Помните, что невозможно заразиться вирусом только потому, что вы подключились к Интернету. Для того чтобы вирус активировался, программа, полученная с сервера по сети, должна быть выполнена на клиенте.
В случае получения электронного письма с прикрепленным исполняемым файлом, его не следует открывать без предварительной проверки. Троянские кони часто распространяются по электронной почте.
Тема: «Вредоносные программы и антивирусное программное обеспечение.
Компьютерные вирусы и защита от вирусов
Компьютерный вирус — это _____________________________, небольшого размера, который может записывать свои копии в компьютерные программы.
Определите источники компьютерных вирусов (заполните пропуски).
Заполните пробелы в таблице наиболее важными типами вирусов
1) Аппаратные вирусы, программные вирусы, загрузочные вирусы. 2) Программные вирусы, загрузочные вирусы, макровирусы. 3) Файловые вирусы, программные вирусы, макровирусы.
Эволюция антивирусных программ
Русские вирусы появились в 1988 году, но не получили широкого распространения до середины 1990-х годов из-за небольшого количества персональных компьютеров с доступом в Интернет. Пользователи обменивались данными и программами между компьютерами с помощью дискет, поскольку объем данных был невелик, а обычные дискеты были довольно большими. Таким же образом распространялись вирусы. Попав на персональный компьютер, вирус быстро там размножается. Однако чтобы заразить другой компьютер, нужно было долго ждать, пока зараженный файл будет записан на дискету и передан другому пользователю.
Борьба с вирусами также была очень простой: пользователи защищали каждый компьютер антивирусной программой, которая находила вирусы и удаляла зараженные файлы. Пользователи знали, что перед копированием новых файлов с дискеты необходимо проверить ее на наличие вирусов.
С появлением операционной системы Microsoft Windows 95 и пакета Microsoft Office функциональность программ и объем данных, особенно в области мультимедиа, значительно возросли. Пользователи начали распространять информацию на CD-ROM, также увеличилось количество компьютеров с доступом в сеть или Интернет. Первая крупная эпидемия, которая привлекла внимание общественности к проблеме вирусов, произошла в 1996 году, когда вирус Cap Macro распространился через документы Microsoft Word и парализовал работу десятков компаний по всему миру.
В 2000 году произошла эпидемия веб-червей, которые быстро распространялись по электронной почте. Число домашних пользователей и предприятий, подключенных к Интернету, уже было очень велико, и все обменивались электронной почтой, не осознавая связанных с этим рисков. Первый современный интернет-червь, Happy99, был разработан в начале 1999 года, а первая вспышка заболевания была вызвана червем I love you (LoveLetter) в мае 2000 года.
Только в мае «LoveLetter» заразил более 40 миллионов компьютеров по всему миру. По оценкам исследовательского центра Computer Economics, мировая экономика потеряла 6,7 млрд. долларов США за первые пять дней вспышки. Червь рассылал свои копии на все адреса электронной почты в адресной книге почтового клиента Microsoft Outlook сразу после заражения системы. В качестве отправителя червь использовал адрес электронной почты владельца зараженного компьютера и адресную книгу Outlook; каждое сообщение сопровождалось вредоносным файлом с двойным расширением «txt.vbs» («txt» означает текстовые файлы, а «vbs» — сценарии, написанные на Visual Basic Script).
Секрет этого трюка заключается в том, что Windows по умолчанию скрывает расширения файлов, и в случае двойного расширения фактическим расширением является последнее (в данном случае .vbs). Это означает, что расширение vbs скрыто, и пользователь видит только расширение txt. Эта техника была популярна в течение нескольких лет, но из-за изменений в почтовых клиентах вирусописатели перестали ее использовать.
Электронная почта и Интернет оказались идеальным средством для передачи вредоносного кода. Сегодня 98% вредоносных программ, не только сетевые черви, но и троянские и файловые вирусы, попадают на компьютер через электронную почту.
По данным «Лаборатории Касперского», с февраля этого года наблюдается постепенное исчезновение современных почтовых червей, уступая место различным сетевым червям с троянскими функциями. В настоящее время угроза для пользователей Интернета со стороны сетевых червей стала еще более серьезной. Поэтому мониторинг всего сетевого трафика, а не только трафика электронной почты, с помощью антивирусного программного обеспечения становится все более важным.
Как работают антивирусные программы
Вирусное программное обеспечение развивалось параллельно с вредоносным кодом: Чем сложнее и изощреннее становились компьютерные вредоносные программы, тем сложнее и быстрее становились антивирусные программы.
Первые антивирусные алгоритмы были основаны на сравнении с эталоном, часто называемым алгоритмом на основе сигнатур. Каждому вирусу была присвоена сигнатура или маска. С одной стороны, маска должна была быть небольшой, чтобы база данных со всеми этими масками не занимала невероятно много места. С другой стороны, чем больше сигнатура, тем меньше вероятность ложного срабатывания (когда надежный, незараженный файл определяется антивирусной программой как зараженный). На практике производители антивирусов используют маску размером 10-30 байт. Первые антивирусные программы знали определенное количество сигнатур и могли найти и устранить определенное количество вирусов. При получении нового вируса разработчики анализировали его код и создавали уникальную маску, которая добавлялась в базу сигнатур антивируса, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирусная программа обнаруживала код, соответствующий маске, файл считался зараженным. Описанный выше алгоритм и сегодня используется большинством антивирусных программ. Все сигнатуры хранятся в антивирусной базе данных в специальной области памяти, где антивирусная программа хранит маски вредоносных программ. Эффективность сканирования на основе сигнатур зависит от размера антивирусной базы данных и частоты ее обновления. По этой причине производители антивирусов выпускают обновления своих баз данных не реже одного раза в день. Интернет используется для увеличения скорости доставки обновлений на компьютеры защищаемых пользователей.
В середине 1990-х годов появились первые полиморфные вирусы, которые меняли свое тело по непредсказуемым алгоритмам, что затрудняло анализ кода вируса и создание сигнатуры. Для борьбы с такими вирусами метод поиска сигнатур был дополнен инструментами эмуляции во время исполнения. Другими словами, антивирусная программа не проверяет подозрительный файл статически, а запускает его в специальной, искусственно созданной среде, в так называемой песочнице. Такая «песочница» абсолютно безопасна, поскольку вирус не может в ней размножиться и нанести вред. Более того, вирус не способен отличить «песочницу» от реальной среды. В этой виртуальной среде антивирусная программа обнаруживала объект для исследования, ждала, пока вирус расшифрует код, и начинала поиск сигнатур.
Когда количество вирусов превысило несколько сотен, антивирусные эксперты начали задумываться об обнаружении вредоносных программ, о существовании которых антивирусная программа еще не знала (не было совпадающих сигнатур). Это привело к разработке так называемых эвристических анализаторов.
Эвристический анализатор — это набор подпрограмм, которые анализируют код в исполняемых файлах, макросах, скриптах, памяти или загрузочных секторах для обнаружения различных типов вредоносного ПО.
Существует два основных режима работы анализатора.
Статический метод, который заключается в поиске общих коротких сигнатур, встречающихся в большинстве вирусов (так называемых подозрительных команд). Например, многие вирусы ищут маску *.exe, открывают найденный файл и пишут в открытый файл. Задача эвристики в этом случае — найти сигнатуры, отражающие эти действия. Затем найденные сигнатуры анализируются, и если обнаруживается определенное количество необходимых и достаточных подозрительных команд, то принимается решение о том, что файл заражен. Большим преимуществом этого метода является простота реализации и высокая скорость работы, однако процент обнаружения новых вредоносных программ довольно низок.
Хороший и плохой «движки»
Как найти антивирусную программу, которая использует хороший «движок»? К сожалению, разработчики антивирусных программ очень редко сообщают подробности о реализации своего движка. Однако, является ли двигатель хорошим или плохим, можно определить по косвенным признакам. Ниже приведены наиболее важные критерии для определения качества антивирусного движка.
Качество обнаружения. Насколько хорошо антивирусная система обнаруживает вирусы. Этот критерий может быть оценен по результатам различных тестов, проведенных разными организациями.
Степень обнаружения эвристическими анализаторами. К сожалению, определить этот параметр без тестирования коллекции вирусов невозможно, но оценить коэффициент ложных срабатываний данной «машины» относительно легко.
Степень ложных срабатываний. Если антивирусная программа сообщает, что потенциально зараженный файл был найден в 100% незараженных файлов, это ложное срабатывание. Имеет ли смысл доверять такому эвристическому анализатору, который неоднократно выдавал ложноположительные результаты? В конце концов, пользователь может пропустить действительно новый вирус из-за большого количества ложных срабатываний.
Поддержка большого количества устройств для упаковки и архивирования. Это очень важный фактор, поскольку авторы вредоносных программ часто упаковывают вирус с несколькими исполняемыми файлами, получая таким образом множество различных вирусов и выпуская их на волю. По сути, все эти вирусы являются экземплярами одного и того же вируса. Для антивирусного «движка», поддерживающего все или почти все распространенные программы-упаковщики, не составляет труда идентифицировать все экземпляры одного и того же вируса, дав им одинаковые имена, в то время как другие «движки» требуют обновления вирусных баз данных (и времени антивирусных экспертов на анализ экземпляров вирусов).
Частота и объем обновлений антивирусных баз данных. Эти параметры являются косвенными показателями качества «движка», так как частые обновления гарантируют, что пользователь всегда защищен от вновь появляющихся вирусов. Степень обновления (и количество вирусов, обнаруженных в этом обновлении) дает информацию о качестве разработки антивирусной базы и, в некоторой степени, движка.
«Движок» может быть обновлен без обновления самого антивируса. Иногда для обнаружения вируса необходимо обновить не только базу данных вирусов, но и сам движок. Если антивирусная программа не поддерживает эту функцию, пользователь может быть не защищен от нового вируса. Такая функция также позволяет двигателю быстро улучшать и исправлять ошибки.
Антивирусное программное обеспечение — это компьютерное программное обеспечение, которое обнаруживает и предотвращает вредоносные программы, такие как вирусы и черви, и выполняет определенные действия для их блокировки или удаления. Вы можете защитить свой компьютер от вирусов с помощью антивирусного программного обеспечения.
Блокировка рекламы и спама
Если вы вкратце изучите, как вирусы проникают в компьютерные системы своих жертв, вы будете удивлены количеством вирусов, которые используют всплывающую рекламу и веб-сайты для проникновения на ваши компьютеры.
Всплывающая реклама и спам-сайты являются одними из самых распространенных шлюзов, через которые вирусы заражают ваш компьютер и затем уничтожают ваши файлы.
Защита от хакеров и похитителей данных
Хакеры обычно используют вредоносные программы или вирусы, чтобы получить доступ к компьютеру жертвы. Они устанавливают вредоносное ПО на компьютер жертвы без ее ведома. Хакеры делают это, рассылая своим жертвам вредоносные электронные письма. После этого хакер может легко получить доступ к нужным файлам и программам.
Затем они могут использовать данные жертвы по своему усмотрению, удаляя или уничтожая их и похищая, чтобы впоследствии потребовать выкуп. Антивирусные программы, такие как Malwarebytes, либо устанавливают антипиратскую защиту, либо проводят регулярное сканирование для обнаружения наличия пиратского или взломанного программного обеспечения в компьютерной сети. Таким образом, антивирусное программное обеспечение обеспечивает комплексную защиту от хакеров.
Обеспечивает защиту съемных устройств
Вспомните, сколько раз вы переносили данные на компьютер с помощью съемных носителей, таких как USB. Бесчисленное количество, верно?
Возможно, ваш компьютер замедлил работу или вышел из строя после того, как вы подключили к нему USB-устройство друга. Вы когда-нибудь задумывались, почему это произошло? Это происходит потому, что USB-устройство или съемный диск служили устройством для переноса вируса.