Компьютерные вирусы 1.Что такое компьютерный вирус? 2.История компьютерных вирусов. 3.Классификация компьютерных вирусов. 4.Наиболее распространённые виды вирусов. 5.Каналы распространения. 6.Косвенные признаки заражения компьютера вирусами. 7.Методы обнаружения и удаления. Способы защиты. Антивирусы и файерволы.
1.Что такое компьютерный вирус? Компьютерный вирус разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому он может повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.
Идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. 2. История компьютерных вирусов.
В 1959 году журнал Scientific American опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.
Прообраз компьютерного вируса В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы. Роберт Моррис Дуглас Макилрой (слева) и Деннис Ритчи
Грегори Бенфорд Одни считают, что впервые слово вирус по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах» (The Scarred Man), опубликованном в журнале Venture в мае 1970 года. Другие считают, что идею создания компьютерных вирусов подбросил писатель-фантаст Т. Дж. Райн, который в одной из своих книг, опубликованной в США в 1977 г., описал эпидемию, за короткое время поразившую более 7000 компьютеров.
1959 г. – на ЭВМ IBM 650 обнаружен вирус, который «съедал» часть слов г. – Первая «эпидемия» компьютерного вируса. Вирус по имени Brain (англ. «мозг») заражал дискеты персональных компьютеров г. - Роберт Моррис в США написал вирус, поразивший 2000 компьютеров. В середине августа 1995 г. в США и ряде стран Западной Европы появился вирус, который использует возможность представления информации в виде конгломерата данных и программ. Он заражал документы, подготовленные в системе MS Word – файлы типа *.doc. 26 апреля 1999 г. Новым словом в вирусологии стал вирус под названием «Чернобыль» или WIN95.CIN. Данный вирус в отличии от своих собратьев в зависимости от модификации мог уничтожить MBR жесткого диска, таблицу размещения данных и не защищенную от перезаписи Flash-память. Волна эпидемии этого вируса прокатилась по всему миру. Громадный материальный ущерб был нанесен в Швеции. Пострадало большое количество пользователей и в России. История в датах
Начиная с конца 1990 г., появилась новая тенденция, получившая название «экспоненциальный вирусный взрыв». Количество новых вирусов, обнаруженных в месяц, стало исчисляться сотнями. Поначалу эпицентром взрыва была Болгария, затем он переместился в Россию.
В настоящее время нет единой классификации вирусных программ, но их можно выделить по следующим признакам: по среде обитания; по способу заражения среды обитания; по способу заражения среды обитания; по особенностям алгоритма; по особенностям алгоритма; по степени воздействия. по степени воздействия. 3. Классификация вирусов
В зависимости от среды обитания вирусы можно разделить: Сетевые вирусы – распространяются по различным компьютерным сетям; Файловые вирусы – внедряются в исполняемые файлы, имеющие расширение EXE; Загрузочные вирусы – внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска; Файлово-загрузочные вирусы – заражают файлы и загрузочные сектора дисков.
По способу заражения вирусы делятся на: 1.Резидентные – при заражении оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. 2.Нерезидентные вирусы – не заражают память компьютера и являются активными ограниченное время.
По особенностям алгоритма вирусы имеют большое разнообразие 1.Простейшие вирусы – не изменяют содержимое файлов, могут быть легко обнаружены и уничтожены. 2.Черви – распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и рассылают свои копии по этим адресам. 3.Вирусы – невидимки (стелс-вирусы) – трудно обнаружить и обезвредить, подставляют вместо своего тела незараженные участки диска. 4.Вирусы-мутанты – содержат алгоритмы шифровки/расшифровки, наиболее трудно обнаружить. 5.Трояны – маскируются под полезную программу, разрушают загрузочный сектор и файловую систему, воруют пароли. 6.Макровирусы – заражают файлы документов, например, текстовых документов. После загрузки заражённого документа в текстовый редактор макровирус постоянно присутствует в оперативной памяти компьютера и может заражать другие документы.
По степени воздействия вирусы делятся: 1.БЕЗВРЕДНЫЕ – программы-шутки; 2.НЕОПАСНЫЕ – не мешают работе компьютера, но уменьшающие объем оперативной памяти и памяти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах; 3.ОПАСНЫЕ – приводят к различным нарушениям в работе ПК; 4.ОЧЕНЬ ОПАСНЫЕ – их действие может привести к потере программ, уничтожению данных!
1. Резидентные вирусы Данный тип вирусов постоянно скрывается в оперативной памяти. Отсюда он может контролировать и перехватывать все операции, выполняемые системой: повреждая файлы и программы, которые открываются, закрываются, копируются, переименовываются и т.д. 4. Наиболее распространённые виды вирусов Резидентные вирусы можно отнести к файловым. Когда вирус становится резидентом памяти, то остается там до тех пор, пока компьютер не выключится и не запуститься снова (ожидая определенных триггеров, необходимых для его активации, например заданную дату и время). В течение этого времени он просто «сидит и ждет», если, разумеется, антивирус не обнаружит и не обезвредит его. Примеры: Randex, CMJ, Meve, MrKlunky.
2. Вирусы прямого действия Главная цель этих вирусов – репликация и выполнение задания, когда они активированы. Когда выполняются заданные условия, вирусы начинают действовать и поражают файлы в директории или папке, в которой они находятся, и в директориях, определенных как AUTOEXEC.BAT file PATH. Это командный файл всегда расположен в корневом каталоге жесткого диска и выполняет определенные операции, когда компьютер загружается. Файлы, пораженные данным типом вируса, могут быть дезинфицированы и полностью восстановлены до своего первоначального состояния.
3. Перезаписывающие вирусы Данный тип вирусов характеризуется тем, что стирает информацию, содержащуюся в зараженных файлах, делая их частично или полностью непригодными для восстановления. Зараженные файлы не изменяют свой размер до тех пор, пока вирус не начинает занимать больше места, чем исходный файл, потому что вместо того, чтобы скрываться внутри файла, вирус занимает его содержимое. Единственный способ избавиться от файла, зараженного перезаписывающим вирусом – это удалить полностью файл, таким образом, потерять его содержимое. Примеры: Way, Trj.Reboot, Trivial.88.D.
4. Загрузочный вирус. Данный тип вирусов поражает загрузочный сектор гибкого или жесткого диска. Это важная часть диска, где вместе с информацией хранится программа, которая делает возможной загрузку (старт) компьютера с данного диска. Эти вирусы поражают не файлы, а скорее диски, которые их содержат. Сначала они атакуют загрузочный сектор диска, затем, как только Вы запускаете компьютер, загрузочный вирус поразит жесткий диск компьютера. Самый лучший способ предотвратить заражение загрузочными вирусами – это проверять гибкие диски на защиту от записи и никогда не загружать компьютер с неизвестной дискетой в дисководе. Некоторые примеры загрузочного вируса: Polyboot.B, AntiEXE.
5. Макро-вирус Макро-вирусы поражают файлы, которые созданы с помощью определенных приложений или программ, которые содержат макросы. К ним относятся документы Word (расширения DOC), электронные таблицы Excel (расширения XLS), презентации PowerPoint (расширения PPS), базы данных Access (расширения MDB), Corel Draw и т.д. Макрос – это небольшая программа, которую пользователь может связать с файлом, созданного с помощью определенных приложений. Эти мини- программы делают возможной автоматическую серию операций для того, чтобы эти операции выполнялись как одно действие, таким образом, не заставляя пользователя выполнять их одно за другим. При открытии документа, содержащего макросы, последние автоматически загружаются и могут быть выполнены немедленно или с разрешения пользователя. Затем начнет действовать вирус, выполняя свое задание, часто это происходит, несмотря на встроенную в программу вирусную защиту макросов. Существует не просто один тип макро-вирусов, а один для каждой утилиты: Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access, Corel Draw, Lotus Ami Pro, и т.д. Примеры макро-вирусов:Relax, Melissa.A, Bablas, O97M/Y2K.
6. Вирус каталога ОС находит файлы, просматривая маршрут/путь (формирующих диск и каталог), где хранится каждый файл. Вирусы каталога изменяют маршруты, которые указывают на местоположение файла. При выполнении программы (файл с расширением.EXE или.COM), которая заражена вирусом, Вы, не зная этого, запускаете вирусную программу, в то время как исходный файл или программа уже были этим вирусом перемещены. При таком заражении становится невозможно установить местоположение исходных файлов.
7. Зашифрованные вирусы Кодирование – это метод, используемый вирусами для того, чтобы оставаться не замеченными для антивирусных программ. Вирус кодирует себя или шифрует так, чтобы спрятаться от сканеров, прежде чем выполнить свое задание он себя дешифрует. Как только вирус «выпустил свое оружие», он снова начинает скрываться. Примеры кодирующихся вирусов: Elvira, Trile.
8. Полиморфные вирусы Каждый раз, заражая систему, полиморфные вирусы шифруют или кодируют себя по-другому (используя различные алгоритмы и ключи шифрования). Это делает невозможным для антивирусов обнаружить их с помощью поисков по цепочке или сигнатуре (так как в каждом кодировании они разные), а также позволяет вирусам создавать огромное число собственных копий. Примеры: Elkern, Marburg, Satan Bug, Tuareg.
9. Составной вирус Эти усовершенствованные вирусы могут производить множественные заражения, использую при этом несколько методов. Их цель – это атака всех возможных элементов: файлы, программы, макросы, диски и т.д. Они считаются достаточно опасными вследствие их способности сочетать различные методы заражения. Примеры: Ywinz.
10. Черви Червь – это программа похожая на вирус, он способен к самовоспроизведению и может привести к негативным последствиям для Вашей системы, но самое важное – их можно обнаружить и удалить с помощью антивирусов. Однако червь, строго говоря, не вирус, так как для размножения ему не требуется заражать другие файлы. Черви могут существовать, не повреждая файлов, но размножаются с огромной скоростью, перенасыщая сети и вызывая их разрушение. Черви почти всегда распространяются через электронную почту, сети или чат (такие как IRC или ICQ). Также они могут распространяться внутри памяти компьютера. Примеры червей: PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson.
11. Трояны или Троянские кони Другая неприятная разновидность вирусов это трояны или троянские кони, которым в отличие от вирусов, не нужно размножаться, заражая при этом другие файлы, и они не самовоспроизводятся подобно червям. Троян работает, как и свой мифологический тезка, знаменитый деревянный конь, в котором греческие солдаты спрятались для того, чтобы незаметно проникнуть в Трою. Они кажутся безвредными программами, которые попадают в компьютер по любому каналу. Когда программа выполнена (им дают привлекательное для запуска название или характеристики), на компьютер инсталлируются другие программы, которые могут быть вредоносными. Трояны могут не проявлять себя первое время, но когда они начнут действовать, то могут просто уничтожить Вашу систему. Они способны удалять файлы, разрушать информацию на Вашем жестком диске и обнаруживать уязвимости Вашей системы безопасности. Это дает им полный доступ к системе и позволяет внешнему пользователю копировать и пересылать конфиденциальную информацию. Примеры троянов: IRC.Sx2, Trifor.
1) Флеш-накопители (флешки) 4. Каналы распространения компьютерных вирусов Большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. Флешки основной источник заражения для компьютеров, не подключённых к сети Интернет. 2) Электронная почта Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты.
3) Системы обмена мгновенными сообщениями (интернет-пейджеры) Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями. 4) Веб-страницы Возможно заражение через страницы Интернет ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компоненты, Java-апплетов 5) Интернет и локальные сети (черви) Черви вид вирусов, которые проникают на компьютер- жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер.
5. Косвенные признаки заражения компьютера вирусами. частые зависания и сбои в работе компьютера; медленная работа компьютера при запуске программ; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; частое обращение к жесткому диску (часто мигает лампочка на системном блоке); Microsoft Internet Explorer "зависает" или ведет себя неожиданным образом (например, окно программы невозможно закрыть). Некоторые характерные признаки поражения вирусом через почту: друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли; в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
6. Методы обнаружения и удаления. Способы защиты. Антивирусы и файерволы. Лучше всего, конечно, не допускать проникновения вирусов в ваш компьютер. Но если беда уже произошла, нужно принять оперативные меры по обнаружению и удалению вирусной инфекции. И тут уж все средства хороши. Самым простым способом обнаружения вирусов, является обычное сканирование системы разнообразными антивирусными сканерами. При регулярном обновлении, антивирусные программы способны показать достаточно высокий результат и выявить до 90% известных вирусов, что является вполне удовлетворительным результатом для большинства пользователей.
1.Файерволы анализируют поток данных (трафик) в сети. Блокируют проникновение вредоносных программ из внешней сети. 2.Антивирусные программы отслеживают проявление вредоносных программ непосредственно на компьютере пользователя. На современном этапе развития антивирусной защиты многие производители данного программного обеспечения стараются сделать так, чтобы их программный продукт включал в себя как функции фаервола, так и антивируса. Это позволяет пользователю максимально защитить свой компьютер и от несанкционированного проникновения, и от вредоносных программ.
Наиболее популярные фаерволы 1.Встроенный в Windows (как XP так и Vista) брандмауэр 2.Kaspersky Internet Security 3.Norton Internet Security 4.Agnitum Outpost FireWall 5.McAfee Personal Firewall (ConSeal Private Desktop) 6.Look"n"Stop 7.Sygate Personal Firewall (Sybergen"s Secure Desktop) 8.Network Ice Black ICE Defender 9.Zone Alarm и др. Что такое фаервол Рейтинг фаерволов Обзор бесплатных файрволов
Будучи изначально творчеством вирусописателей- исследователей, компьютерные вирусы стали оружием в руках интернет-преступников. История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ зародилась в 1980-х годах. Примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес.
Вирусы х годов В начале 1970-х годов в прототипе современного интернета военной компьютерной сети APRANET был обнаружен вирус Creeper, который перемещался по серверам под управлением операционной системы Tenex. Creeper был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: «I"M THE CREEPER: CATCH ME IF YOU CAN», которое выводилось на дисплей или на принтер. Для удаления вируса была написана первая антивирусная программа Reeper, которая аналогичным образом распространялась по сети, удаляла обнаруженные копии Creeper и затем самоликвидировалась.
Другие компьютерные легенды гласят, что также в начале 1970-х на мейнфреймах этого времени появляется программа, получившая название «Кролик» (Rabbit). Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине «Кролик» нередко вызывал сбой в её работе. Скорее всего «Кролики» не передавались от системы к системе и являлись сугубо местными явлениями ошибками или шалостями системных программистов, обслуживавших компьютер.
Другой инцидент произошел на системе Univac 1108 с игрой Pervading Animal. При помощи наводящих вопросов игра пыталась определить имя животного, задуманного играющим. В программе была предусмотрена возможность самообучения: если ей не удавалось отгадать задуманное человеком название, игра предлагала модернизировать себя и ввести дополнительные наводящие вопросы. Модифицированная игра записывалась поверх старой версии, а также копировалась и в другие директории для того, чтобы сделать результат работы доступным и другим пользователям. В результате, через некоторое время все директории на диске содержали копии Pervading Animal.
Однако позднее все решилось гораздо проще: для компьютеров Univac была выпущена новая версия операционной системы, в которой изменениям подверглась структура файловой системы, и игра потеряла возможность размножаться. Это была новая версия игры, целью которой было заменить все копии своей предшественницы, а затем удалить и себя саму. В те времена такое поведение программы вряд ли могло понравиться инженерам и менеджерам компаний, и через некоторое время был запущена «программа-охотник» (Hunter).
Вирусы х годов «Глобальная сеть» серверов BBS становится популярной и в результате привлекает внимание программистов- хулиганов. Появляется большое количество разнообразных «троянских коней» программ, не имеющих способности к размножению, но при запуске наносящих системе какой-либо вред. Компьютеры становятся всё более и более популярными. Появляется всё больше и больше программ, авторами которых являются не фирмы-производители программного обеспечения, а частные лица. Развитие телекоммуникационных технологий даёт возможность относительно быстро и удобно распространять эти программы через серверы общего доступа BBS (Bulletin Board System).
В результате своей массовости он стал жертвой первого документально зафиксированного компьютерного вируса некто Richard Skrenta, один из миллионов пользователей Apple II, догадался разработать для этого компьютера саморазмножающуюся программу-вирус. Apple II, разработанный в 1977, стал одним из наиболее успешных персональных компьютеров того времени.
Фред Коэн, родоначальник компьютерной вирусологии того времени, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину «компьютерный вирус» как программе, способной «заражать» другие программы при помощи их модификации с целью внедрения своих копий.
Зарегистрирована первая глобальная эпидемия вируса для IBM-совместимых персональных компьютеров. Вирус Brain, заражающий загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру. Причина такого «успеха» заключалась в полной неподготовленности компьютерного общества к встрече с таким явлением, как компьютерный вирус: антивирусных программ просто не было, а пользователи, в свою очередь, ничего не знали о новом компьютерном бедствии.
Они оставили в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Помимо заражения загрузочных секторов и изменения меток дискет на фразу «(c) Brain» вирус ничего не делал: он не оказывал никакого побочного воздействия и не портил информацию. Вирус Brain являлся также и первым «вирусом-невидимкой». При обнаружении попытки чтения зараженного сектора диска вирус незаметно подставлял его незараженный оригинал. Вирус Brain был написан в Пакистане 19-летним программистом Баситом Фаруком Алви (Basit Farooq Alvi) и его братом Амжадом (Amjad).
Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986, в Гамбурге, на форуме компьютерного андеграунда Chaos Computer Club, который в то время собирал хакеров, специализировавшихся на взломе VAX/VMS-систем. В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к исполняемым MS- DOS-файлам формата COM.
Вирусы 1999 года В январе разразилась глобальная эпидемия почтового интернет-червя Happy99 (также известного как Ska). По сути, это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, являющуюся корпоративным стандартом в США и во многих странах Европы.
26 марта: глобальная эпидемия почтового червя Melissa первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. В автоматизированных системах документооборота письма с червём обрабатывались без участия человека в результате эпидемия Melissa моментально достигла своего пика и нанесла ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты.
Вирусы 2005 года Тенденции второй половины 2004 года сохранились и в последующих 2005 и 2006 годах. «Громких» инцидентов практически не происходит, но зато двукратно растёт число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом растёт «популярность» именно сетевых не-почтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении. Продолжали появляться новые вирусы и троянские программы для мобильных платформ, особенно часто для операционной системы Symbian.
Происходят изменения и в антивирусной индустрии. Корпорация Microsoft активно готовится к выходу на антивирусный рынок и покупает сразу две антивирусные компании. 8 февраля 2005 объявляет о покупке компании Sybari, а 20 июля объявлено о покупке FrontBridge Technologies
Слайд 1
Компьютерные вирусы и защита от них
01.03.2016
Слайд 2
КОМПЬЮТЕРНЫЕ ВИРУСЫ
Компьютерные вирусы - это вредоносные программы, которые могут «размножаться» и скрытно внедрять свои копии в исполнимые файлы, загрузочные секторы дисков и документы.
После заражения компьютера вирус может начать выполнение вредоносных действий и распространение своих копий, а также заставлять компьютер выполнять какие-либо действия.
Активация компьютерного вируса может вызывать уничтожение программ и данных и может быть связана с различными событиями (наступлением определенной даты или дня недели, запуском программ, открытием документа и т.д.).
2
Слайд 3
КЛАССИФИКАЦИЯ ВИРУСОВ
По величине вредных воздействий:
НЕОПАСНЫЕ
(последствия действия вирусов - уменьшение свободной памяти на диске, графические и звуковые эффекты)
ОПАСНЫЕ
(последствия действия вирусов - сбои и «зависания» при работе компьютера)
ОЧЕНЬ ОПАСНЫЕ
(последствия действия вирусов - потеря программ и данных форматирование винчестера и т.д.)
3
Слайд 4
КЛАССИФИКАЦИЯ ВИРУСОВ
По «среде» обитания:
ЗАГРУЗОЧНЫЕ
ФАЙЛОВЫЕ
МАКРО-ВИРУСЫ
СКРИПТ-ВИРУСЫ
4
Слайд 5
ЗАГРУЗОЧНЫЕ ВИРУСЫ
Загрузочные вирусы заражают загрузочный сектор гибкого или жесткого диска.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинальному коду загрузчика, а коду вируса.
Профилактическая защита от таких вирусов состоит в отказе загрузки операционной системы с гибких дисков и установке в BIOS компьютера защиты загрузочного сектора от изменений.
В 1986 году началась первая эпидемия загрузочного вируса. Вирус-невидимка «Brain» «заражал» загрузочный сектор дискет. При попытке обнаружения зараженного загрузочного сектора вирус незаметно «подставлял» его незараженный оригинал.
5
Слайд 6
Слайд 7
МАКРО-ВИРУСЫ
Макро-вирусы заражают документы, созданные в офисных приложениях.
Макро-вирусы являются макрокомандами (макросами) на встроенном языке программирования Visual Basic for Applications (VBA), которые помещаются в документ.
Профилактическая защита от макро-вирусов состоит в предотвращении запуска вируса (запрете на загрузку макроса).
Макро-вирусы являются ограниченно-резидентными, т.е. они находятся в оперативной памяти и заражают документ, пока он открыт.
Макро-вирусы заражают шаблоны документов.
В 1995 году началась эпидемия первого макро-вируса «Concept» для текстового процессора Microsoft Word. Макро-вирус «Concept» до сих пор широко распространен.
7
Слайд 8
СКРИПТ-ВИРУСЫ
Скрипт-вирусы – активные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web-страниц.
Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера.
Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.
В 1998 году появился первый скрипт-вирус VBScript.Rabbit, заражающий скрипты Web-страниц, а в мае 2000 года грянула глобальная эпидемия скрипт-вируса «LoveLetter».
8
Слайд 9
Сетевые черви и защита от них
01.03.2016
Слайд 10
СЕТЕВЫЕ ЧЕРВИ
Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей: Всемирную паутину, электронную почту, интерактивное общение, файлообменные сети и т.д.
Многие сетевые черви используют более одного способа распространения своих копий по компьютерам локальных и глобальных сетей.
Активация сетевого червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя.
10
Слайд 11
WEB-ЧЕРВИ
Web-черви для своего распространения используют Web-серверы.
Заражение:
Червь проникает на сервер и модифицирует web-страницы
Пользователь открывает модифицированную страницу в браузере
Разновидность web-червя – скрипты (программы) на языках JavaScript, VBScript
Профилактическая защита от таких червей состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.
Существуют web-антивирусные программы, кот включают межсетевой экран и модуль проверки скриптов.
11
Слайд 12
АНТИВИРУСНЫЕ ПРОГРАММЫ
Принцип работы антивирусных программы основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов.
Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для конкретного вируса.
Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте.
Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).
12
Слайд 13
МЕЖСЕТЕВОЙ ЭКРАН
Межсетевой экран (брандмауэр) – это программное или аппаратное обеспечение, которое проверяет информацию, поступающую из сети.
Межсетевой экран проверяет все web-страницы, поступающие на компьютер пользователя
Распознавание вредоносных программ происходит на основании баз
Если при открытии web-страницы обнаружена угроза, то загрузка web-страницы блокируется, а пользователю выдается соответствующее сообщение
13
Слайд 14
ПОЧТОВЫЕ ЧЕРВИ
Почтовые черви для своего распространения используют электронную почту.
Червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе.
Код червя активируется при открытии (запуске) зараженного вложения или при открытии ссылки на зараженный файл.
Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.
14
Слайд 15
ЧЕРВИ, ИСПОЛЬЗУЮЩИЕ ФАЙЛООБМЕННЫЕ СЕТИ
Для внедрения в файлообменную сеть червь копирует себя в папку обмена файлами на одном из компьютеров.
В 2001 году стал стремительно распространяться сетевой червь «Nimda», который атаковал компьютеры сразу несколькими способами: через сообщения электронной почты, через открытые ресурсы локальных сетей, а также используя уязвимости в системе безопасности операционной системы серверов Интернета.
Профилактическая защита от таких сетевых червей состоит в том, что рекомендуется своевременно скачивать из Интернета и обновлять антивирусную программу и вирусную базу данных.
15
Слайд 16
ТРОЯНСКИЕ ПРОГРАММЫ
Троянская программа, троянец (от англ. trojan) – вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам.
Троянские программы обычно проникают на компьютер как сетевые черви, а различаются между собой по тем действиям, которые они производят на зараженном компьютере.
16
Слайд 17
ТРОЯНСКИЕ УТИЛИТЫ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ
Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе.
В 2003 году широкое распространение получила троянская программа Backdoor.Win32.ВО, которая осуществляет следующие действия:
высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версию системы, информацию об установленных устройствах;
посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл;
отключает пользователя от сети;
читает или модифицирует системный реестр.
17
Слайд 18
ТРОЯНСКИЕ ПРОГРАММЫ - ШПИОНЫ
Троянские программы ворующие информацию, при запуске ищут файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа к Интернету и др.) и отсылают ее по указанному в коде троянца электронному адресу или адресам.
Троянцы данного типа также сообщают информацию о зараженном компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п.).
Некоторые троянцы воруют регистрационную информацию к программному обеспечению.
18
Слайд 19
ТРОЯНСКИЕ ПРОГРАММЫ - ШПИОНЫ
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Троянские программы часто изменяют записи системного реестра операционной системы, поэтому для их удаления необходимо в том числе восстановление системного реестра.
19
Слайд 20
ТРОЯНСКИЕ ПРОГРАММЫ –
ИНСТАЛЛЯТОРЫ ВРЕДОНОСНЫХ ПРОГРАММ
Троянские программы этого класса скрытно инсталлируют другие вредоносные программ и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Загруженные без ведома пользователя из Интернета программы либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.
20
Слайд 21
Хакерские утилиты и защита от них
Слайд 22
СЕТЕВЫЕ АТАКИ
Сетевые атаки - направленные действия на удаленные серверы для
создания затруднений в работе или утери данных
Сетевые атаки на удаленные серверы реализуются с помощью специальных программ, которые посылают на них специфические запросы.
Это может приводить к отказу в обслуживании «зависанию» сервера.
22
Слайд 23
СЕТЕВЫЕ АТАКИ
DoS-программы (от англ. Denial of Service – отказ в обслуживании) реализуют атаку с одного компьютера с ведома пользователя.
DoS-программы обычно наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера.
Некоторые сетевые черви содержат в себе DoS-процедуры, атакующие конкретные сайты. Так, червь «Codered» 20 августа 2001 года организовал успешную атаку на официальный сайт президента США, а червь «Mydoom» 1 февраля 2004 года «выключил» сайт компании – производителя дистрибутивов UNIX.
23
Слайд 24
СЕТЕВЫЕ АТАКИ
DDoS-программы (от англ. Distributed DoS – распределенный DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователей зараженных компьютеров.
Для этого DDoS-программа засылается на компьютеры «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от хакера начинает сетевую атаку на указанный сервер в сети.
Некоторые хакерские утилиты реализуют фатальные сетевые атаки. Такие утилиты используют уязвимости в операционных системах и приложениях и отправляют специально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении, и система прекращает работу.
Чаще всего при проведении DDoS-атак злоумышленники используют трехуровневую архитектуру
24
Слайд 25
УТИЛИТЫ «ВЗЛОМА» УДАЛЁНЫХ КОМПЬЮТЕРОВ
Утилиты «взлома» удаленных компьютеров обычно используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере.
Утилиты «взлома» удаленных компьютеров предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удаленного администрирования) или для внедрения во «взломанную» систему других вредоносных программ
Профилактическая защита от «взлома» состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений.
25
Слайд 26
РУТКИТЫ
Руткит (от англ. root kit - «набор для получения прав root») - программа или набор программ для скрытного взятия под контроль «взломанной» системы.
В операционной системы UNIX под термином «rootkit» понимается набор утилит, которые хакер устанавливает на «взломанном» им компьютере после получения первоначального доступа.
В операционной системе Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции.
Многие rootkit устанавливают в систему свои драйверы и службы (они также являются «невидимыми»).
Количество новых руткитов, обнаруженных аналитиками «Лаборатории Касперского» в 2007 году
26
Слайд 27
ЗАЩИТА ОТ ХАКЕРСКИХ АТАК И СЕТЕВЫХ ЧЕРВЕЙ
Защита компьютерных сетей или отдельных компьютеров от несанкционированного доступа может осуществляться с помощью межсетевого экрана, или брандмауэра (от англ. firewall).
Межсетевой экран позволяет:
блокировать хакерские DoS-атаки, не пропуская на защищаемый компьютер сетевые пакеты с определенных серверов (определенных IP-адресов или доменных имен);
не допускать проникновение на защищаемый компьютер сетевых червей (почтовых, Web и др.);
препятствовать троянским программам отправлять конфиденциальную информацию о пользователе и компьютере.
Межсетевой экран может быть реализован как аппаратно, так и программно.
Межсетевые экраны ZyXEL - защита сети от вирусов, спама, сетевых атак.
27
Презентация по слайдам
Текст слайда:
Текст слайда: Одной из главных причин уничтожения информации в настоящее время является распространение компьютерных вирусов. Компьютерный вирус – это специальная компьютерная программа, как правило, небольшая по размерам, которая при своем запуске уничтожает или портит данные, хранящиеся на компьютере. Компьютерный вирус может "приписывать" себя к другим программам, как говорят, "заражать" их. Такое "заражение" приводит к тому, что компьютерные вирусы могут самостоятельно распространяться и размножаться. Вследствие чего, большое число компьютеров может одновременно выйти из строя.
Текст слайда: Признаки заражения: замедление работы компьютера перезагрузка или зависание компьютера неправильная работа ОС или прикладных программ изменение длины файлов появление новых файлов уменьшение объема оперативной памяти рассылка сообщений e-mail без ведома автора
Текст слайда: Вредные действия вирусов звуковые и зрительные эффекты имитация сбоев ОС и аппаратуры перезагрузка компьютера разрушение файловой системы уничтожение информации шпионаж – передача секретных данных массовые атаки на сайты Интернет
Текст слайда: ЗАРАЖАЮТСЯ: программы – *.exe, *.com загрузочные сектора дисков и дискет командные файлы – *.bat драйверы – *.sys библиотеки – *.dll документы с макросами – *.doc, *.xls, *.mdb Web-страницы со скриптами НЕ ЗАРАЖАЮТСЯ: текст – *.txt рисунки – *.gif, *.jpg, *.png, *.tif звук (*.wav, *.mp3, *.wma) видео (*.avi, *.mpg, *.wmv) любые данные (без программного кода) Несмотря на возможность заражения компьютера вирусом, надо знать, что вирусом могут заразиться не все файлы компьютера.
Текст слайда: Непосредственное заражение компьютера вирусом может произойти в одном из следующих случаев: на компьютере была выполнена зараженная программа; компьютер загружался с дискеты, содержащей зараженный загрузочный сектор; на компьютере была установлена зараженная операционная система; на компьютере обрабатывались файлы, содержащие в своем теле зараженные макросы.
Текст слайда: Классические вирусы Файловые – заражают файлы *.exe, *.sys, *.dll (редко – внедряются в тексты программ). Загрузочные (бутовые, от англ. boot – загрузка) – заражают загрузочные сектора дисков и дискет, при загрузке сразу оказываются в памяти и получают управление. Полиморфные – при каждом новом заражении немного меняют свой код. Макровирусы – заражают документы с макросами (*.doc, *.xls, *.mdb). Скриптовые вирусы – скрипт (программа на языке Visual Basic Script, JavaScript, BAT, PHP) заражает командные файлы (*.bat), другие скрипты и Web-страницы (*.htm, *.html).
Текст слайда: Сетевые вирусы Почтовые черви – распространяются через электронную почту в виде приложения к письму или ссылки на вирус в Интернете; рассылают себя по всем обнаруженным адресам Сетевые черви – проникают на компьютер через «дыры» в системе, могут копировать себя в папки, открытые для записи (сканирование – поиск уязвимых компьютеров в сети) IRC-черви, IM-черви – распространяются через IRC-чаты и интернет-пейджеры (ICQ, AOL, Windows Messenger, MSN Messenger) P2P-черви – распространяются через файлообменные сети P2P (peer-to-peer) распространяются через компьютерные сети, используют «дыры» – ошибки в защите Windows, Internet Explorer, Outlook и др.
Текст слайда: Троянские программы Backdoor – программы удаленного администрирования воровство паролей (доступ в Интернет, к почтовым ящикам, к платежным системам) шпионы (введенный с клавиатуры текст, снимки экрана, список программ, характеристики компьютера, промышленный шпионаж) DOS-атаки (англ. Denial Of Service – отказ в обслуживании) –массовые атаки на сайты по команде, сервер не справляется с нагрузкой прокси-сервера – используются для массовой рассылки рекламы (спама) загрузчики (англ. downloader) – после заражения скачивают на компьютер другие вредоносные программы позволяют получать управление удаленным компьютером, распространяются через компьютерные сети, часто при установке других программ (зараженные инсталляторы)
Слайд №10
Текст слайда: Антивирусы-сканеры умеют находить и лечить известные им вирусы в памяти и на диске; используют базы данных вирусов; ежедневное обновление баз данных через Интернет. Антивирусы-мониторы постоянно находятся в памяти в активном состоянии блокируют их (форматирование диска, замена системных файлов); блокируют атаки через Интернет; проверяют запускаемые и загружаемые в память файлы (например, документы Word); проверяют сообщения электронной почты; проверяют Web-страницы; проверяют сообщения ICQ
Слайд №11
Текст слайда: Другие виды антивирусной защиты брандмауэры (файрволы, сетевые экраны) блокируют «лишние» обращения в сеть и запросы из сети аппаратные антивирусы защита от изменения загрузочного сектора запрет на выполнение кода из области данных аппаратный брандмауэр ZyWALL UTM (ZyXEL и Лаборатории Касперского) онлайновые (on-line) антивирусы устанавливают на компьютер модуль ActiveX, который проверяет файлы… или файл пересылается на сайт разработчика антивирусов
Слайд №12
Текст слайда: Профилактика делать резервные копии важных данных на CD и DVD (раз в месяц? в неделю?) использовать антивирус-монитор, особенно при работе в Интернете при работе в Интернете включать брандмауэр (англ. firewall) – эта программа запрещает обмен по некоторым каналам связи, которые используют вирусы проверять с помощью антивируса-доктора все новые программы и файлы, дискеты не открывать сообщения e-mail с неизвестных адресов, особенно файлы-приложения иметь загрузочный диск с антивирусом
Слайд №13
Текст слайда: Если компьютер заражен… Отключить компьютер от сети. Запустить антивирус. Если не помогает, то… выключить компьютер и загрузить его с загрузочного диска (дискеты, CD, DVD). Запустить антивирус. Если не помогает, то… удалить Windows и установить ее заново. Если не помогает, то… отформатировать винчестер (format.com). Если сделать это не удается, то могла быть испорчена таблица разделов диска. Тогда … создать заново таблицу разделов (fdisk.exe). Если не удается (винчестер не обнаружен), то… можно нести компьютер в ремонт.
Слайд 1
Компьютерные вирусы и антивирусные программы
Слайд 2
Персональный компьютер играет в жизни современного человека важную роль, поскольку он помогает ему почти во всех областях его деятельности. Современное общество все больше вовлекается в виртуальный мир Интернета. Но с активным развитием глобальных сетей актуальным является вопрос информационной безопасности, так как проникающие их сети вирусы могут нарушить целостность и сохранность вашей информации. Защита компьютера от вирусов – это та задача, решать которую приходится всем пользователям, и особенно тем, кто активно пользуется Интернетом или работает в локальной сети.
Слайд 3
Разгадайте ребус. Дайте определение зашифрованного понятия.
Программа
Слайд 4
Слайд 5
Слайд 6
Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain (англ. «мозг») «заражал» дискеты персональных компьютеров. В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры и распространяющихся по компьютерным сетям.
ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Слайд 7
Что же такое вирус? И чем биологический вирус отличается от компьютерного? Обратимся к вирусной энциклопедии «Лаборатории Касперского», электронной энциклопедии Кирилла и Мефодия и к толковому словарю русского языка С.И. Ожегова и Н.Ю. Шведовой
Слайд 8
Вирус – мельчайшая неклеточная частица, размножающаяся в живых клетках, возбудитель инфекционного заболевания.
Слайд 9
Компьютерный вирус – специально созданная небольшая программа, способная к саморазмножению, засорению компьютера и выполнению других нежелательных действий.
Слайд 10
Что же общего между биологическим и компьютерным вирусами?
Способность к размножению. Вред для здоровья человека и нежелательные действия для компьютера. Скрытность, т.к. вирусы имеют инкубационный период.
Слайд 11
Первый прототип вируса появился еще в 1971г.. Программист Боб Томас, пытаясь решить задачу передачи информации с одного компьютера на другой, создал программу Creeper, самопроизвольно «перепрыгивавшую» с одной машины на другую в сети компьютерного центра. Правда эта программа не саморазмножалась, не наносила ущерба.
Слайд 12
Первые исследования саморазмно-жающихся искусственных конструкций проводилась в середине прошлого столетия учеными фон Нейманом и Винером.
Слайд 13
Джон фон Нейман (1903 - 1957)
Норберт Винер (1894 - 1964)
Фред Коэн 1984
Слайд 14
После заражения компьютера вирус может активизироваться и начать выполнять вредные действия по уничтожению программ и данных. Активизация вируса может быть связана с различными событиями: наступлением определённой даты или дня недели запуском программы открытием документа…
ЧЕМ ОПАСЕН КОМПЬЮТЕРНЫЙ ВИРУС?
Слайд 15
Признаки заражения
Слайд 16
общее замедление работы компьютера и уменьшение размера свободной оперативной памяти; некоторые программы перестают работать или появляются различ- ные ошибки в программах; на экран выводятся посторонние символы и сообщения, появляются различные звуковые и видеоэффекты; размер некоторых исполнимых файлов и время их создания изменяются; некоторые файлы и диски оказываются испорченными; компьютер перестает загружаться с жесткого диска.
Слайд 17
Классификация компьютерных вирусов
Слайд 18
ПРИЗНАКИ КЛАССИКАЦИИ
Среда обитания
Операционная система
Особенности алгоритма работы
Деструктивные возможности
Слайд 19
загрузочные СРЕДА ОБИТАНИЯ файловые сетевые макро
Слайд 20
Внедряются в программы и активизируются при их запуске. После запуска заражённой программой могут заражать другие файлы до момента выключения компьютера или перезагрузки операционной системы.
ФАЙЛОВЫЕ ВИРУСЫ
Слайд 22
По способу заражения файловые вирусы разделяются на:
Перезаписывающие вирусы. Записывают свое тело вместо кода программы, не изменяя название исполняемого файла, вследствие чего программа перестает запускаться. Вирусы-компаньоны. Создают свою копию на месте заражаемой программы, но не уничтожают оригинальный файл, а переименовывают его или перемещают. При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе. Файловые черви создают собственные копии с привлекательными для пользователя названиями в надежде, что он их запустит. Вирусы-звенья не изменяют код программы, а заставляют ОС выполнить свой код, изменяя адрес местоположения на диске зараженной программы, на собственный адрес.
Слайд 24
Заражают файлы документов, например текстовых. После загрузки заражённого документа в текстовый редактор макровирус постоянно присутствует в оперативной памяти компьютера и может заражать другие документы. Угроза заражения прекращается только после закрытия текстового редактора.
МАКРОВИРУСЫ
Слайд 25
Могут передавать по компьютерным сетям свой программный код и запускать его на компьютерах, подключённых к этой сети. Заражение сетевым вирусом может произойти при работе с электронной почтой или при «путешествиях» по Всемирной паутине.
СЕТЕВЫЕ ВИРУСЫ
Слайд 27
Сетевые вирусы
Сетевые черви – программы, распространяющие свои копии по локальным или глобальным сетям с целью: проникновения на удаленные компьютеры; запуска своей копии на удаленном компьютере; дальнейшего распространения на другие
Слайд 28
Троянские программы. «Троянский конь» употребляется в значении: тайный, коварный замысел. Эти программы осуществляют различные несанкционированные пользователем действия: сбор информации и ее передача злоумышленникам; разрушение информации или злонамерная модификация; нарушение работоспособности компьютера; использование ресурсов компьютера в неблаговидных целях.
Слайд 29
Хакерские утилиты и прочие вредоносные программы. К данной категории относятся: утилиты автоматизации создания вирусов, червей и троянских программ; программные библиотеки, разработанные для создания вредоносного ПО; хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки; программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе; прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удаленным компьютерам.
Слайд 31
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. Использование стел-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.
Слайд 32
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.
Слайд 34
По деструктивным особенностям вирусы можно разделить на:
безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритмах работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
Слайд 35
Физкульминутка
Упражнение первое: резко зажмурить глаза на 2-3 секунды: и широко открыть на 2-3 секунды, повторить упражнение 10 раз. Упражнение второе: часто-часто моргать глазами, повторить 10 раз. Упражнение третье: поднять глаза вверх, при этом голова остается в одном положении, задержать взгляд на 2-3 секунды, затем опустить глаза вниз и задержать взгляд на 2-3 секунды повторить упражнение 10 раз.
Слайд 36
Пути проникновения вирусов
Слайд 37
Глобальная сеть Internet Электронная почта Локальная сеть Компьютеры «Общего назначения» Пиратское программное обеспечение Ремонтные службы Съемные накопители
Слайд 38
Глобальная сеть Интернет Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Возможно заражение через страницы Интернет ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компоненты, Java-апплетов. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта, а ничего не подозревающие пользователи зайдя на такой сайт рискуют заразить свой компьютер.
Слайд 39
Электронная почта Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
Слайд 40
Локальные сети Третий путь «быстрого заражения» - локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере На следующий день пользователи при входе в сеть запускают зараженные файлы с сервера, и вирус, таким образом, получает доступ на компьютеры пользователей.
Слайд 41
Персональные компьютеры «общего пользования» Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из учащихся принес на своих носителях вирус и заразил какой-либо учебный компьютер, то очередную «заразу» получат и носители всех остальных учащихся, работающих на этом компьютере. То же относится и к домашним компьютерам, если на них работает более одного человека. Пиратское программное обеспечение Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных «зон риска».Часто пиратские копии на дисках содержат файлы, зараженные самыми разнообразными типами вирусов.
Слайд 42
Ремонтные службы Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники - тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности. Съемные накопители В настоящее время большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны.
Слайд 43
Методы защиты
Слайд 44
Защита локальных сетей Использование дистрибутивного ПО Резервное копирование информации Использование антивирусных программ Не запускать непро- веренные файлы
Слайд 45
Антивирусные программы
Слайд 46
Критерии выбора антивирусных программ
Надежность и удобство в работе Качество обнаружения вирусов Существование версий под все популярные платформы Скорость работы Наличие дополнительных функций и возможностей
Слайд 47
Антивирусная программа
Компьютерный вирус
Заражённый файл Вылеченный файл
Незаражённая программа
ПРОЦЕСС ЗАРАЖЕНИЯ ВИРУСОМ И ЛЕЧЕНИЯ ФАЙЛА
Слайд 49
Программы-детекторы
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них вирусов
Слайд 50
Программы-доктора
Слайд 51
Программы-ревизоры
Принцип их работы состоит в подсчете контрольных сумм для присутствующих на диске файлов/системных секторов. Эти суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
Слайд 52
Программы-фильтры
Антивирусные блокировщики - это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.
Слайд 53
Программы-вакцины
Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Слайд 59
Законодательство Российской Федерации о вредоносных программах
Слайд 60
Глава 28 «Преступления в сфере компьютерной информации» Уголовного кодекса Российской Федерации Статья 273
Слайд 61
Статья 273 гласит:
«Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ, или машинных носителей с такими программами, – наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, в размере заработной платы, или иного дохода осужденного за период от двух до пяти месяцев. То же деяние, повлекшее по неосторожности тяжкие последствия, – наказывается лишением свободы на срок от трех до семи лет».
Слайд 62
Используя выписку из главы 28 «Преступления в сфере компьютерной информации» Уголовного Кодекса Российской Федерации ответьте на следующий вопрос: «Можно ли квалифицировать действия лица (группы лиц) в описанной ситуации как противоправные?» Ответ необходимо обосновать, указав соответствующий нормативный документ, его статью пункт статьи.
Задача 1. П. П. Андреев, сотрудник одного из филиалов ИТ-банка, внедрил в компьютерную банковскую систему вирус, уничтоживший исполняемые файлы (файлы с расширением.exe). В результате внедрения этого вируса было уничтожено 40% банковских программных приложений, что принесло банку материальный ущерб в размере 750 000 рублей.
Слайд 63
Задача 2. Будет ли удовлетворен иск компании «Интермедиа» о привлечении к уголовной ответственности гражданина Р. И. Сизова и выплате им фирме денежной компенсации, если он внедрил в компьютерную сеть компании программу, действие которой заключается в уничтожении исполняемых файлов в какой-либо компьютерной сети? Функционирование данной программы принесло убытки разным организациям на общую сумму 670 000 рублей.
Слайд 66
предупреждает, когда одна программа пытается запустить другую программу (это тоже может быть следствием работы вируса); закрывает от возможного доступа определенные сетевые порты компьютера; предупреждает о так называемом сканировании портов вашего компьютера, так как это может быть предвестником хакерской атаки; блокирует выполнение различных шпионских программ; предотвращает деструктивные действия троянских программ.
Слайд 68
Из предложенного списка уберите термины, не относящиеся к антивирусным программам:
детекторы доктора (фаги) ревизоры интерпретаторы ревизоры фильтры драйверы вакцины (иммунизаторы)
Слайд 69
ПАМЯТКА безопасности для пользователя домашнего компьютера
Ограничить физический доступ к компьютеру, установить пароль на вход в систему и отключать доступ в Интернет, когда он не нужен; подписаться на информационные бюллетени Microsoft и регулярно обновлять операционную систему; отключить все неиспользуемые службы и закрыть порты, через которые могут осуществляться атаки; тщательно настроить все программы, работающие с Интернет, начиная с браузера - например, запретить использование Java и ActiveX; установить и обновлять антивирусную программу;
Слайд 70
использовать брандмауэр, хотя бы встроенный в систему, и внимательно анализировать его сообщения и логи; крайне аккуратно работать с почтой, а также программами для обмена сообщениями и работы с файлообменными сетями, например, следует отключить использование HTML в принимаемых письмах; никогда не запускать программы сомнительного происхождения, даже полученные из заслуживающих доверия источников, например, из присланного другом письма; ни при каких условиях не передавать по телефону или по почте свои персональные данные, особенно пароли; регулярно создавать резервные копии критических данных. Владимир Каталов, исполнительный директор компании «Элкомсофт
Слайд 72
Вопросы по горизонтали:
1.Антивирусная программа, принцип работы которой основан на проверке файлов, загрузочных секторов дисков и оперативной памяти в поиске в них известных и новых вирусов. 3.Утилита для создания новых компьютерных вирусов. 5.Наука, от которой пришло название "вирус". 7. Вирусы, поражающие документы MS Office, основанные на использовании макрокоманд. 10.Программа, способная к саморазмножению. 13. Вирусы, не изменяющие файлы, но создающие для.EXE файлов.COM файлы с тем же именем. 16.Мутация вирусов. 17.Антивирусная программа, то же что и полифаг.
Слайд 73
Вопросы по вертикали:
1.Вирус, предпринимающие специальные меры для затруднения их поиска и анализа, не содержат ни одного постоянного участка кода. 2.Программа против вирусов. 4.Одно из главных свойств вирусов, способность к созданию себе подобных. 6….-черви. Вирусы, распространяющиеся в сети во вложенных файлах в почтовое сообщение. 8.Антивирус, чей принцип работы основан на подсчете контрольных сумм для присутствующих на диске файлов. 9.Вирус-"невидимка". 11.Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять «подозрительные» действия пользовательских программ, а при обнаружении «подозрительной» функции либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия. 12.Видоизменение вируса. 14. Троянский-… 15. "Лечащий" антивирус.
Слайд 75
Упражнение 1. Выполняется сидя. Быстро моргать в течение 30 сек. Упражнение 2. Выполняется стоя. Смотреть вдаль прямо перед собой 2-3 с, поставить палец руки по средней линии лица на расстоянии 25-30 см от глаз, перевести взгляд на конец пальца и смотреть на него 3-5 с, опустить руку. Повторить 5 раз. Упражнение 3. Растереть наружные и внутренние поверхности ладоней до ощущения тепла. Упражнение 4. Кисти постепенно сжимать в кулаки, все крепче и крепче на счет 1-6. Встряхнуть кистями, расслабиться на счет 7-9.
Слайд 76
СПАСИБО за внимание
