|
Урок 6: Компьютерные вирусы и антивирусные программыЧто такое компьютерные вирусыСамое главное слово, которое нужно сказать при описании компьютерного вируса, такое: компьютерный вирус - это программа. Программа, которая выполняет в компьютере действия, приносящие вред владельцу компьютера. Поэтому компьютерные вирусы часто называют зловредными программами. Поняв, что компьютерный вирус - это программа, можно понять две следующие важные вещи:
Краткая история вредоносных программПервые вредоносные программы появились через несколько лет после появления персональных компьютеров серии IBM PC. Это случилось в начале 80-х годов двадцатого века. К 2005 году вредоносных программ зарегистрировано уже более 100000. Основная масса компьютерных вирусов - это так называемые студенческие вирусы. Их пишут студенты-подростки, изучающие программирование на компьютере. Они делают это в форме игры для самоутверждения. Часто такие вирусы только издают разные звуки, видеоэффекты, тормозят работу компьютера. Опасность студенческих вирусов в том, что в них много ошибок. Поэтому их воздействие на компьютер может быть непредвиденным. Способствует появлению такого огромного количества вредоносных программ то, что компьютеры серии IBM PC и их программное обеспечение являются открытыми. У миллионов людей есть доступ к тонкостям их архитектуры. Персональный компьютер появился в прошлом веке как игрушка. Поэтому в его архитектуру не было заложено средств защиты от вредоносных программ. Комплектующие к персональным компьютерам производятся многими странами. Постоянная гонка за новыми мощностями и прибылями не позволяет производителям программного обеспечения достаточно отладить свои программы. Поэтому новые программы выходят на рынок с ошибками в защите (это называется дырами в защите). Этими ошибками и пользуются создатели вредоносных программ. Они создают программы, которые проникают в компьютер благодаря наличию ошибок в защитных функциях программного обеспечения. Но вернёмся к истории создания вредоносных программ и выясним, почему они до сих пор называются компьютерными вирусами, хотя уже давно такими не являются в своей основной массе. Файловые вирусыПоскольку вредоносная программа может начать работу только после запуска на выполнение, то была очень маленькая вероятность, что, попав в компьютер, такая программа сможет нанести ему существенный вред. Проявившись один раз, такая программа была бы сразу уничтожена владельцем компьютера. Он просто удалил бы файл, содержащий вредоносную программу. Поэтому был придуман механизм размножения вредоносных программ в компьютере. Он состоял в том, что первые месяцы после появления в компьютере вредоносная программа никак внешне не проявляла себя, а занималась своим тиражированием или размножением. Когда Вы запускали на выполнение программу, содержащую вирус (зараженную программу), вирус совершал только одно короткое действие: он находил на компьютере другой "незараженный" файл с программой и "заражал" его, дописывая себя к файлу с программой. Так продолжалось несколько месяцев, к исходу которых на компьютере оказывалось уже несколько сотен или несколько тысяч программ, "зараженных" вирусом. Не правда ли, очень похоже на инкубационный период течения вирусной болезни? И способ размножения похож на вирусный. Для размножения используются здоровые клетки организма (файлы с программами на компьютере). И только достаточно размножившись, вирус начинал атаковать зараженный компьютер. Проявлялось это в зависаниях, порче данных на винчестере и тому подобном. Часто приходилось переформатировать винчестер и переустанавливать операционную систему. Такие вредоносные программы теперь называют файловыми вирусами. Основным разносчиком файловых вирусов были дискеты с компьютерными играми. Во времена ДОС игры помещались на дискетах. Boot-вирусыЗатем создатели вирусов освоили ещё один способ проникать в компьютер. При загрузке операционной системы компьютер может самостоятельно прочитать только нулевой Boot-сектор дискеты или винчестера. Считанная оттуда программа затем полностью управляет загрузкой операционной системы. В Boot-сектор достаточно грамотно вписать несколько команд, вызывающих на выполнение вирус, расположенный на винчестере компьютера. И тогда при каждой загрузке операционной системы в памяти компьютера уже будет находиться Boot-вирус. Для борьбы с Boot-вирусами в установочные параметры компьютера (Setup компьютера) ввели запрет загрузки с дискеты и запрет редактирования Boot-сектора винчестера. МакровирусыРаньше вирусы могли распространяться только через программы и не могли распространяться через текстовые файлы (нельзя запустить на выполнение текстовый файл, даже если записать в него насильно тело вируса). Но вот появились программы "Word" и "Excel". Документы, создаваемые этими программами, могут содержать макросы или скрипты. Это небольшие программы на языках типа Basic, которые производят вычисления и видеоэффекты внутри документа. Нетрудно догадаться, что вскоре появились макровирусы. А в программе "Word" в ответ на это ввели параметр настройки, запрещающий использование макросов. Макросы и скрипты сейчас используют очень многие программы. И наш любимый JAWS тоже использует в своей работе язык скриптов. Полиморфные и невидимые вирусыОчень быстро рынок отреагировал появлением фирм, разрабатывающих и продающих антивирусные программы. Создатели вирусов сразу ответили разработкой более сложных и трудно узнаваемых вирусов. Полиморфные вирусы при размножении производят не точные свои копии, а делают каждую свою копию отличной от всех предыдущих. Таким образом они защищаются от антивирусных программ. Вирусы-невидимки (стеллз-вирусы) перехватывают обращения операционной системы к дискам и дают искажённый ответ. Они делают таким образом свои файлы невидимыми на дисках. Конечно, для этого стеллз-вирус должен быть загружен в оперативную память компьютера (например, через Boot-сектор). Естественно, очень быстро появляются более мощные версии антивирусных программ, распознающих полиморфные и невидимые вирусы и понижающие своей сложной работой вычислительную мощность нашего компьютера и толщину нашего кошелька. Вирусописатели выстреливают созданием специальных программ-генераторов вирусов. И теперь даже школьники, сидящие второй месяц за компьютером, начинают производить тысячами новые вирусы и отравлять нам жизнь. Уже даже было математически доказано, что невозможно создать универсальную антивирусную программу. Поэтому эта война будет вечной. Психологические вирусыЕсть и нестандартные способы нанесения вреда чужим компьютерам. Не обязательно уметь программировать вирусы. Периодически по электронной почте приходят ложные предупреждения о вирусных атаках. В них запугивают появлением нового страшного вируса. Иногда авторы страшилок останавливаются на запугиваниях. Но иногда советуют для борьбы с вирусом удалить один или несколько файлов на Вашем компьютере, где "прячется" вирус. Но если Вы последуете их совету, то своими руками выведете свой компьютер из строя. Чаще всего он просто перестанет загружаться. Рассчитаны эти страшилки на людей, которые недавно подключились к сети Интернет и ещё не уверены в своих действиях. Другой распространённый способ обмана - это ложные письма от администрации провайдера. В этих письмах обычно сообщается о реорганизации работы или о сбоях на серверах провайдера, и Вас просят сообщить свой логин и пароль, под которыми Вы выходите в Интернет. Таким способом воруют пароли. Почтовые червиВ настоящее время 90% вредоносных и вирусных программ проникают на компьютеры из сети Интернет с электронными письмами и во время посещения сайтов. Почтовый червь - это вредоносная программа, находящаяся в файле, присоединённом к электронному письму. Авторы червя всячески побуждают Вас запустить на выполнение присоединённый файл с вирусом. Его маскируют под новую игру, обновление популярных программ (в том числе, например, под обновление антивирусной программы), фотографии и так далее. В ход идёт всё. Вплоть до расчёта ширины поля, в котором почтовая программа показывает имена присоединённых файлов. Длину имени файла подбирают так, чтобы она не помещалась полностью в этом поле и не было видно истинного расширения файла "EXE" или "COM". А в видимой части поля присоединённый файл может иметь ложное расширение, соответствующее графическому, звуковому или текстовому файлу. Будучи запущен на Вашем компьютере, вредоносный червь первым делом рассылает свою копию по электронной почте, воспользовавшись Вашей адресной книгой. А затем делает с Вашим компьютером, что хочет. Может установить программу-шпиона, может испортить Вам винчестер или сделать что-нибудь ещё. Если раньше компьютерные вирусы могли рассчитывать только на вялотекущие хронические болезни компьютеров, то теперь им иногда удаётся вызвать пандемии. Например, в недалёком прошлом такое удалось сделать почтовому червю "I love you". Он смог за несколько дней поразить миллионы компьютеров по всему миру. Программы-шпионы (троянские кони)В связи с бурным развитием сети Интернет и электронной коммерции появился новый класс вредоносных программ. Это программы-шпионы. Попадают они на компьютер с электронными червями или при посещении сайтов. Для создания видеоэффектов с web-страницы иногда загружаются на наш компьютер небольшие программы, которые и могут содержать программы-шпионы. Ещё такие программы могут проникать в компьютер, подключённый к большой сети предприятия, кабельной сети и так далее. Для проникновения они используют ошибки в программах защиты сети. Обычно шпионские программы - это коммерческие программы очень высокого качества и большой сложности. Часто они направлены на получение секретной информации о кодах электронных банковских карточек. Программа-шпион не должна себя обнаруживать в компьютере. Она должна отслеживать момент выхода компьютера в Интернет и по возможности незаметно передавать данные своему хозяину. Программа-шпион может иметь функции управления компьютером. Тогда по командам хозяина, получаемым во время сеансов связи с Интернет, шпион может передавать в Интернет какие-то файлы с Вашего компьютера или интересующую его хозяина информацию о Вашем компьютере. Промышленный шпионаж в государственных масштабах рассматривать не будем. Нам важнее то, что разработкой безобидных программ-шпионов грешат многие поставщики программного обеспечения. Они собирают статистическую информацию об использовании своего программного обеспечения и о среднестатистических параметрах компьютеров. Но Вы, конечно, понимаете, что такой программе ничего не стоит заблокировать своё программное обеспечение, если будет обнаружено его нелицензионное использование на Вашем компьютере. И такое реально происходит с некоторыми программами. Как же обеспечивают себе программы-шпионы регулярный запуск в компьютере? В папке "Windows" есть так называемый "файл реестра". В этом файле многие программы хранят свои настроечные параметры. В файле реестра есть несколько мест, где записано, какие программы должны быть запущены при загрузке компьютера. Часто программы-шпионы вставляют информацию о своём запуске в файл реестра Windows. Но они могут, конечно, маскировать себя и под какие-либо системные программы, которые всегда загружаются при старте Windows. эти зловредные программы называют ещё троянскими конями за их склонность маскироваться под видом безобидных системных программ. Есть специальные программы, которые защищают компьютер от несанкционированного обмена информацией через Интернет. Они называются "Файерволы" или "Брандмауэры". Структура и функционирование антивирусных программСовременная антивирусная программа обычно состоит из двух частей: монитора и сканера. Антивирусный мониторМонитор работает в компьютере постоянно. Он отслеживает ситуации, при которых может произойти заражение компьютера вирусом. Это запуск программ на выполнение, обращения к дискам с целью модифицировать файлы, открытие приложений к электронным письмам, загрузка программ и файлов из сети Интернет и тому подобные действия. Обычно антивирусный монитор можно настраивать, включая и отключая различные его возможности. Антивирусный монитор требует для своей работы большой части вычислительной мощности компьютера и обычно заметно снижает его быстродействие. Антивирусный сканерАнтивирусный сканер предназначен для проверки оперативной памяти и дисков компьютера на наличие вирусов. В настройках антивирусного сканера можно указывать, какие типы файлов, архивов, баз хранения электронных писем нужно проверять во время антивирусного сканирования. Сканирование винчестера может занять несколько часов. Поэтому сканирование лучше делать в обеденный перерыв или ночью. Антивирусные базы данныхИ сканер, и монитор используют общие антивирусные базы данных. В этих базах данных записана информация о вирусах. Без них антивирусная программа не может обнаруживать и обезвреживать вирусы. Антивирусные компании ежедневно обновляют собственные антивирусные базы данных и выкладывают их на своих сайтах для нужд клиентов. Иногда обновление антивирусных баз данных происходит и по несколько раз в день, если наблюдается активизация какого-нибудь нового вируса. Поскольку антивирусная база данных не содержит самых новых вирусов, то антивирусный монитор не может один защищать компьютер. Антивирусный сканер с обновлёнными базами данных найдёт новые вирусы, которые монитор мог пропустить одну-две недели назад, поскольку тогда ещё информации об этих вирусах не было в антивирусных базах данных. Какую антивирусную программу выбратьНадёжными антивирусными программами считаются "Антивирус Касперского" и "Нортон Антивирус". Но эти программы очень мощные и требуют слишком больших ресурсов от компьютера. К тому же, они не очень дружат с программой JAWS. Есть более экономные программы с хорошо озвучивающимся интерфейсом. Это российская программа "DrWeb" и киевская программа "UNA" (Украинский национальный антивирус). Здесь нет злоупотреблений графикой и проблем с языком интерфейса. Каждый сам принимает решение, будет ли он пользоваться антивирусом и каким. Пассивные средства антивирусной защитыЗная природу и источники вредоносных и вирусных программ, можно применять профилактические меры пассивной защиты от вирусов. 1. Запретите на своём компьютере загрузку Windows с дискеты. 2. Старайтесь не запускать на компьютере сомнительных программ и игр, а также не открывать сомнительных документов, содержащих макросы и скрипты. 3. Никогда не открывайте электронные письма от неизвестных людей и письма от Ваших знакомых, которые вызвали у Вас подозрение своей нестандартностью. Особенно осторожно относитесь к присоединённым файлам. 4. Не посещайте сомнительных сайтов и старайтесь не загружать с сайтов никаких программ для создания визуальных эффектов. 5. Пользуйтесь по возможности новыми версиями программ для работы в сети Интернет, в которых устранены "дыры" в защите. 6. Проверяйте периодически свой компьютер хотя бы демоверсиями известных антивирусных программ. Они обычно обнаруживают вирусы, но не могут их устранить. 7. Можно пользоваться менее популярными среди разработчиков вирусов программами (например, почтовой программой"The_Bat"). Обзор урокаНа сегодняшний день зарегистрировано более 100000 вредоносных программ или компьютерных вирусов. Если раньше преобладали файловые вирусы и Boot-вирусы, то теперь основная масса вредоносных программ приходится на "почтовые черви" и шпионские программы ("троянские кони") с функциями удалённого управления поражённым компьютером. Антивирусная программа обычно состоит из антивирусного монитора и антивирусного сканера, которые используют общую антивирусную базу данных. Её необходимо регулярно обновлять через Интернет для надёжной защиты своего компьютера. Задания к уроку1. Установите на своём компьютере антивирусную программу. 2. Отыщите раздел настройки антивирусного сканера. Установите проверку только "EXE" и "COM" файлов. Проверьте все жёсткие диски. Запомните время проверки. Установите затем режим проверки файлов всех типов и всех архивов и повторите проверку жёстких дисков. Оцените время, понадобившееся для новой проверки. 3. Отыщите раздел настройки антивирусного монитора. Оцените, как изменяется быстродействие Вашего компьютера при увеличении нагрузки на антивирусный монитор. 4. Установите в антивирусном мониторе режим проверки дискеты. Проверьте все свои дискеты. Проверьте таким же способом несколько компакт-дисков. |
|||||||||
Распространение материалов сайта означает, что распространитель принял условия лицензионного соглашения. Идея и реализация: © Владимир Довыденков и Анатолий Камынин, 2004-2024 |
Социальные сети