Компьютерные вирусы: понятие, история, классификация
Федеральное
агентство по образованию
Нижегородский
государственный университет им. Н.И.Лобачевского
Финансовый
факультет
Кафедра:
Налоги и системы налогообложения
Дисциплина:
Информатика
Курсовая
работа
на
тему: Компьютерные вирусы: понятие, история, классификация
Нижний
Новгород, 2010
Введение
В настоящее время компьютеры стали настоящими
помощниками человека и без них уже не может обойтись ни рядовой пользователь,
ни коммерческая фирма, ни государственная организация. Однако в связи с этим
особенно обострилась проблема защиты информации.
В первую очередь это связано с появлением
самовоспроизводящихся программ-вирусов, препятствующих нормальной работе
компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в
компьютере информации.
Несмотря на принятые во многих странах законы о
борьбе с компьютерными преступлениями и разработку специальных программных
средств защиты от вирусов, количество новых программных вирусов постоянно
растет. Это требует постоянного совершенствования знаний о природе вирусов,
способах заражения вирусами и защиты от них.
Особо стоит отметить, что именно в России
проблеме защиты от компьютерных вирусов долгое время не уделялось должного
внимания. До 1991 - 1992 гг. проблема компьютерных вирусов практически не
стояла в нашей стране. Даже сообщения о вирусных атаках и ущербе, причинённом
западным компьютерным центрам, который оценивается миллионами долларов, не
вызывали большой тревоги среди компьютерных специалистов России, ибо
описываемое происходило вдали от России, на Западе, а следовательно, не
представляло угрозы. Однако первые нападения вирусов на отечественные
компьютеры заставили изменить точку зрения на эти проблемы.
Не успев появиться в нашей стране, компьютерные
вирусы распространились повсюду. Сейчас, пожалуй, немного осталось организаций,
в которых пользователи персональных компьютеров не успели ещё на практике
познакомиться с этим явлением. Но с появлением вирусов параллельно возникла ещё
одна проблема: в имеющейся литературе для широкого круга читателей очень часто
представлены не только неправдоподобные, но иногда даже ошибочные и заведомо
ложные сведения! Как следствие этого имеем очень низкий уровень знаний о
вирусах и способах борьбы с ними.
В последнее время ситуация постепенно изменяется
в лучшую сторону. Во многом этому способствуют новые периодические издания
(например, журнал «Хакер», посвящённый вопросам информационной безопасности), а
также специализированные конференции и семинары для специалистов и
пользователей, проводимые разработчиками антивирусных программ и
специализированными изданиями (например, журнал Virus Bulletin, будучи наиболее
авторитетным международным изданием, посвященным вопросам борьбы с вредоносными
программами, проводит ежегодные «антивирусные конференции», на которых
обсуждаются проблемы исследования новых тенденций развития вредоносных программ
и методов защиты от них компьютерных пользователей во всем мире). Однако
проблема компьютерных вирусов и правильной защиты компьютера от вредоносных
программ так и остаётся до конца неосвещенной.
Итак, целью данной курсовой работы является
исследование компьютерных вирусов и антивирусных программ.
Поставленная цель раскрывается через следующие
задачи:
. исследовать понятие компьютерных
вирусов и их классификацию;
2. исследовать историю появления и развития
компьютерных вирусов;
. исследовать методы борьбы с
компьютерными вирусами и работу некоторых антивирусных программ;
Глава 1. История, понятие и
классификация компьютерных вирусов
§1.1 История создания компьютерных
вирусов
Теоретические основы создания компьютерных
вирусов были заложены в 40-х годах прошлого столетия американским ученым Джоном
фон Нейманом, который также известен как автор базовых принципов работы
современного компьютера. Впервые же термин вирус в отношении компьютерных
программ применил Фред Коэн. Это случилось 3 ноября 1983 года на еженедельном
семинаре по компьютерной безопасности в Университете Южной Калифорнии (США),
где был предложен проект по созданию самораспространяющейся программы, которую
тут же окрестили вирусом.
Первый известный вирус был написан для
компьютера Univac 1108 (конец 1960-х - начало 1970-х годов). Он назывался
Pervading Animal и фактически представлял собой игру, написанную с ошибкой - с
помощью наводящих вопросов программа пыталась определить имя животного,
задуманного играющим. Ошибка заключалась в том, что при добавлении новых
вопросов модифицированная игра записывалась поверх старой версии плюс
копировалась в другие директории. Следовательно через некоторое время диск
становился переполненным.
В 1969 году в США была создана первая глобальная
компьютерная сеть, прародитель современной Интернет, ARPANET2. Уже в начале
1970-х в ARPANET появился первый вирус, умеющий распространяться по сети. Он
назывался Creeper и был способен самостоятельно выйти в сеть через модем и
сохранить свою копию на компьютере. Для удаления назойливого, но в целом
безобидного вируса неизвестным была создана программа Reaper. По сути это был
вирус, выполнявший некоторые функции, свойственные антивирусу: он
распространялся по компьютерной сети и в случае обнаружения на машине вируса
Creeper, уничтожал его.
В 1984 году вышли в свет первые настоящие
антивирусные программы - CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс.
Программы анализировали загрузочные модули и позволяли перехватывать запись и
форматирование, выполняемые через BIOS. На то время они были очень эффективны и
быстро завоевали популярность.
Первую настоящую глобальную эпидемию вызвал в
1986 году вирус Brain. Он был написан двумя братьями-программистами Баситом
Фарук и Амжадом Алви из Пакистана с целью определения уровня компьютерного
пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска
на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов.
В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987
года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не
делал.
В этом же году произошло еще одно знаменательное
событие. Немецкий программист Ральф Бюргер открыл возможность создания
программой своих копий путем добавления своего кода к выполняемым файлам
формата. Опытный образец программы, получившей название Virdem, был
продемонстрирован на форуме компьютерного программного обеспечения - Chaos Computer
Club (декабрь 1986 года, Гамбург, ФРГ). По результатам исследований Бюргер
выпустил книгу "Computer Viruses. The Disease of High Technologies",
послужившую толчком к написанию тысяч компьютерных вирусов, частично или
полностью использовавших описанные автором идеи.
В следующем 1987 году был написан первый
по-настоящему вредоносный вирус - Lehigh. Он вызвал эпидемию в Лехайском
университете (США), где в то время работал Фред Коэн. Lehigh заражал только
системные файлы и был запрограммирован на удаление всей информации на
инфицированном диске. Однако за пределы университета Lehigh не вышел.
Примечательно, что в 1988 году, известный
программист Питер Нортон высказался резко против существования вирусов. Он
официально объявил их несуществующим мифом. Это показывает, сколь низка была
культура антивирусной безопасности в то время.
Тогда же, в 1988, вышла первая широко известная
антивирусная программа, написанная английским программистом Аланом Соломоном и
называлась Dr. Solomon's Anti-Virus Toolkit. Она завоевала огромную
популярность и просуществовала вплоть до 1998 года, когда компания Dr. Solomon
была поглощена другим производителем антивирусов - американской Network
Associates (NAI).
В декабре 1989 года разразилась первая эпидемия
троянской программы - Aids Information Diskette. Ее автор разослал около 20000
дискет с вирусом по почтовым адресам в Европе, Африке и Австралии, похищенным
из баз данных Организации всемирного здравоохранения и журнала PC Business
World. После запуска вредоносная программа автоматически внедрялась в систему,
создавала свои собственные скрытые файлы и модифицировала системные файлы.
Через 90 загрузок операционной системы все файлы на диске становились
недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на
указанный адрес.
В том же году был обнаружен вирус Cascade,
вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем,
что послужил толчком для профессиональной переориентации Евгения Касперского на
создание программ-антивирусов, будучи обнаруженным на его рабочем компьютере.
Уже через месяц второй инцидент (вирус Vacsina) был закрыт при помощи первой
версии антивируса -V, который несколькими годами позже был переименован в AVP -
AntiViral Toolkit Pro.
Вскоре после этого, в конце 1990, несмотря на
громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он
авторитетно заявлял о надуманности проблемы вирусов, вышла первая версия
антивирусной программы Norton AntiVirus.
Первый общедоступный конструктор вирусов VCL
(Virus Creation Laboratory), представляющий собой графическую среду для
разработки вирусов для операционной системы MS DOS, появился в июле 1992 года.
Начиная с этого момента, любой человек мог легко сформировать и написать вирус.
Этот год также положил начало эпохи вирусов для Windows - был создан первый
вирус, поражающий исполняемые файлы Microsoft Windows 3.1. Следующий год
запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии
выпуска новой операционной системы Windows 95, была разослана демонстрационная
дискета, зараженная загрузочным вирусом Form.
В августе 1995 появился Concept - первый вирус,
поражавший документы Microsoft Word. До февраля 1997 года считалось, что
операционная систем Linux неуязвима перед вирусами, пока не появился Linux.Bliss.
26 марта 1999 года началась глобальная эпидемия Melissa - первого вируса для MS
Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же
после заражения системы он считывал адресную книгу почтовой программы MS
Outlook и рассылал по первым 50 найденным адресам свои копии. Причем это
делалось абсолютно незаметно для пользователя и, что самое страшное, от его
имени. Такие компании как Microsoft и Intel были вынуждены временно отключить
свои корпоративные службы электронной почты. Август 2000 года ознаменовался
завоеванием вирусами мобильных устройств - вирус Liberty заражал карманные
компьютеры Palm Pilot с операционной системой PalmOS. С этого момента больше не
существовало устройств с операционной системой, не подвергавшихся вирусной атаке.
§1.2 Понятие и свойства компьютерных
вирусов
Сейчас применяются персональные компьютеры, в
которых пользователь имеет свободный доступ ко всем файлам. Именно это открыло
возможность для действия компьютерного вируса.
Что такое компьютерный вирус? Формальное
определение этого понятия до сих пор не сформулировано, и есть серьезные
сомнения, что оно вообще может быть дано. Многочисленные попытки дать
«современное» определение вируса не привели к успеху. Даваемые определения либо
слишком общие, либо сводятся к перечислению известных типов вирусов. И то и
другое нельзя считать приемлемым. Поэтому ограничимся рассмотрением некоторых
свойств компьютерных вирусов, которые позволяют говорить о них как о некотором
определенном классе программ.
Прежде всего, вирус - это программа.
Такое простое утверждение само по себе способно развеять множество легенд о
необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть
изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам
о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран
смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно. компьютерный вирус программа защита
Вирус - программа, обладающая
способностью к самовоспроизведению. Такая способность
является единственным средством, присущим всем типам вирусов. Но не только
вирусы способны к самовоспроизведению. Любая операционная система и еще
множество программ способны создавать собственные копии. Копии же вируса не
только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не
совпадать!
Вирус не может существовать в
«полной изоляции»: сегодня нельзя представить себе
вирус, который не использует код других программ, информацию о файловой
структуре или даже просто имена других программ. передачу себе управления.
§1.3 Классификация вирусов
В настоящее время известно более 7000
программных вирусов, их можно классифицировать по следующим признакам:
· среде обитания
· способу заражения среды обитания
· воздействию
· особенностям алгоритма
В зависимости от среды обитания вирусы можно
разделить на сетевые, файловые, загрузочные и файлово-загрузочные.
Сетевые вирусы
распространяются по различным компьютерным сетям.
Файловые вирусы
внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие
расширения COM и EXE.
Файловые вирусы могут внедряться и в другие типы файлов, но, как правило,
записанные в таких файлах, они никогда не получают управление и, следовательно,
теряют способность к размножению.
Загрузочные вирусы
внедряются в загрузочный сектор диска (Boot-сектор)
или в сектор, содержащий программу загрузки системного диска (Master
Boot Re-cord).
Файлово-загрузочные
вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные
и нерезидентные.
Резидентный вирус
при заражении (инфицировании) компьютера оставляет в оперативной памяти свою
резидентную (главную) часть, которая потом перехватывает обращение операционной
системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и
внедряется в них. Резидентные вирусы находятся в памяти и являются активными
вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы
не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на
следующие виды:
· неопасные,
не мешающие работе компьютера, но уменьшающие объем свободной оперативной
памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо
графических или звуковых эффектах
· опасные
вирусы, которые могут привести к различным нарушениям в работе компьютера
· очень опасные,
воздействие которых может привести к потере программ, уничтожению данных,
стиранию информации в системных областях диска.
Здесь особо стоит отметить классификацию по степени
воздействия, приводимую автором многих книг, посвящённых компьютерным вирусам,
А.А.Парандовским.
Согласно классификации Парандовского, по степени
разрушительности вирусы можно условно разделить на два
типа:"иллюзионисты" и "вандалы". Основным приоритетом при
конструировании "иллюзионистов" является демонстрация какого-нибудь
экзотического звукового или визуального эффекта типа бегающего шарика,
осыпающихся букв и т.д. В качестве основного приоритета при конструировании
"вандалов" является обеспечение как можно более скрытого размножения.
При этом наблюдается интересная взаимосвязь:
если вирус демонстрирует нетривиальный визуальный или звуковой эффект, то
скорее всего он не выполняет массированного разрушения данных. Поэтому, если
неизвестный вирус демонстрирует какой-то изощренный эффект, то повышаются шансы
на то, что он не выполняет массированных разрушений файловой системы.
По особенностям алгоритма вирусы трудно
классифицировать из-за большого разнообразия.
Простейшие вирусы
- паразитические, они изменяют содержимое файлов и секторов диска и могут быть
достаточно легко обнаружены и уничтожены.
Можно отметить вирусы-репликаторы,
которые распространяются по компьютерным сетям, вычисляют адреса сетевых
компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки, называемые стелс-вирусами,
которые очень трудно обнаружить и обезвредить, так как они перехватывают
обращения операционной системы к пораженным файлам и секторам дисков и
подставляют вместо своего тела незараженные участки диска. Наиболее трудно
обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки,
благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся
цепочки байтов.
§1.4 Особые типы компьютерных
вирусов
Троянский конь
- это программа, содержащая в себе некоторую разрушающую функцию, которая
активизируется при наступлении некоторого условия срабатывания. Обычно такие
программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в
себе троянских коней или "троянизировать" другие программы - вносить
в них разрушающие функции.
Программные закладки
также содержат некоторую функцию, наносящую ущерб операционной системе, но эта
функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше
программа не будет вызывать подозрений, тем дольше закладка сможет работать.
Если вирусы и «троянские кони» наносят ущерб
посредством лавинообразного саморазмножения или явного разрушения, то основная
функция вирусов типа «червь», действующих в компьютерных сетях, - взлом
атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и
целостности.
Червями
называют вирусы, которые распространяются по глобальным сетям, поражая целые
системы, а не отдельные программы. Это самый опасный вид вирусов, так как
объектами нападения в этом случае становятся информационные системы
государственного масштаба. С появлением глобальной сети Internet этот вид
нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент
может подвергнуться любой из компьютеров, подключенных к этой сети.
Глава 2. Пути проникновения
компьютерных вирусов в компьютер и способы защиты от компьютерных вирусов
§2.1 Пути проникновения компьютерных
вирусов в компьютер
Основными путями проникновения вирусов в
компьютер являются:
· лазерные диски
· внешние запоминающие устройства
· компьютерные сети
Вирус, как правило, внедряется в рабочую программу
таким образом, чтобы при ее запуске управление сначала передалось ему и только
после выполнения всех его команд снова вернулось к рабочей программе. Получив
доступ к управлению, вирус, прежде всего, переписывает сам себя в другую
рабочую программу и заражает ее. После запуска программы, содержащей вирус,
становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный
сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне
редко заражаются текстовые файлы. После заражения программы вирус может
выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь
внимания. И, наконец, не забывает возвратить управление той программе, из
которой был запущен. Каждое выполнение зараженной программы переносит вирус в
следующую. Таким образом, заразится все программное обеспечение.
§2.2 Признаки появления компьютерных
вирусов и основные эффекты, используемые вирусами
При заражении компьютера вирусом важно его
обнаружить. Для этого следует знать об основных признаках проявления вирусов. К
ним можно отнести следующие:
·
отказ
в выполнении той или иной функции (например, блокировка вирусом комбинации
клавиш Ctrl+Alt+Del,
дающих возможность остановить выполняемые процессы и перезагрузить систему);
·
выполнение
действий, не предусмотренных программой (например, изменение данных в
каком-либо файле);
·
разрушение
отдельных файлов или всей файловой системы в целом (форматирование диска,
удаление файла);
·
выдача
ложных, раздражающих или отвлекающих сообщений (например «Non
system disk»);
·
создание
звуковых и визуальных эффектов (например, падение букв, замедление выполнения
программ, проигрывание мелодий);
·
инициирование
ошибок или сбоев в программе или операционной системе, «зависание» или
самопроизвольная перезагрузка операционной системы;
·
блокирование
доступа к системным ресурсам (разрастание заражённых файлов за счёт их
многократного повторного заражения, невозможность изменения параметров
заражённой программы, замедление работы компьютера путём выполнения специальных
процессов);
·
имитация
сбоев аппаратуры (например, «зависание» компьютера через некоторое время после
перезагрузки операционной системы);
·
шифрование
информации на жёстком диске (это происходит вследствие «борьбы за
выживание»-при удалении самого вируса пользователь не сможет пользоваться
зашифрованными данными);
Следует отметить, что вышеперечисленные явления
необязательно вызываются присутствием вируса, а могут быть следствием других
причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
§2.3 Методы защиты от компьютерных
вирусов
Каким бы ни был сам вирус и каким бы путём он ни
попал в компьютер, необходимо знать основные методы защиты хранимой информации
от компьютерных вирусов.
Для защиты от вирусов можно использовать:
· общие средства защиты информации,
которые полезны также и как
страховка от физической порчи дисков,
неправильно работающих
программ или ошибочных действий пользователя;
· профилактические меры, позволяющие
уменьшить вероятность заражения;
· специализированные программы для
защиты от вирусов;
Стоит отметить, что общие средства защиты
информации полезны не только для защиты от вирусов. Имеются две основные
разновидности этих средств:
· копирование информации - создание
резервных копий файлов;
· ограничение доступа - создание на
одном компьютере профиля ещё одного пользователя, доступ к системным файлам в
котором ограничен.
§2.4 Проблемы борьбы с компьютерными
вирусами
Распространение вирусов по электронной почте
(возможно, наиболее многочисленных и вредоносных) можно было бы предотвратить
недорогими и эффективными средствами без установки антивирусных программ, если
бы были устранены дефекты программ электронной почты, которые сводятся к
выполнению без ведома и разрешения пользователя исполняемого кода,
содержащегося в письмах.
Обучение пользователей может стать эффективным
дополнением к антивирусному программному обеспечению. Простое обучение
пользователей правилам безопасного использования компьютера (например, не
загружать и не запускать на выполнение неизвестные программы из Интернета)
снизило бы вероятность распространения вирусов и избавило бы от надобности
пользоваться многими антивирусными программами.
Пользователи компьютеров не должны всё время
работать с правами администратора. Если бы они пользовались режимом доступа
обычного пользователя, то некоторые разновидности вирусов не смогли бы
распространяться (или, по крайней мере, ущерб от действия вирусов был бы
меньше).
Метод обнаружения вирусов по поиску соответствия
в словаре не всегда достаточен из-за продолжающегося создания всё новых
вирусов, метод подозрительного поведения не работает достаточно хорошо из-за
большого числа ошибочных решений о принадлежности к вирусам незаражённых
программ. Следовательно, антивирусное программное обеспечение в его современном
виде никогда не победит компьютерные вирусы.
Различные методы шифрования и упаковки
вредоносных программ делают даже известные вирусы необнаруживаемыми
антивирусным программным обеспечением. Для обнаружения этих «замаскированных»
вирусов требуется мощный механизм распаковки, который может дешифровать файлы
перед их проверкой. К несчастью, во многих антивирусных программах эта
возможность отсутствует и, в связи с этим, часто невозможно обнаружить
зашифрованные вирусы.
Постоянное появление новых вирусов даёт
разработчикам антивирусного программного обеспечения хорошую финансовую
перспективу.
Некоторые антивирусные программы могут
значительно понизить быстродействие. Пользователи могут запретить антивирусную
защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая
риск заражения вирусами. Для максимальной защищённости антивирусное программное
обеспечение должно быть подключено всегда, несмотря на потерю быстродействия.
Иногда приходиться отключить антивирусную защиту
при установке обновлений программ и операционной системы. Антивирусная
программа, работающая во время установки обновлений, может стать причиной
неправильной установки модификаций или полной отмене установки модификаций.
Перед обновлением Windows лучше отключить защиту от вирусов, в противном случае
процесс обновления может завершиться неудачей.
Глава 3. Антивирусные программы
§3.1 Понятие антивирусной программы
Прежде чем приступить к изучению типов
антивирусных программ, следует дать определение понятия «антивирусная
программа».
Итак, антивирусная программа - это
программное средство, предназначенное для борьбы с компьютерными вирусами путём
выполнения следующих функций:
· препятствование проникновению
вирусов в компьютер;
· обнаружение компьютерных вирусов на
«заражённом» компьютере;
· устранение вируса без повреждения
незаражённых файлов и минимальное изменение заражённых при их лечении;
· минимализация общего ущерба от
действия вирусов.
§3.2 Типы специализированных
программ для защиты от вирусов
Несмотря на то, что общие средства защиты
информации очень важны для защиты от вирусов, все же их недостаточно.
Необходимо и применение специализированных программ для защиты от вирусов. Эти
программы можно разделить на несколько видов: детекторы, доктора, ревизоры,
доктора-ревизоры, фильтры и вакцины (иммунизаторы).
Программы-детекторы позволяют
обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти
программы проверяют, имеется ли в файлах на указанном пользователем диске
специфическая для данного файла комбинация символов. При ее обнаружении в
каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы
имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть,
что программы-детекторы могут обнаруживать только те вирусы, которые ей
"известны". Таким образом, из того, что программа не опознается
детекторами как зараженная, не следует, что она здорова - в ней могут сидеть
какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные
программам-детекторам. Многие программы-детекторы не умеют обнаруживать
заражение "невидимыми" вирусами, если такой вирус активен в памяти
компьютера. Большинство программ-детекторов имеют функцию "доктора",
т.е. они пытаются вернуть зараженные файлы или области диска в их исходное
состояние. Те файлы, которые не удалось восстановить, как правило, делаются
неработоспособными или удаляются.
Большинство программ-докторов умеют
"лечить" только от некоторого фиксированного набора вирусов, поэтому
они быстро устаревают. Но некоторые программы могут обучаться не только
способам обнаружения, но и способам лечения новых вирусов.
Программы-ревизоры
имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и
операционной ситемы (загрузочного сектора и сектора с таблицей разбиения
жесткого диска). Предполагается, что в этот момент программы и операционная
система не заражены. После этого с помощью программы-ревизора можно в любой
момент сравнить состояние программ и операционной системы с исходным. О
выявленных несоответствиях сообщается пользователю. Многие программы-ревизоры
являются довольно "интеллектуальными" - они могут отличать изменения
в файлах, вызванные, например, переходом к новой версии программы, от
изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что
вирусы обычно изменяют файлы весьма специфическим образом и производят
одинаковые изменения в разных программных файлах. Понятно, что в нормальной
ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор,
зафиксировав факт таких изменений, может с уверенностью сообщить, что они
вызваны именно вирусом. Для проверки того, не изменился ли файл, некоторые
программы-ревизоры проверяют длину файла. Но эта проверка недостаточна -
некоторые вирусы не изменяют длину зараженных файлов.
В последнее время появились очень полезные
гибриды ревизоров и докторов, т.е. доктора-ревизоры,- программы, которые
не только обнаруживают изменения в файлах и системных областях дисков, но и
могут в случае изменений автоматически вернуть их в исходное состояние. Такие
программы могут быть гораздо более универсальными, чем программы-доктора,
поскольку при лечении они используют заранее сохраненную информацию о состоянии
файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех
вирусов, которые не были созданы на момент написания программы. Но они могут
лечить не от всех вирусов, а только от тех, которые используют
"стандартные", известные на момент написания программы, механизмы
заражения файлов.
Существуют также программы-фильтры,
которые располагаются резидентно в оперативной памяти компьютера и
перехватывают те обращения к операционной системе, которые используются
вирусами для размножения и нанесения вреда, и сообщают о них пользователя.
Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-фильтры не "ловят" подозрительные действия, а
проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает
замедление работы компьютера. Однако преимущества использования
программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы
на самой ранней стадии, когда вирус еще не успел размножиться и что-либо
испортить. Тем самым можно свести убытки от вируса к минимуму.
Программы-вакцины,
или иммунизаторы, модифицируют программы и диски таким образом, что это
не отражается на работе программ, но тот вирус, от которого производится
вакцинация, считает эти программы или диски уже зараженными. Эти программы
крайне неэффективны.
§3.3 Существующие антивирусные
программы
Рассмотрим и сравним некоторые антивирусные
программы. Для сравнения возьмём сверхпопулярные в нашей стране антивирусы - Dr.Web,
Esest NOD32,
Антивирус Касперского; а также достаточно популярные McAfee
Virus Scan
Pro, Panda
Antivirus 2009 и BitDefender
Antivirus
Plus v10.
Для начала рассмотрим некоторые функциональные
особенности каждого из антивирусов.
1) BitDefender Antivirus Plus v10
· функция Heuristics in Virtual
Environment - эмуляция виртуальной машины, с помощью которой проходят проверку
потенциально опасные объекты с использованием эвристических алгоритмов;
· автоматическая проверка данных,
передаваемых по протоколу POP3, поддержка наиболее популярных почтовых клиентов
(MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes,
Pegasus, The Bat и другие);
· защита от вирусов,
распространяющихся через файлообменные Peer-2-Peer сети;
· формирование личного спам-листа
пользователя.
2) Esest NOD32
· эвристический анализ, позволяющий
обнаруживать неизвестные угрозы;
· технология ThreatSense - анализ
файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы
(adware) и других угроз;
· поверка протоколов HTTP, POP3 и
PMTP.
3) Антивирус Касперского
· проверка трафика для входящих и
исходящих сообщений, специальные плагины для Microsoft Outlook, Microsoft
Outlook Express;
· предупреждение пользователя в случае
обнаружения изменения как в нормальных процессах, так и при выявлении скрытых,
опасных и подозрительных;
· контроль изменений, вносимых в
системный реестр;
· блокирование опасных макросов Visual
Basic for Applications в документах Microsoft Office.
4) Panda
Antivirus
· сканирование всего жёсткого диска
или отдельных его участков;
· расширенное меню настроек;
· поверка протоколов HTTP, POP3 и
PMTP.
5) McAfee
Virus
Scan
Pro
· защита от вирусов, макровирусов,
троянов, Интернет-червей, вредоносных элементов управления ActiveX и Java;
· автоматическая проверка входящей и
исходящей электронной почты;
· технологии ScriptStopper и
WormStopper для блокирования вредоносной активности червей.
6) Dr.Web
· защита от червей, вирусов, троянов,
полиморфных вирусов, макровирусов, программ-дозвонщиков, хакерских утилит и
вредоносных скриптов;
· обновление антивирусных баз до
нескольких раз в час, размер каждого обновления до 15 KB;
· проверка системной памяти
компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов
(например, CodeRed или Slammer);
· эвристический анализатор,
позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений
вирусных баз.
Для дальнейшего сравнения возьмём
результаты теста антивирусов, проведённого сайтом www.compdoc.ru
<#"655878.files/image001.gif">
2) Занимаемая оперативная память при проверке
компьютера на наличие Вирусов
При данном тесте запускается проверка папки с
большим количеством файлов. В папке находится заранее известное количество
вирусов (созданных до и после 2000 года).
) Время проверки
Данный тест проводится при тех же
условиях, что и в пункте 2). Его результаты представлены в Диаграмме 3.
3) Количество обнаруженных вирусов
Данный тест проводится при тех же условиях, что
и в пункте 2). Его результаты представлены в Диаграмме 4.
Системные требования данных антивирусов
приведены в Таблице 1.
Таблица 1. Системные требования
рассмотренных антивирусов
|
Системные
требования
|
|
Dr.Web
|
Процессор
Intel Pentium 150 МГц,
64 MB RAM, 110 MB свободного
места
на
жестком
диске,
наличие
системы
Windows 98/Me/2000 Pro/XP/Vista/7
|
|
McAfee Virus Scan
Pro
|
Процессор
Intel Pentium 133 МГц, 64 MB RAM, 40 MB свободного места на жестком диске,
наличие системы Windows 98/Me/2000/XP/Vista/7
|
|
Panda Antivirus
|
Процессор
Intel Pentium 150 МГц,
64 MB RAM, 110 MB свободного
места
на
жестком
диске,
наличие
системы
Windows 98/Me/2000 Pro/XP/Vista/7
|
|
Антивирус
Касперского
|
Процессор
Intel Pentium 133 МГц, 32 MB RAM, 50 MB свободного места на жестком диске,
наличие системы Microsoft Windows 98/NT/2000/Me/XP/Vista/7
|
|
Esest NOD32
|
Процессор
Intel Pentium, 32 MB RAM, 30 MB свободного места на жестком диске, наличие
системы Windows 95/98/NT/Me/2000/XP/Vista/7
|
|
BitDefender Antivirus
|
Процессор
Intel Pentium II 350 МГц,
128 MB RAM, 60 MB свободного
места
на
жестком
диске,
наличие
системы
Windows 98/NT/Me/2000/XP/Vista/7
|
На основании данных Таблицы 1 можно сделать
вывод, что ни одна антивирусная программа не требует серьёзных аппаратных
возможностей компьютера, но при выборе одной из программ стоит учитывать такой
параметр, как количество используемой при работе оперативной памяти (см. выше
пункты 1) и 2)).
На основе данного теста можно и Таблицы 1
составить сводную таблицу наиболее важных параметров рассматриваемых
антивирусных программ (Таблица 2).
Таблица 2. Основные преимущества и недостатки
рассмотренных антивирусных программ.
|
Основные
преимущества
|
Основные
недостатки
|
Цена,
руб*.
|
|
Dr.Web
|
Низкая
цена, экономия системных ресурсов, высокая продуктивность работы
|
Длительность
проверки
|
814
|
|
McAfee Virus Scan
Pro
|
Высокая
продуктивность работы
|
Высокая
цена, очень неэкономно использует системные ресурсы по сравнению с другими
антивирусами
|
1570
|
|
Panda Antivirus
|
Низкая
цена
|
Малая
распространённость, редкое обновление баз антивирусов
|
940
|
|
Антивирус
Касперского
|
Известность,
высокая продуктивность работы, часто обновляемые базы вирусов
|
Относительно
высокая цена, относительная длительность проверки
|
1160
|
|
Esest NOD32
|
Экономия
системных ресурсов
|
1285
|
|
BitDefender Antivirus
|
Высокая
скорость работы, часто обновляемые базы вирусов
|
Высокая
цена
|
1253
|
*Цена приблизительная. Изначальная цена указана
в долларах США. Окончательная цена в рублях зависит от курса валют.
Заключение
Вопрос защиты компьютеров от компьютерных
вирусов останется открытым и в будущем. В первую очередь это связано с тем, что
постоянно создаются совершенно новые виды вирусов, а следовательно и
антивирусные программы для защиты от них. Таким образом, процессы создания
компьютерных вирусов и новых методов борьбы с ними превращаются в бесконечную
замкнутую цепочку.
Проведя исследовательскую работу по данному
вопросу, можно сделать следующие важные выводы:
1. ни одна антивирусная программа не может
обеспечить стопроцентный уровень защиты компьютера;
2. необходимо адекватно оценивать
возможности вредоносных программ. Например, очень неразумно будет
отформатировать жесткий диск только из-за того, что на нём было обнаружено
подозрение на такой-то вирус. Это приведет к неоправданной потере информации и
сильной потери времени и сил, что, по нанесенному ущербу, будет больше, чем
смог бы сделать вирус;
. не стоит пытаться защитить компьютер
несколькими антивирусными программами одновременно. Это может привести к
неэкономному использованию аппаратных возможностей компьютера, а следовательно
и к невозможности выполнения некоторых важных задач.
Список используемой литературы
1) Гордон Я. Компьютерные вирусы
без секретов. - М.: Новый издательский дом, 2008.
2) Касперски К. Записки
исследователя компьютерных вирусов. - СПб.: Питер, 2007.
) Касперски К. Компьютерные
вирусы изнутри и снаружи. - СПб.: Питер, 2008.
) Парандовский А.А.
Энциклопедия компьютерных вирусов. - М .: Солон-Р, 2010.