Компьютерные вирусы и антивирусы

 

 

 

 

РЕФЕРАТ ПО ИНФОРМАТИКЕ

НА ТЕМУ:

«компьютерные вирусы и антивирусы».

 

 

 

 

Реферат подготовил

студент 4ой группы ЛТЭТ

Бурмистров Леонид

 

                        Оглавление

Введение…………………………………………………………………………………….3

Глава 1.История компьютерных вирусов. Их классификация….4

ILOVEYOU…………………………………………………………………………………….8

Доисторический этап………………………………………………………………..10   

До-интернетовский этап…………………………………………………………..11

Интернет-этап…………………………………………………………………………….17

Глава 2. Антивирусные программы………………………………………….23

Эвристика…………………………………………………………………………………..27

Компоненты современного антивируса………………………………….29

AVP (AntiViral Toolkit Pro)…………………………………………………………..31

Антивирусная поверка электронной почты…………………………….32

Защита от вирусов, распространяющихся по почте………………..32

Doctor Web для Windows…………………………………………………………..34

Заключение………………………………………………………………………………..35

 

 

 

 

Введение

Первые исследования саморазмножающихся искусственных конструкций проводились  в середине прошлого столетия. В работах фон Неймана, Винера и других авторов дано определение и проведён математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин "компьютерный вирус" появился позднее. Официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф. Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла, однако строго определения, что такое компьютерный вирус, так и не дано, несмотря на то, что многие пытались это сделать неоднократно. Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность) либо присущи другим программ, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения). Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом. Обязательное (необходимое) свойство компьютерного вируса - возможность создавать свои дубликаты (не всегда совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера  и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

 

Глава 1.

История компьютерных вирусов. Их классификация

Компьютерные вирусы являются одной из самых больших угроз для вашего компьютера, если вы работаете в сети Интернет. Для определения понятия «компьютерный вирус» существуют различные формулировки. Будем придерживаться следующей: вирус – это программный код, встроенный в программу или документ, который проникает на компьютер для несанкционированного уничтожения, блокирования, искажения, копирования данных и сбора информации, или для заражения компьютеров через Интернет. Главная особенность вируса – это способность различными путями распространяться из одного файла в другой на одном компьютере или с одного компьютера на другой без ведома и согласия пользователя компьютера. Часто действия вирусов приводят к значительным нарушениям в работе компьютера или компьютерных сетей. Вирусы принято классифицировать по следующим признакам: среда обитания, поражаемая операционная система, особенности алгоритма работы, деструктивные возможности. По среде обитания, иначе говоря, по поражаемым объектам вирусы делятся на файловые, загрузочные, сетевые вирусы и макровирусы.

• Файловые вирусы являются одними из самых распространенных типов компьютерных вирусов. Их характерной чертой является то, что они инициируются при запуске заражённой программы. Код вируса обычно содержится в исполняемом файле этой программы (файл с расширением .exe или .bat), либо в динамической библиотеке (расширение .dll), используемой программой. В настоящее время такие вирусы, как правило, представляют собой скрипты, написаны с использованием скриптового языка программирования (JavaScript, к примеру) и могут входить в состав веб-страниц. Они внедряются в исполняемые файлы, создают дубликаты файлов или используют особенности организации файловой системы для выполнения несанкционированных действий.

• Загрузочные вирусы записываются в загрузочный сектор диска и запускаются при запуске операционной системы, становясь ее частью.

• Сетевые вирусы, которые ещё называют сетевыми червями, имеют своим основным местом «проживания» и функционирования локальную сеть. Сетевой вирус, попадая на компьютер пользователя, самостоятельно копирует себя и распространяется по другим компьютерам, входящим в сеть. Они используют для своего распространения электронную почту, системы обмена мгновенными сообщениями (например, ICQ), сети обмена данными, а также недостатки в конфигурации сети и ошибки в работе сетевых протоколов.

• Макровирусы поражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся файлы, созданные с помощью пакета программ Microsoft Office, который поддерживает создание макросов на языке программирования Visual Basic for Application. Весьма полезно перед открытием незнакомого файла, созданного в таких программах, как Word или Excel, удостовериться, что поддержка макросов отключена (Сервис – Параметры – Безопасность макросов). Либо, для версии Microsoft Word 2010, в разделе "Безопасность программы" проверьте, включен ли режим защищенного просмотра файлов и предотвращения выполнения данных.

Однако, можно сказать, что современный вирус зачастую можно отнести сразу к нескольким группам вирусов. Такими сочетаниями являются, например, файловые загрузочные вирусы или файловые сетевые черви. Пример последнего: сетевой макро- вирус, который не только заражает документы, созданные в программах Word или Excel, но и рассылает свои копии по электронной почте. Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе. По алгоритмам работы выделяют резидентные вирусы и вирусы, использующие стелс-алгоритмы или полиморфичность.  Резидентные вирусы при заражении компьютера постоянно остаются в оперативной памяти, перехватывая обращения операционной системы к объектам заражения, чтобы выполнить несанкционированные действия. Такие вирусы являются активными до полного выключения компьютера. Применение стелс-алгоритмов базируется на перехвате запросов ОС на чтение или запись зараженных объектов. При этом происходит временное лечение этих объектов, либо замена их незараженными участками информации. Это позволяет вирусам скрыть себя в системе. Также очень сложно обнаружить в системе вирусы, основанные на применении алгоритмов полиморфичности. Такие вирусы не содержат ни одного постоянного участка кода, что достигается за счет шифрования кода вируса и модификации программы-расшифровщика. Как правило, два образца одного и того же вируса не будут иметь ни одного совпадения в коде. По деструктивным, то есть разрушительным возможностям выделяют опасные и неопасные вирусы. Опасные вирусы выводят из строя операционную систему, портят или уничтожают информацию, хранящуюся на диске. Неопасные вирусы практически не влияют на работоспособность компьютера и не понижают эффективность работы операционной системы, кроме увеличения дискового пространства, которое они занимают и уменьшения объёма свободной памяти компьютера. Разработчики антивирусных программ обычно создают собственные классификации детектируемых вирусов. Например, «Лаборатория Касперского» (www.kaspersky.com) использует классификацию, основанную на разделении вирусов по типу совершаемых ими на компьютере пользователей действий.Вообще  название "вирус" было взято из биологии, так как процесс захвата компьютера  вирусом полностью соответствует процессу захвата вирусом человеческого организма. Человеческий вирус внедряется в клетку, после чего начинает размножаться. Так и компьютерный: попав в программу, вирус действует аналогичным образом. Впервые это определение было дано Фредом Коэном, который сказал, что вирус является программой, способной заражать другие программы путем добавления в них копии самой себя. В конце далеких шестидесятых годов появилась программа под названием «Pervading Animal». С этого можно сказать началась история компьютерных вирусов. В современном понимании программа «Pervading Animal» была не совсем вирусом. Это была программа, которая выполняла совсем не те действия, которые должна была делать по задумке оператора. Также она пыталась создавать свои копии. Конечно, первые мысли о программах, которые развиваются самостоятельно, приходили в голову к людям давно. Еще в 40-ые года, однако, дальше идей дело не дошло. Доступ к компьютерам  был далеко не у всех, поэтому и развитием вирусов не занимались. Однако в восьмидесятые компьютеры стали достоянием общественности, а это привело к массовому росту вирусов. В 1981 году появился первый вирус под названием Elk Cloner. Он выводил на экран известные строчки: It will infiltrate your chips. Yes it's Cloner! Фред Коэн в этом же году занялся исследованием саморазвивающихся программ. Этот вирус был изобретен двумя пакистанским программистами, которые владели Brain Computer Services. Этот вирус был загрузочным. При запуске компьютера  он попадал в память и заражал его при загрузке. Данный вирус проявлял себя сразу же, поэтому его было легко обнаружить, не допустив, таким образом, заражение других дисков. Никто так и не понял, зачем этим программистам захотелось создать вирус. Однако, скорее всего, создание вируса было маркетинговым ходом, в результате которого им удалось привлечь внимание к своей небольшой компании.

ILOVEYOU

ILOVEYOU, также  известный как LoveLetter — компьютерный  вирус, который успешно атаковал  миллионы компьютеров  под управлением Windows в 2000 году, когда он был разослан  в виде вложения в электронное  сообщение. Вирус был разослан  на почтовые ящики с Филиппин  в ночь с 4 мая на 5 мая 2000 года; в теме письма содержалась  строка «ILoveYou», а к письму был  приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». Расширение «.vbs» было по умолчанию  скрыто, что и заставило ничего  не подозревающих пользователей  думать, что это был простой  текстовый файл. При открытии  вложения вирус рассылал копию  самого себя всем контактам  в адресной книге Windows, а также  на адрес, указанный как адрес  отправителя. Он также совершал  ряд вредоносных изменений в  системе пользователя. В общей  сложности, вирус поразил более 3 миллионов компьютеров  по всему  миру. Предполагаемый ущерб, который  червь нанёс мировой экономике, оценивается в размере 10-15 миллиардов  долларов[1], за что вошёл в Книгу  рекордов Гиннесса, как самый  разрушительный компьютерный вирус  в мире. Быстрому распространению вируса послужили следующие его черты: 1.Пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии.

2.Расширение файла в системах Windows по умолчанию было скрыто. Таким образом, файл с двойным расширением .txt.vbs пользователями воспринимался как безопасный текстовый файл, а системой интерпретировался как скрипт на языке VBScript.

3.Обработка скриптов также была включена по умолчанию. На то время ещё не существовало программ, активно использующих скриптовые языки, поэтому была допущена столь серьёзная уязвимость.

4.Открытие приложенного к письму файла вызывало немедленное исполнение программы, и вирус получал непосредственный доступ к системе и системному реестру.

Компьютеры  в наше время выполняют множество задач. Так, практически никто сейчас не работает без компьютера. С использованием компьютера просматривают фильмы, ищут материалы для учебы, работают и пишут программы. А уж про социальные сети и так всем все известно. Таким образом, компьютер существенно облегчает жизнь человека, но при этом он еще и способен вредить, вызывая зависимость. Именно благодаря широкому распространению компьютеров  вирусы постоянно совершенствуются. По сути, компьютер, попав в руки к людям, стал своеобразным оружием массового поражения.

Вообще история компьютерных вирусов делится на несколько этапов:

1.Доисторический. Вирусы-легенды и документально подтверждённые инциденты на «мейнфреймах» 1970-80-х годов.

2.«До-интернетовский». В основном ему присущи «классические вирусы» для MS-DOS.

3.Интернет-этап. Многочисленные черви, эпидемии, приводящие к колоссальным убыткам.

4.Современный, криминальный этап. Использование интернета в преступных целях.

Доисторический этап

В начале 1970-х годов (предположительно в 1973 г.) в прототипе современного интернета — военной компьютерной сети APRANET — был обнаружен вирус Creeper, который перемещался по серверам под управлением операционной системы Tenex. Creeper был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: «I'M THE CREEPER : CATCH ME IF YOU CAN», которое выводилось на дисплей или на принтер. Для удаления вируса была написана первая антивирусная программа Reeper, которая аналогичным образом распространялась по сети, удаляла обнаруженные копии Creeper и затем (предположительно — через определённый промежуток времени) самоликвидировалась. Доступной и достоверной информации о данном инциденте не обнаружено, по этой причине приведённые выше факты могут не вполне соответствовать истине. Другие компьютерные легенды гласят, что также в начале 1970-х (предположительно — в 1974 г.) на мейнфреймах этого времени появляется программа, получившая название «Кролик» (Rabbit). Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине «Кролик» нередко вызывал сбой в её работе. Скорее всего «Кролики» не передавались от системы к системе и являлись сугубо местными явлениями — ошибками или шалостями системных программистов, обслуживавших компьютер. Другой инцидент, который с определенными оговорками также можно отнести к разряду вирусных, произошел на системе Univac 1108 с игрой Pervading Animal. При помощи наводящих вопросов игра пыталась определить имя животного, задуманного играющим. В программе была предусмотрена возможность самообучения: если ей не удавалось отгадать задуманное человеком название, игра предлагала модернизировать себя и ввести дополнительные наводящие вопросы. Модифицированная игра записывалась поверх старой версии, а также копировалась и в другие директории — для того, чтобы сделать результат работы доступным и другим пользователям. В результате, через некоторое время все директории на диске содержали копии Pervading Animal. В те времена такое поведение программы вряд ли могло понравиться инженерам и менеджерам компаний, и через некоторое время был запущена «программа-охотник» (которая так и называлась — Hunter). Это была новая версия игры, целью которой было заменить все копии своей предшественницы, а затем удалить и себя саму. Однако позднее все решилось гораздо проще: для компьютеров Univac была выпущена новая версия операционной системы, в которой изменениям подверглась структура файловой системы, и игра потеряла возможность размножаться. Описанный выше инцидент вполне реален, известны его участники и места событий — в интернете можно найти даже исходные коды Pervading Animal.