Реферат

з інформатики

на тему: “Антивірусні програми”

План.

Віруси і їх класифікація.

Характеристика анти вірусної програми (Dr.Web).

Антивірусна програма (AVP).

Поняття про комп’ютерні віруси. Їх класифікація.

Що ж це за явище — «комп’ютерний вірус» (в подальшому — вірус)? Це
програма, створена людиною. Жоден вірус, що «працює» на ПК, не може
виникнути ні з чого. Він створюється програмістами. Вірус може
знаходитись не лише у файлі, з яким переважно асоціюється поняття
програми — це може бути просто сукупність машинного коду, що поширюється
по комп’ютерній мережі. Але, все ж таки, у всіх випадках цей код
створений людиною.

Причин створення вірусів дуже багато. Для декого віруси є їхнім
бізнесом. До того ж, не тільки для авторів, але й для тих, хто з цими
вірусами бореться. Для інших — це хобі. Хобі збирання вірусних колекцій
і хобі написання вірусів. З останнього, до речі, починав відомий
програміст, що займається саме боротьбою з вірусами — Ігор Данилов. Для
третіх — створення вірусів — просто спосіб показати свій успіх і
незалежність, оскільки в певних колах подібна діяльність просто
необхідна для підняття престижу. Ще для когось віруси -покликання, адже
бувають лікарі за покликанням, отож, може бути і комп’ютерний лікар за
покликанням. Для декого віруси служать приводом пофілософствувати на
теми виникнення і розвитку «комп’ютерного життя». Віруси — це навіть
стаття Кримінального кодексу.

В багатьох країнах, наприклад, тільки за написання шкідливої програми
можливе позбавлення волі терміном до п’яти років, а подекуди і більше.
Та для більшості користувачів комп’ютерні віруси — це щоденний головний
біль, причина порушень в роботі комп’ютера — ворог номер один.

Вірус — це програма, хоча деякі початківці до цього часу про це не
знають. І, очевидно, що шкодити вона може лише програмне, але ніяк не
апаратно. Страшні казки про віруси, які вбивають і позбавляють розуму
користувачів за допомогою виведення на екран смертельної кольорової
гами, були і залишаються тільки казками. Так само вірус не може
пошкодити жодного пристрою ПК. Отже, не потрібно при виході з ладу
певного вузла ПК шукати причину у вірусах. Не існувало, не існує і не
з’явиться такий вірус, який би фізично пошкодив апаратну частину ПК. Про
це потрібно завжди пам’ятати. Єдина непряма шкода, яку може завдати
вірус апаратній частині ПК — перепрограмувати BIOS. Наприклад, вірус
Win95.CIH (відомий також під назвою «Чорнобиль», завдяки високій
активізації своєї діяльності 26 квітня, в день аварії на ЧАЕС), що в
кінці 90-х років приніс справжню епідемію в комп’ютерний світ.

Отже однією із характеристик комп’ютерного вірусу є його здатність
наносити шкоду програмному забезпеченню ПК. Але це не єдина
характеристика вірусів, адже існують віруси, які не займаються нічим,
крім саморозмноження.

Основною характеристикою будь-якого комп’ютерного вірусу є здатність
копіювати себе. Навіть якщо програма взагалі не приносить ніякої шкоди,
тільки розмножує себе — це вже вірус. І навпаки, якщо програма робить
велику шкоду для програмного забезпечення, але не копіює себе — така
програма вірусом не вважається.

Отже можна сформулювати визначення.

Комп’ютерний вірус — це спеціально створена програма або сукупність
машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК
певні деструктивні дії.

Перші комп’ютерні віруси з’явились на початку 80-х років. Поняття
«комп’ютерний вірус» вперше ввів відомий англійський програміст Фред
Коуен. Цей термін прозвучав у вересні 1984 році на конференції з безпеки
інформації, яка проходила в США. Він провів ряд експериментів на системі
VAX11/750, що працювала під ОС Unix. Вірус був імплантований на початок
утиліти VD і протягом ЗО хвилин йому надавались права «суперюзера». В
експерименті вірус проявив надзвичайно високий ступінь розмноження
(півсекунди на одне зараження).

Хоча, потрібно відмітити, що ідея саморозмноження своїм корінням сягає в
далекі 50-ті роки, її досліджував ще в 1951 році один із засновників
теоретичних принципів ЕОМ Джон фон Нейман.

• системні файли, тобто файли 10. SYS і MSDOS. SYS. Це досить
небезпечно, оскільки вони, як і у випадку зараження блоків початкового
завантаження дисків, починають діяти при кожному завантаженні ПК.

Як правило, кожна конкретна різновидність вірусу може заразити тільки
один або два типи файлів. На даний час частіше всього зустрічаються
макровіруси, тоді як в 90-ті роки найпоширенішими були віруси, що
заражали СОМ-файли, а на другому місці — ЕХЕ-файли.

На сьогодні відомі десятки тисяч вірусів, які в цілому мають конкретну
класифікацію. Спробуємо детальніше розглянути основні групи, на які
поділяються комп’ютерні віруси.

І. Поділ вірусів за середовищем їх розповсюдження:

• Завантажувальні віруси — це найбільш небезпечна група вірусів, що
заражають Boot Record та Master Boot Record логічних та фізичних дисків.
Про ці віруси ми вже говорили попередньо.

• Файлові віруси. Ці віруси поширюються, заражаючи файли різних типів,
як вже було сказано, — найчастіше це виконуючі файли та файли оверлеїв.
До цієї групи слід також віднести макровіруси, хоч інколи їх виділяють
як окремий клас вірусів.

• Завантажувально-файлові віруси здатні вразити як код завантажувальних
секторів, так і код файлів, як правило системних.

• Віруси сімейства Dir використовують інформацію про файлову структуру
та вміст каталогів (див. попередній матеріал).

• Multipartition — віруси можуть вражати одночасно виконуючі файли, boot
— сектор, MBR, FAT і каталоги і є найбільш небезпечними, особливо, якщо
вони ще й володіють поліаморфними властивостями і елементами
невидимості.

• Мережеві віруси — це віруси, що поширюються як сукупність машинного
коду в комп’ютерних мережах.

• Поштові віруси — на сьогодні досить нова але надзвичайно поширена
група вірусів, що розповсюджуються разом із поштовими повідомленнями у
вигляді прикріплених до них файлів (Attachment) із програмним кодом. Як
правило, такі віруси досить швидко розмножуються і час від часу
викликають вірусні епідемії (згадати, хоча б, такі резонансні в останні
роки віруси як «І Love You» (LoveLetter), Melissa або «Anna
Kournicova»).

II. Класифікація комп’ютерних вірусів за алгоритмом роботи:

• Віруси «паразити» найпростіші віруси що використовують «тіло» інших
файлів (виконуючих), записуючи туди себе. Вони можуть бути досить легко
виявлені і знешкоджені.

• Віруси супутники створюють копію exe-файлу з розширенням com і
записують туди себе. Коли з командного рядка DOS завантажують такий
файл, то як правило розширення не вказують, а за правилами DOS, першим
завантажується com файл, тобто вірус.

• Віруси «черв’яки» (віруси-реплікатори) не створюють собі файлу, а
поширюються лише в комп’ютерних мережах та в оперативній пам’яті у
вигляді певного машинного коду. Вони ніби черв’яки проникають в
оперативну пам’ять ПК через комп’ютерну мережу, пронизуючи системи
захисту. Найбільш грізними представниками цього типу вірусів є Nimda
(неодноразовий переможець рейтингів найнебезпечніших вірусів), Gigger та
Redesi (здатні відформатувати диск С), Bumerang (здатний знищити
FlashBIOS та таблиці файлової системи вінчестера), SirCam (найдзвичано
швидкий у розповсюдженні та знищує інформацію на диску С), Кігау та
Paukor (знищують всі файли із системних папок Windows).

• Студентські віруси — це віруси, які мають в собі багато помилок і
написані, як правило, початківцями.

• Віруси «невидимки» (Stealth — віруси) фальсифікують інформацію,
перехоплюючи звертання антивірусної програми, до заражених ділянок диску
і направляючи її на незараже’ні. Вірус перехоплює вектор переривання int
13h. Ця технологія використовується, як у файлових, так і в
завантажувальних вірусах.

• Віруси «мутанти» («привиди») або поліаморфні (polimorphic) — не мають
постійної сигнатури (машинного коду), за якою можна було б виявити
вірус.

• Загальні засоби захисту інформації, які діють також і як страховка від
фізичного пошкодження магнітних дисків неправильно працюючих програм,
або помилкових дій користувачів.

• Профілактичні заходи, які дозволяють зменшити ймовірність зараження
вірусом.

• Спеціалізовані програми для захисту від вірусів.

Існують два основні різновиди загальних засобів захисту.

Копіювання інформації — створення копій файлів і системних ділянок
дисків. Для резервного копіювання можна використати, наприклад, реквізит
Windows 95 — Microsoft BackUp, чи інші програми, які копіюють інформацію
на інший диск, або носій інформації (стример, CD-R та ін.). У випадку
необхідності створення копіїї системної ділянки диску слід
використовувати, наприклад, програму Rescue Disk з пакету Norton
Utilities.

Розмежування доступу перестерігає несанкціоноване користування
інформацією, зокрема захист від зміни програм і даних вірусами,
неправильно працюючими програмами та помилковими діями користувачів.

До профілактичних заходів відносять загальні правила використання дискет
та загальні правила роботи в комп’ютерних мережах. Перш за все необхідно
користуватись ліцензійними дисками. Хоча в історії відомо багато
випадків коли й з ліцензійними програмами потрапляли віруси. Так,
наприклад, той же вірус Funlove в 2000 році поширювався із офіційного
сайту Hewlett-Packard разом із драйверами принтерів. Інформацію, що
поступає через мережу та з дискет обов’язково потрібно перевіряти на
наявність вірусів спеціальними програмами. Завантажувати через певні
періоди часу (наприклад, раз в тиждень) антивірусні програми, для
тестування дисків вінчестера та оперативної пам’яті на наявність
вірусів.

Не дивлячись на те, що загальні засоби захисту інформації та основні
правила профілактики дуже важливі для захисту від вірусів, все ж тільки
їх недостатньо. Необхідно також застосовувати спеціалізовані програми
для захисту від вірусів. Ці програми можна поділити на декілька видів.

• детектори — дозволяють знайти файли, заражені яким-небудь одним,
наперед відомим нам вірусом, або одним з багатьох відомих вірусів;

• вакцини (іммунізатори) — модифікують (інфікують) програми і диски
таким чином, що це не відображається на роботі програм. Після цього
вірус, від якого виконується вакцинація, вважає ці програми або диски
вже інфікованими і повторно їх не заражає;

• лікарі (фаги) — лікують заражені програми або диски «викусуючи» із
заражених програм тіло віруса, тобто відновлюючи програму в тому стані,
в якому вона була до зараження вірусом;

• ревізори — спочатку запам’ятовують стан інформації (розмір, дату і час
створення) і системних ділянок дисків, а потім порівнюють його з
поточним. При виявленні невідповідностей про це повідомляється
користувачу;

• лікарі-ревізори — це гібриди ревізорів і лікарів, тобто програми, які
не тільки помічають зміни в файлах і системних ділянках дисків, але й
можуть у випадку виявлення змін вилікувати заражені файли;

• фільтри (монітори) — резидентні програми для захисту від вірусів, які
поміщаються резидентно.

2.2. Огляд антивірусних програм

Темі боротьби з комп’ютеними вірусами в світі приділяється багато уваги.
Багато великих та малих компаній займаються розробкою нових та
ефективних програм для захисту ПК від вірусів. Найбільш впливовим і
авторитетним показником ефективності антивірусних програм є рейтинг,
який щомісяця проводить міжнародний комп’ютерний журнал Virus BuSettin
(Англія).

Проводяться тестування, при яких антивіруси встановлюються в однакових
умовах на заражені різними типами вірусів комп’ютери і визначається
відсоток виявлених та знешкоджених ними вірусів. Тестування проводиться
по таких основних категоріях, як wild («дикі») віруси (див. розділ 1
даної частини посібника), макровіруси, поліморфні та стандартні. При
тестуванні враховуються також такі параметри як швидкість роботи
програми, її вартість та зручність інтерфейсу. Сама участь антивірусної
програми в тестуванні вже є великим визнанням для неї.

Розглянемо тепер деякі з програмних продуктів, що постійно займають в
цьому рейтингу високі місця, а отже є найбільш ефективними та надійними
щодо захисту Вашого ПК від комп’ютерних вірусів.

Dilague Science Doctor Web (Dr. WEB)

Програма Doctor Web (спрощено Dr.WEB) один з кращих в світі антивірусів,
розроблений вперше для DOS у 1992 році російським програмістом Ігорем
Даніловим та керованою ним компанією «Диалог-Наука» (Санкт-Петербург). В
другій половині 90-х розроблено також версії з графічним інтерфейсом для
Windows. Від самого початку свого існування по сьогоднішній день
програма залишається одним із лідерів серед антивірусних програмних
продуктів. Вона неодноразово отримувала нагороди від від Virus Bulettin
за 100% виявлення вірусів різних типів.

DrWeb визнаний програмою із найшвидшим алгоритмом роботи серед всіх
антивірусів, що беруть участь в тестуваннях Virus Bulettin. Крім цього,
DrWeb приваблює користувачів дуже простим і зручним інтерфейсом,
невеликими вимогами до ресурсів ПК та простотою у встановлені програми.
Програма дозволяє перемикати інтерфейс між англійською, російською та
німецькими мовами.

DrWeb є поліфагом, що здатний «читати» та лікувати архіви, знешкоджувати
завантажувальні та Stelth-віруси. Програма DrWeb завжди славилась
надзвичано потужним та своєрідним алгоритмом еврістичного аналізу, що
дозволяє виявляти і знешкоджувати поліморфні віруси краще за інші
антивірусні програми.

Antiviral toolkit pro by Eugene Kaspersky (AW)

Цей антивірус розроблений корпорацією КАМІ (Москва) (пізніше — компанія
«Лаборатория Касперского»), не менш популярний ніж комплект фірми
«Диалог Наука», а в країнах західної Європи він значно випереджає по
популярності Dr. Web. AVP є поліфагом і в процесі роботи перевіряє
оперативну пам’ять і файли, в тому числі архівні та упаковані, а також
Master Boot Record та завантажувальний сектор (Boot record). Особливо
висока ефективність роботи досягається при пошуws макровірусів.

Як і Moron Antivirus пакет AVP містить резидентий модуль-фільтр для
моніторингу оперативної пам’яті та операцій копіювання і запису на диск.
Причому, він займає дещо менші ресурси ОП ніж Norton Antivirus.

Програма підтримує автоматичне обновлення антивірусних баз даних через
Internet. Причому нові їх версії з’являються переважно раз в тиждень.

Пакет AVP озброєний еврістичним сканером, що має декілька режимів
сканування — в стандартному режимі перевіряються тільки «точки входу»,
тобто місця, в яких починається обробка програми системою, в той час, як
в режимі надлишкового сканування проходить повна обробка вмісту
досліджуваних файлів. Правда, самі творці рекомендують включати зайве
сканування лише у тих випадках, коли стандартний режим не виявляє
вірусів, а «дивні явища» (у вигляді самовільних перезавантажень,
уповільнення роботи програм і т.д.) не зупиняються. При надлишковому
скануванні процес перевірки збільшується в кілька разів, і до того ж
трапляються випадки, коли після завершення роботи пошкодженими
виявляються неінфіковані файли. Особливістю цього антивіруса є також
його здатність до самолікування.

Похожие записи