Классификация вредоносных программ | Блог Касперского
Мы в «Лаборатории Касперского» со всей ответственностью подходим к вашей защите, поэтому постоянно знакомим вас со всеми угрозами и новейшими методами защиты от них. Однако мы прекрасно понимаем, что нередко наши читатели путаются в обозначении того или иного вредоноса, поэтому мы решили рассказать немного о том, как они разделяются.
Вирус. Если просто, то это самовоспроизводящийся программный код, который внедряется в установленные программы без согласия пользователя. Вирусы можно разделить по типу объектов, которые они заражают, по методам заражения и выбора жертв. Вирусы можно подцепить разными способами: от нажатия вредоносной ссылки или файла в неизвестном письме до заражения на вредоносном сайте. При этом вирус может выполнять множество разных задач, направленных в первую очередь на принесение вреда операционной системе. В настоящее время вирусы довольно редки, так как создатели вредоносов стараются держать свои программы и их распространение под контролем. В противном случае вирус довольно быстро попадает в руки антивирусных компаний.
Червь. Черви являются в некотором роде вирусами, так как созданы на основе саморазмножающихся программ. Однако черви не могут заражать существующие файлы. Вместо этого червь поселяется в компьютер отдельным файлом и ищет уязвимости в Сети или системе для дальнейшего распространения себя. Черви также могут подразделяться по способу заражения (электронная почта, мессенджеры, обмен файлами и пр.). Некоторые черви существуют в виде сохраненных на жестком диске файлов, а некоторые поселяются лишь в оперативной памяти компьютера.
Троян. По своему действию является противоположностью вирусам и червям. Его предлагают загрузить под видом законного приложения, однако вместо заявленной функциональности он делает то, что нужно злоумышленникам. Троянцы получили свое название от одноименного печально известного мифологического коня, так как под видом какой-либо полезной программы или утилиты в систему проникает деструктивный элемент. Трояны не самовоспроизводятся и не распространяются сами по себе. Однако с увеличением вала информации и файлов в Интернете трояна стало довольно легко подцепить. Нынешние трояны эволюционировали до таких сложных форм, как, например, бэкдор (троян, пытающийся взять на себя администрирование компьютера) и троян-загрузчик (устанавливает на компьютер жертвы вредоносный код).
Руткит. В современном мире руткит представляет собой особую часть вредоносных программ, разработанных специально, чтобы скрыть присутствие вредоносного кода и его действия от пользователя и установленного защитного программного обеспечения. Это возможно благодаря тесной интеграции руткита с операционной системой. А некоторые руткиты могут начать свою работу прежде, чем загрузится операционная система. Таких называют буткитами. Однако, как бы ни развивался этот тип вредоносов, сложные современные антивирусные программы в состоянии обнаружить и обезвредить практически все существующие разновидности руткитов.
Бэкдор (средство удаленного администрирования). Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии. В зависимости от функциональных особенностей конкрентного бэкдора, хакер может установить и запустить на компьютере жертвы любое программное обеспечение, сохранять все нажатия клавиш, загружать и сохранять любые файлы, включать микрофон или камеру. Словом, брать на себя контроль за компьютером и информацией жертвы.
Загрузчик. Эта зараза является небольшой частью кода, используемой для дальнейшей загрузки и установки полной версии вредоноса. После того как загрузчик попадает в систему путем сохранения вложения электронного письма или, например, при просмотре зараженной картинки, он соединяется с удаленным сервером и загружает весь вредонос.
Для начала знакомства с разновидностями вредоносных программ вполне достаточно. Зная врага в лицо, уже легче находиться в безопасности и использовать правильные методы защиты от него. Единственное, в чем надо убедиться, так это в том, что вы используете правильное защитное ПО.
www.kaspersky.ru
2 Вредоносные программы и их классификация
Существует класс программ, которые были изначально написаны с целью уничтожения данных на чужом компьютере, похищения чужой информации, несанкционированного использования чужих ресурсов и т. п., или же приобрели такие свойства вследствие каких-либо причин. Такие программы несут вредоносную нагрузку и соответственно называются вредоносными.
Вредоносная программа – это программа, наносящая какой-либо вред компьютеру, на котором она запускается или другим компьютерам в сети.
2.1 Вирусы
Термин «компьютерный вирус» появился позднее — официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн в 1984 году на седьмой конференции по безопасности информации. Основная черта компьютерного вируса — это способность к саморазмножению.
Компьютерный вирус – это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:
Проникновение на чужой компьютер
Активация
Поиск объектов для заражения
Подготовка копий
Внедрение копий
Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения — фактически, все каналы, по которым можно скопировать файл. Однако в отличие от червей, вирусы не используют сетевые ресурсы — заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.
После проникновения следует активация вируса. Это может происходить несколькими путями и в соответствии с выбранным методом вирусы делятся на несколько видов. Классификация вирусов представлена в Таблице 1:
Таблица 1 — Виды компьютерных вирусов
Название | Описание | |
Загрузочные вирусы | заражают загрузочные сектора жестких дисков и мобильных носителей. | |
Файловые вирусы | Классические файловые вирусы | они различными способами внедряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или используют особенности организации файловой системы |
Макровирусы | которые написаны на внутреннем языке, так называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word | |
Скрипт-вирусы | написанные в виде скриптов для определенной командной оболочки — например, bat-файлы для DOS или VBS и JS — скрипты для Windows Scripting Host (WSH) |
Дополнительным отличием вирусов от других вредоносных программ служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix. Точно также макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 97.
При подготовке своих вирусных копий для маскировки от антивирусов могут применять такие технологии как:
Шифрование — в этом случае вирус состоит из двух частей: сам вирус и шифратор.
Метаморфизм — при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительных, обычно ничего не делающих команд.
Соответственно в зависимости от используемых методов вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.
Основные цели любого компьютерного вируса — это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера). Специальные действия нередко оказываются вредоносными.
studfiles.net
Классификация антивирусных программ
Антивирусные программы предназначены для предотвращения заражения и ликвидации последствий заражения вирусом. Они могут контролировать обращения к жесткому диску и предупреждать пользователя о подозрительной активности, а также обеспечивают надежную защиту почтовых сообщений от вирусов.
По выполняемым функциям антивирусные программы подразделяют на следующие типы: детекторы; доктора; ревизоры; фильтры или сторожа; вакцины или иммунизаторы.
Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей до заражения компьютера и периодически его сравнивают с текущим состоянием. При обнаружении несоответствия пользователю выдается предупреждение.
Программы-фильтры представляют собой резидентные программы, которые обеспечивают обнаружение подозрительных действий при работе компьютера, например, попыток изменения исполняемых файлов, изменения атрибутов файлов, записи в загрузочный сектор диска и др.
Программы-детекторы настроены на обнаружение заражения одним или несколькими известными вирусами. Большинство программ-детекторов выполняют также функцию «доктора», т.е. они пытаются вернуть зараженные файлы и области диска в исходное состояние, те файлы, которые не удалось восстановить, обычно делаются неработоспособными и удаляются.
Программы-доктора обнаруживают и лечат зараженные объекты путем «выкусывания» тела вируса. Программы этого типа подразделяются на фаги и полифаги(обнаружение и уничтожение большого количества разнообразных вирусов).
Программы-вакцины выполняют модификацию файла или диска таким образом, чтобы это не отражалось на их работе, но вирус считал бы их уже зараженными. Вакцинация осуществляется только от известных вирусов.
Программа-полифаг Doctor Web (разработчик: И. Данилов) выполняет поиск и удаление известных ему вирусов из памяти и с дисков компьютера. Наличие интеллектуального эвристического анализатора позволяет обнаружить новые, ранее неизвестные вирусы и модификации известных. Антивирус Dr.Web проверяет почту, приходящую по протоколу POP3, до обработки ее почтовым клиентом, а также проверяет почту, исходящую по протоколу SMTP. Антивирусный сторож (монитор), работая автоматически, проверяет файлы «на лету» при обращении к ним из какой-либо программы, оповещает пользователя при обнаружении инфицированных и подозрительных файлов. В программе используется интеллектуальная технология контроля вирусной активности, заключающаяся в анализе действий, которые совершают программы. Анализ построен таким образом, что практически полностью исключает «ложную тревогу» и вместе с тем позволяет пресечь любые действия, которые может совершить вредоносная программа. Антивирусный сканер позволяет обнаруживать зараженные объекты на всех носителях и в оперативной памяти компьютера, а также обезвреживать вирусы.
AVP (AntiVirus Protect, разработчик – Лаборатория Касперского) позволяет лечить и проверять упакованные и архивные файлы, сетевые диски. Благодаря уникальной технологии сканирования она обнаруживает и удаляет вирусы в архивированных и сжатых файлах более чем 700 различных форматов. Кроме этого в архивах формата ZIP Антивирус Касперского способен удалять из зараженного сжатого файла вредоносные коды и лечить файлы. Интегрированный модуль Office Guard™ создает максимально защищенное пространство для приложений Microsoft Office. Благодаря этому Антивирус Касперского Personal Pro обеспечивает полный контроль над всеми офисными документами и гарантирует стопроцентную защиту даже от неизвестных макровирусов.
Norton AntiVirus автоматически защищает от вирусов, злонамеренных программ ActiveX, апплетов Java при пользовании Internet и работе с дискетами, CD или сетью, проверяет входящие приложения в самых распространенных программах электронной почты, обнаруживает вирусы и лечит сжатые файлы. Беспрепятственно пропускает незараженные файлы, но задерживает файлы с вирусами еще до того, как они могут войти в вашу систему и нанести ей вред. Norton AntiVirus 2003автоматически удаляет опасные программные коды, а также защищает от вирусов вложения в сообщениях и электронных письмах, гарантирует максимальный уровень безопасности благодаря возможности постоянного автоматического обновления антивирусных баз и созданию всесторонней защиты пользователей от проникновения опасных программных кодов. Уникальная эвристическая технология способна выявлять почтовых «червей», подобных Nimda и Badtrans, и останавливать их еще до того, как они получат возможность для дальнейшего распространения с исходящей почтой.
Профессиональная версия (Pro) помимо всех функциональных возможностей стандартного выпуска включает еще средства восстановления данных и очистки системы, предусмотренные специально для профессионалов в области информационных технологий и предприятий малого бизнеса. Эти инструменты позволяют пользователям защищать и восстанавливать критически важные файлы, а также сохранять должный уровень конфиденциальности путем фрагментирования ненужных более файлов.
Panda Titanium Antivirus 2004 (разработчик Panda Software) – антивирусная программа последнего поколения с улучшенной технологией обнаружения и удаления вирусов любого типа, обеспечивает защиту от любой программы, документа или электронного письма, которые могут нанести вред системе компьютера. Благодаря эффективным эвристическим технологиям программное обеспечение Panda особенно эффективно в борьбе против новых неизвестных вирусов, которые могут появиться в будущем, автоматически обнаруживает и удаляет все типы вирусов во время получения/отправки электронной почты, загрузки файлов или работы в Internet, защищает от «дозвонщиков» – программ, которые незаметно подключают модем к платным номерам, утилит скрытого управления, опасных скрытых файлов, программ с опасными скрытыми файлами и других угроз безопасности. Программа выявляет и уничтожает ошибки в программном обеспечении, установленном на компьютере, и проводит самодиагностику, чтобы гарантировать бесперебойную и продуктивную работу антивируса.
Рассмотрим работу программы Kaspersky Anti-Virus при проверке на наличие вирусов личной дискеты и папки Мои документы.
1. Загрузите программу Kaspersky Anti—Virus Scanner командой Пуск► Программы►Kaspersky Аnti—Virus►Kaspersky Anti—Virus Scanner.
2. Для отображения проверяемых объектов в окне Kaspersky Anti-Virus Scanner в левой части выберите категорию Объекты, щелкните на кнопке [Эксперт] и установите флажки для диска А: и папки Мои документы (вложенные папки можно открыть так же, как в Проводнике).
3. В правой области окна укажите порядок действий программы в случае обнаружения вируса. Рекомендуется отметить флажками следующие пункты:
Лечить, а если лечение невозможно, то удалять объект.
Сканировать файлы следующих типов: все файлы.
Сканировать составные файлы: здесь отметить все пункты.
4. Запустите сканирование, выбрав команду Сканирование►Начать сканирование.
5. Для наблюдения за процессом проверки на вирусы и лечения дисков нажмите кнопку [Статистика].
Проверим на наличие вирусов личную дискету и папку Мои документы с помощью программы Norton AntiVirus Professional Edition.
1. Загрузите Norton AntiVirus Professional Edition командой Пуск► Программы►Norton AntiVirus►Norton AntiVirus 2003 Professional Edition
2. Установите параметры проверки.
3. Перейдите на вкладку Scan for Virus для задания объектов проверки: для проверки дискеты щелкните на кнопке [Scan all floppy disks].
4. Внизу окна в области Actions выберите [Scan].
5. Для проверки папки Мои документы дважды щелкните на кнопке [Scan folders] и в открывшемся окне выберите нужную папку и нажмите кнопку [Scan].
На вкладке Reports просмотрите в виде отчетов результаты проверки.
studfiles.net
Понятие вируса и классификация вирусов. Назначение и классификация антивирусных программ
Компьютерные вирусыявляются одной из самых больших угроз для вашего компьютера, если вы работаете в сети Интернет. Для определенияпонятия«компьютерный вирус» существуют различные формулировки. Будем придерживаться следующей:вирус– это программный код, встроенный в программу или документ, который проникает на компьютер для несанкционированного уничтожения, блокирования, искажения, копирования данных и сбора информации, или для заражения компьютеров через Интернет. Главная особенность вируса – это способность различными путями распространяться из одного файла в другой на одном компьютере или с одного компьютера на другой без ведома и согласия пользователя компьютера. Часто действия вирусов приводят к значительным нарушениям в работе компьютера или компьютерных сетей.
Вирусы принято классифицировать по следующим признакам:
· среда обитания, поражаемая операционная система,
· особенности алгоритма работы,
· деструктивные возможности.
По среде обитания, иначе говоря, по поражаемым объектам вирусы делятся на файловые, загрузочные, сетевые вирусы и макровирусы.
•Файловые вирусыявляются одними из самых распространенных типов компьютерных вирусов. Их характерной чертой является то, что они инициируются при запуске заражённой программы. Код вируса обычно содержится в исполняемом файле этой программы (файл с расширением .exe или .bat), либо в динамической библиотеке (расширение.dll), используемой программой. В настоящее время такие вирусы, как правило, представляют собой скрипты, написаны с использованием скриптового языка программирования и могут входить в состав веб-страниц. Они внедряются в исполняемые файлы, создают дубликаты файлов или используют особенности организации файловой системы для выполнения несанкционированных действий.
•Загрузочные вирусызаписываются в загрузочный сектор диска и запускаются при запуске операционной системы, становясь ее частью.
•Сетевые вирусы, которые ещё называют сетевыми червями, имеют своим основным местом «проживания» и функционирования локальную сеть. Сетевой вирус, попадая на компьютер пользователя, самостоятельно копирует себя и распространяется по другим компьютерам, входящим в сеть. Они используют для своего распространения электронную почту, системы обмена мгновенными сообщениями, сети обмена данными, а также недостатки в конфигурации сети и ошибки в работе сетевых протоколов.
•Макровирусыпоражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся файлы, созданные с помощью пакета программ Microsoft Office. Весьма полезно перед открытием незнакомого файла, созданного в таких программах, как Word или Excel, удостовериться, что поддержка макросов отключена (Сервис – Параметры – Безопасность макросов). Либо, для версии Microsoft Word 2010, в разделе «Безопасность программы» проверьте, включен ли режим защищенного просмотра файлов и предотвращения выполнения данных.
Однако, можно сказать, что современный вирус зачастую можно отнести сразу к нескольким группам вирусов. Такими сочетаниями являются, например, файловые загрузочные вирусы или файловые сетевые черви. Пример последнего: сетевой макро- вирус, который не только заражает документы, созданные в программах Word или Excel, но и рассылает свои копии по электронной почте.
Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе.
По деструктивным, то есть разрушительным возможностям выделяют опасные и не опасные вирусы.
Опасные вирусы выводят из строя операционную систему, портят или уничтожают информацию, хранящуюся на диске.
Неопасные вирусы практически не влияют на работоспособность компьютера и не понижают эффективность работы операционной системы, кроме увеличения дискового пространства, которое они занимают и уменьшения объёма свободной памяти компьютера.
Разработчики антивирусных программ обычно создают собственные классификации детектируемых вирусов. Например, «Лаборатория Касперского» (www.kaspersky.com) используетклассификацию, основанную на разделении вирусов по типу совершаемых ими на компьютере пользователей действий.
Основные типы вредоносных объектов
Основныетипывредоносныхобъектов:
• Средисетевых вирусоввыделяют вредоносные программы, которые используют для своего распространения электронную почту и сети обмена данными.
•Упаковщики различными способами архивируют содержимое файла, в том числе с помощью шифрования, для того, чтобы исключить корректное разархивирование информации.
•Трояны – группа вредоносных программ-вирусов, маскирующихся под полезные программы, проникающие на компьютер под видом безвредного программного обеспечения. Как и её прототип из греческой мифологии, программа-троян выглядит не тем, чем является на самом деле. Такая программа несет в себе средства, позволяющие её создателю иметь доступ к системе, в которой она исполняется. Другими словами, основное функциональное назначение троянов – предоставить к пораженному компьютеру свободный доступ через Интернет с удаленного компьютера.
•Вредоносные утилиты разрабатываются для автоматизации создания других вирусов, червей или троянских программ. В большинстве случаев они не представляют угрозы компьютеру, на котором исполняются.
• И, наконец,программы, которые не являются вредоносными, но обладают функциональными возможностями для совершения несанкционированных и часто вредоносных действий.
Антивирусная программа (антивирус) — изначально компьютерная программа, которая предназначена для обезвреживания вирусов и различного рода вредоносного ПО, с целью сохранности данных и оптимальной работы вашего персонального компьютера.
Антивирусное ПО, пришлось ждать не долго, оно появилось сразу после появления первых вредоносных программ. В нынешний момент над разработкой антивирусных программ трудятся целые корпорации во главе с тысячами людей, которые постоянно «латают дыры», чтоб наш информационный мир был более чистым и безопасным.
Антивирусные программы (антивирусы) используют два определенных принципа работы (устранения) с вредоносным ПО:
· Сканирование вашего компьютера и сопоставление уже имеющегося вируса с базой данных на сервере определенного производителя.
· Сканирование и обнаружение программ, которые ведут себя подозрительно и могут по определению являться вредоносным ПО.
Также можно определить некоторую классификацию антивирусных модулей, которые входят в составы различных антивирусных программ (антивирусов):
1. Сканеры — антивирусный модуль, который работает на основе сопоставления. Другими словами, антивирус ищет наличие вируса по базе сигнатур. Качество сканирования зависит от даты обновления баз данных и от эвристического анализа.
2. Ревизорный модуль — запоминает состояние файловой системы, что в последствии дает возможность сравнить отличия и сопоставить результаты. В случае отличия, вирус ловиться.
3. Мониторы — это специальный программы помощники, которые в случае выявления потенциально опасного вредоносного ПО(чаще всего встречаются EXE файлы) предлагают пользователю на выбор несколько операций, в число которых обязательно входит функция «удалить».
4. Вакцины — принцип действия этого модуля, может напоминать нам обычную «прививку». Другими словами, когда вирус хочет проникнуть и заразить программу, то роль вакцины заключается в том, чтоб показать вирусу, что программа уже заражена. К сожалению, в данный момент, когда количество вирусов в глобальной сети измеряется миллионами, данный способ уже устарел.
Антивирусы защищают ваш компьютер от вирусов и других вредоносных программ, например червей и троянов. Антивирусные программы нужно регулярно обновлять в интернете. Для получения обновлений надо подписаться на услугу обновления антивирусных баз производителя антивирусной программы. Перед подключением к сети Интернет необходимо запускать антивирусную программу!
Основные задачи антивирусов:
· Сканирование файлов и программ в режиме реального времени.
· Сканирование компьютера по требованию.
· Сканирование интернет-трафика.
· Сканирование электронной почты.
· Защита от атак враждебных веб-узлов.
· Восстановление поврежденных файлов (лечение).
Антивирусные программы принято разделять начистые антивирусыиантивирусы двойного назначения. Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Программы двойного назначения — это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Разновидностью программ двойного назначения являютсяповеденческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.
studopedia.net
Защита от компьютерных вирусов. Антивирусные программы: назначение и классификация.
Для защиты от вирусов можно использовать:
общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.
Общие средства защитыинформации полезны не только для защиты от вирусов. Имеются две основные разновидности этих методов защиты:
резервное копирование информации, т. е. создание копий файлов и системных областей дисков на дополнительном носителе;
разграничение доступа, предотвращающее несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Специализированные программы для защитыот вирусов. Эти программы можно разделить на несколько видов:
Программы-детекторыпозволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы-доктора, илифаги, восстанавливают зараженные программы, убирая из них тело вируса, т.е. программа возвращается в то состояние, в котором она находилась до заражения вирусом.
Программы-ревизорысначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.
Доктора-ревизоры— это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
Программы-фильтрырасполагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Поэтому наилучшей стратегией защиты от вирусов является многоуровневая защита.
Средствами разведки в защите от вирусов являются программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На первом уровнезащиты находятся резидентные программы для защиты от вируса. Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.
Второй уровеньзащиты составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение тогда, когда вирус сумел пройти сквозь первый уровень. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.
Третий уровеньзащиты – это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
В резерве находятся архивные копии информации и эталонные диски с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.
Среди наиболее распространенных российских антивирусных пакетов следует отметить ESETNOD32, Kaspersky Antivirus, DrWeb, Adinf. Перечисленные средства могут оказать серьёзную помощь в обнаружении вирусов и восстановлении повреждённых файлов, однако не менее важно и соблюдение сравнительно простых правил антивирусной безопасности.
Следует избегать пользоваться нелегальными источниками получения программ. Наименее же опасен законный способ покупки фирменных продуктов.
Осторожно следует относиться к программам, полученным из сети Internet, так как нередки случаи заражения вирусами программ, распространяемых по электронным каналам связи.
Всякий раз, когда дискета или флэш-устройство побывало в чужом компьютере, необходимо проверить дискету с помощью одного или двух антивирусных средств.
Необходимо прислушиваться к информации о вирусных заболеваниях на компьютерах в своем районе проживания или работы и о наиболее радикальных средствах борьбы с ними. Атакам нового вируса в первую очередь подвергаются компьютеры образовательных учреждений.
При передаче программ или данных на своей дискете или флэш-устройстве его следует обязательно защитить от записи.
studfiles.net
Классификация компьютерных вирусов и антивирусных программ :: SYL.ru
Люди, постоянно работающие за компьютером, часто сталкиваются с проблемами при его эксплуатации, начинают звать на помощь программистов, хотя в большинстве случаев такие казусы случаются из-за невнимательности и необразованности самого пользователя. Ведь основные беды приходят именно с заражением компьютера вирусом. Понятие и классификация компьютерных вирусов — это та основа, знание которой способно предотвратить 50% неполадок на компьютере пользователя.
Знание — сила
Попробуем определить, что же такое компьютерный вирус. Как и в реальной жизни, вирус — это организм, способный к самостоятельному копированию и бесконтрольному размножению. Это программа, способная самостоятельно, без ведома пользователя, развиваться, выполнять свои функции, заложенные в неё программистом. Этого мало для того, чтобы поймать вирус или предотвратить заражение вашего компьютера, однако поможет вам в простейших случаях хотя бы забить тревогу и вызвать специалиста. Классификация компьютерных вирусов поможет последнему с точностью подобрать инструмент, необходимый для спасения вашего компьютера. Поэтому постараемся и мы разобраться в ней.
Общее понятие
Сравнив чуть ранее компьютерный вирус с реальным микроорганизмом, можно провести параллель и с тем, что поражает конкретный вирус или червь. Одной из основополагающих является классификация компьютерных вирусов по среде обитания, ведь, в зависимости от назначения, расположение вируса в компьютерной среде будет также различаться. Приведём общую стандартную схему.
- Файловые вирусы. Пожалуй, самыми распространёнными на сегодняшний день являются вирусы, которые поражают файлы на вашем компьютере. В большинстве случаев они проникают в исполняемые файлы или библиотеки программ для исполнения своих задач. Эти вирусы представляют из себя скрипт, написанный на скриптовом языке программирования (например JavA).
- Загрузочные вирусы. Как понятно из названия, они запускаются при загрузке операционной системы. Они записывают свой код в загрузочный сектор Windows.
- Сетевые вирусы. Достаточно неприятная вещь, рассылающая свои копии по сети, почте или системам обмена сообщениями по типу ICQ. Еще одним неприятным моментом является то, что такой вирус может размножаться до тех пор, пока не заполнит всё место на компьютере пользователя, а в самом худшем случае еще и начнет освобождать себе место, удаляя пользовательские программы.
- Макро-вирусы. Поражают исключительно файлы приложений, поддерживающих работу с макросами, такими как Office.
Стоит заметить, что такая классификация вирусов не может быть полной, поскольку развитие этой заразы не стоит на месте, и существуют вирусы, которые можно отнести к нескольким подтипам.
Внимание, опасность!
Рассматривать вирусы можно с абсолютно разных сторон. Если говорить о них по степени воздействия на систему, то классификация компьютерных вирусов кратко будет выглядеть так:
- Опасные. Такие вирусы определяются по количеству нанесённого урона файлам владельца компьютера. Данный тип уничтожает не только информацию пользователя, но и ресурсы самой операционной системы.
- Неопасные вирусы зачастую даже не заметны обычному пользователю. Они могут спокойно жить в вашем компьютере, выполняя, например, роль посредника при рассылке своих копий по сети. Найти такие вирусы достаточно сложно, лучшим способом будет установка утилиты для отслеживания загрузки процессора компьютера, а также сетевой активности.
Работают специалисты
Отдельного упоминания заслуживает классификация компьютерных вирусов и антивирусных программ. Большинство специалистов, работающих в сфере компьютерной безопасности, имеют свои классификации и способы обозначения компьютерных вирусов. Например, всем известная лаборатория Касперского. После многих лет работы ими была создана, пожалуй, самая подробная классификация компьютерных вирусов. Касперский выделяет следующие типы «вредителей»:
- Уже известные сетевые вирусы — черви, использующие для распространения электронную почту.
- Упаковщики. Это, скорее, просто вредители, а не вирусы, засланные с определённой целью. Их задача заключается в архивировании файлов таким образом, чтобы их разархивация была невозможна. Зачастую при архивации они в дополнение ещё и кодируют информацию.
- Вредоносные утилиты.
- Троянские программы. Их название происходит от мифа о троянском коне. Соответствуя своему прототипу, такие вирусы маскируются под безвредные программы для проникновения на компьютер. Их основное функциональное назначение — предоставление доступа злоумышленнику к управлению вашим компьютером. Здесь также можно выделить некоторые подкатегории:
1) вирусы, для удалённого управления вашим компьютером;
2) вирусы для загрузки вредоносного обеспечения из интернета;
3) программы, несанкционированно устанавливающие на компьютер другие вирусы.
Как заразиться
Предупреждён — значит вооружён. Так гласит народная мудрость. Зная, где и как существует возможность подхватить компьютерный вирус, можно избежать огромных проблем, связанных с удалением его. Предотвратить заражение намного проще, чем вылечить компьютер после попадания в него вируса. Существует также классификация компьютерных вирусов по способу заражения:
- Нерезидентные вирусы живут и работают недолго. Однажды выполнив свою функцию, они остаются на компьютере. Даже если вы найдёте такой вирус, нет никаких гарантий, что он уже не выполнил свою задачу и, например, не выслал ваши пароли злоумышленнику.
- Резидентные вирусы намного опаснее. Они загружаются в оперативную память компьютера, и при обращении к ней операционной системы поражают выполняемые файлы. Справиться с этой бедой очень сложно, поскольку после удаления тела вируса с жесткого диска его работающая часть останется в памяти и создаст себе новую копию.
Защита от вирусов
Как уже стало понятно, вредоносных программ существует великое множество. Защититься от них не поможет ни одна классификация вирусов. Компьютерных мошенников, спамеров развелось настолько много, что своими собственными руками справиться со всеми невозможно. Именно для этого существует большое количество антивирусных программ, способных помочь справиться с этой проблемой. Рассмотрим их с точки зрения обычных пользователей.
Самой распространённой антивирусной программой является «Антивирус Касперского». Предлагаемая пользователям во всех возможных магазинах, эта программа способна надёжно защитить компьютер от вредоносных программ. Тем не менее продвинутые пользователи знают о существенных побочных эффектах этой надёжности. «Касперский» не только очень сильно грузит систему и при малейшей опасности поднимает тревогу, но еще и не даёт адекватно работать с пользовательскими приложениями. Поэтому в настоящий момент этот антивирус используется в основном на предприятиях, поскольку его покупку проще провести по бухгалтерии, да и проверочные комиссии по безопасности относятся к нему намного лояльнее. Стоит заметить, что, благодаря этой лаборатории, была создана базовая классификация компьютерных вирусов. Сообщение о том, что найден вирус на компьютера, которое выдаёт их антивирус, к сожалению, не всегда несёт в себе достоверную информацию.
Достойной заменой «Касперскому», может послужить NOD32. Надёжно и прочно защищает, специально для обычных пользователей существуют бесплатные версии. Работает как часы и без сбоев, но абсолютную надёжность обеспечивает исключительно в полной платной комплектации. Поэтому единственным недостатком этого антивируса станет цена, если исключить скачивание неподдерживаемых взломанных версий.
Лидером среди антивирусов по праву можно считать Dr.Web. Не гоняясь за славой и заработком, он предоставляет всем желающим на своём сайте скачать пробную версию с полным функционалом. Одной из главных особенностей «Доктора» является возможность приостановить полностью работу операционной системы, что позволяет поймать даже самых «хитрых вредителей». Этой программой используется собственная классификация вирусов. Компьютерных червей утилита находит быстро и эффективно, а резидентные вирусы не способны «спрятаться» в оперативной памяти.
Врага надо знать в лицо
Итак, выше была рассмотрена классификация компьютерных вирусов. С примерами вам, наверно, было бы проще разобраться, поэтому приведём несколько для наглядности.
Trj.Reboot — заставляет перезагружаться ваш компьютер.
Relax — инфицирует документы Microsoft Word, а также глобальные переменные. Был особенно популярен и актуален на Windows 98. Результатом работы становится выведение на экран информационного сообщения.
Marburg — поражает выполняемые файлы с расширением EXE, запуская их в различных директориях, в результате чего увеличивается их размер.
Flame — компьютерный червь, обнаруженный «Лабораторией Касперского». Его особенность в том, что он состоит из нескольких десятков частей, каждая из которых имеет свой функционал.
Подумайте о безопасности
В данной статье были рассмотрены понятие и классификация компьютерных вирусов. Если вы внимательно и вдумчиво прочитали всё написанное, то наверное уже поняли, что абсолютной защиты не существует. Несмотря на это, выбор средств защиты ложится на ваши плечи. Последнее, что стоило бы указать, так это просто пару полезных советов:
- Не лезьте на подозрительные сайты и не переходите по ссылкам, присланным незнакомыми людьми.
- Не ведитесь на рекламу и всплывающие окна в интернете.
- Если скачиваете программы из интернета, убедитесь в безопасности источника.
- В случае если ищете какую-либо программу, старайтесь скачивать её на популярных ресурсах, а не на задворках всемирной паутины.
- Не используйте носители данных, которые могли вставляться в компьютеры общего пользования (интернет-кафе).
Следуя этим простым советам, вы сможете обойтись даже без антивируса. А классификация компьютерных вирусов понадобится вам разве что для учебы или саморазвития.
www.syl.ru
2. Антивирусные программы, их классификация. Краткая характеристика российских и зарубежных программ-антивирусов, используемых на пк
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора (фаги) и вакцинаторы (иммунизаторы).
Антивирусы-фильтры или «сторожа» — это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях. При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса — Aidstest, Doctor Web, MicroSoft AntiVirus. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.
Ревизоры — это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. Программы — ревизоры относятся к самым надежным средствам защиты от вирусов.
К последней группе относятся самые неэффективные антивирусы — вакцинаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
AIDSTEST
В нашей стране особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. Одна из последних версий обнаруживает более 1500 вирусов.
Программа Aidstest предназначена для исправления программ, зараженных обычными вирусами, не меняющими свой код.
Недостатки программы Aidstest: не распознает обычные вирусы; не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы; не умеет проверять и лечить файлы в архивах; не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа EXEPACK, DIET, PKLITE и т.д.
Достоинства Aidstest: легка в использовании; работает очень быстро; распознает значительную часть вирусов; хорошо интегрирована с программой-ревизором Adinf; работает практически на любом компьютере.
DOCTOR WEB
В последнее время стремительно растет популярность другой антивирусной программы — Doctor Web, которую предлагает фирма «Диалог-Наука». Эта программа была создана в 1994 г. И.А. Даниловым. Dr.Web так же, как и Aidstest относится к классу детекторов — докторов, но в отличие от последнего имеет так называемый «эвристический анализатор» — алгоритм, позволяющий обнаруживать неизвестные вирусы.
В отличие от Aidstest, программа Dr.Web: распознает полиморфные вирусы; снабжена эвристическим анализатором; умеет проверять и лечить файлы в архивах; позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.
AVSP (Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).
ADINF (Advanced Diskinfoscope)
ADinf относится к классу программ-ревизоров. Эта программа была создана Д. Ю. Мостовым в 1991 г.
Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не придумано.
Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информации на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог.
Norton AntiVirus
Антивирус разработанный компанией Symantec Corporation. Один из наиболее известных и популярных антивирусов. Процент распознавания вирусов очень высокий (близок к 100%). В программе используется механизм, который позволяет распознавать новые неизвестные вирусы. Norton AntiVirus обезвреживает все виды вирусов, защищает компьютер во время работы в интернете, проверяет электронную почту и загружаемые из сети файлы. Антивирус Norton AntiVirus может по требованию пользователя просканировать все локальные диски, включая дискеты и CD, на наличие вирусов в файлах. Кроме того, в программе Norton AntiVirus реализована защита от шпионских модулей (spyware). Недостатком данной программы является сложность настройки (хотя базовые настройки изменять, практически не требуется).
AVP (AntiViral Toolkit Pro)
Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня AVP практически ни в чем не уступает западным аналогам.
AVP предоставляет пользователям максимум сервиса — возможность обновления антивирусных баз через Интернет, возможность задания параметров автоматического сканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно, а база данных включает описания уже почти 40 тысяч вирусов.
studfiles.net