ВСТУП
Шкідлива програма - комп'ютерна програма або переносний код, призначений для реалізації загроз інформації, що зберігається в комп'ютерній системі, або для прихованого нецільового використання ресурсів системи, або іншого впливу, що перешкоджає нормальному функціонуванню комп'ютерної системи. До шкідливого програмного забезпечення відносяться мережеві черв'яки, класичні файлові віруси, троянські програми, хакерські утиліти та інші програми, що завдають явний шкоду комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам в мережі. Незалежно від типу, шкідливі програми здатні завдавати значної шкоди, реалізуючи будь-які загрози інформації - погрози порушення цілісності, конфіденційності, доступності.
Місцем глобального поширення шкідливих програм є, звичайно ж, Internet.
Інтернет, без сумніву, річ у наш час потрібна, для кого-то просто необхідна. За невеликий відрізок часу можна знайти потрібну інформацію, ознайомитися з останніми новинами, а також поспілкуватися з безліччю людей і все це не виходячи з дому, офісу і т.д. Але не забувайте, що з цієї "товстої трубі" хакери легко можуть влізти в ваш комп'ютер і отримати доступ до вашої особистої інформації. Хоча постачальники апаратного і програмного забезпечення, а також офіційні особи в уряді приймають пози захисників особистої інформації, в яку стороннє вторгнення неприпустимо, є серйозні підстави побоюватися, що наші подорожі по Internet не залишаться без уваги чиїхось "уважних" очей, анонімність і безпеку Не гарантується. Хакери можуть легко читати послання по електронній пошті, а Web-сервери протоколюють все і вся, включаючи навіть перелік переглядаються Web-сторінок.1. ЕВОЛЮЦІЯ ВІРУСНИХ СИСТЕМ
1.1 ПЕРШІ ВІРУСНІ ПРОГРАМИ
1949 рік. Американський вчений угорського походження Джон фон Науманн (John von Naumann) розробив математичну теорію створення самовідтворюються програм. Це була перша теорія створення комп'ютерних вірусів, що викликала вельми обмежений інтерес у наукової спільноти.
На початку 60-х інженери з американської компанії Bell Telephone Laboratories - В.А. Висоцький, Г.Д. Макілрой і Роберт Морріс - створили гру "Дарвін". Гра передбачала присутність в пам'яті обчислювальної машини так званого супервізора, що визначав правила і порядок боротьби між собою програм-суперників, що створювалися гравцями. Програми мали функції дослідження простору, розмноження і знищення. Сенс гри полягав у видаленні всіх копій програми супротивника і захопленні поля битви.
Кінець 60-х - початок 70-х років. Поява перших вірусів. У ряді випадків це були помилки в програмах, що приводили до того, що програми копіювали самі себе, засмічуючи жорсткий диск комп'ютерів, що знижувало їх продуктивність, однак вважається, що в більшості випадків віруси свідомо створювалися для руйнування. Ймовірно, першою жертвою справжнього вірусу, написаного програмістом для розваги, став комп'ютер Univax 1108. Вірус називався Pervading Animal і заразив тільки один комп'ютер - на якому і був створений.
1.2 Шкідливі програми в наш час
Проблема шкідливих програм - рекламних і шпигунських - заслуговує підвищеної уваги як одна з найголовніших неприємностей, з якими щодня стикаються сучасні користувачі комп'ютерів. Їх згубний вплив проявляється в тому, що вони підривають принцип надійності комп'ютера і порушують недоторканність особистого життя, порушують конфіденційність і розривають стосунки між захищеними механізмами роботи комп'ютера, за допомогою деяких комбінацій шпигунських дій. Подібні програми часто з'являються без відома одержувача, і навіть при виявленні від них важко позбутися. Помітне зниження продуктивності, безладна зміна налаштувань і поява нових сумнівних панелей інструментів або аддонів є лише деякими страшними наслідками зараження "шпигуном" або рекламної програмою. "Шпигуни" і інші шкідливі програми можуть також пристосовуватися до більш непомітним режимам функціонування комп'ютера і глибоко впроваджуватися в складні механізми роботи операційної системи так, щоб в значній мірі ускладнити їх виявлення і знищення.
Зниження продуктивності є, напевно, самим помітним наслідком шкідливих програм, так як безпосередньо впливає на роботу комп'ютера до такої міри, що навіть непрофесіонал може це виявити. Якщо користувачі не так насторожуються, коли раз у раз спливають рекламні вікна, нехай комп'ютер і не підключений до Інтернету, то зниження чуйності операційної системи, оскільки потоки шкідливого коду конкурують з системою і корисними програмами, явно говорить про появу проблем. Змінюються програмні установки, таємничим чином додаються нові функції, незвичайні процеси з'являються в диспетчері завдань (іноді їх буває і десяток), або програми поводяться так, ніби їх використовує хтось інший, а ви втратили над ними контроль. Побічні ефекти шкідливих програм (будь то рекламна або шпигунська програма) призводять до серйозних наслідків, і, тим не менш, багато користувачів продовжують вести себе легковажно, відкриваючи навстіж двері до свого комп'ютера.
У сучасному Інтернет в середньому кожен тридцятий лист заражено поштовим хробаком, близько 70% всієї кореспонденції - небажана. З ростом мережі Інтернет збільшується кількість потенційних жертв вірусів, вихід нових операційних систем тягне за собою розширення спектра можливих шляхів проникнення в систему і варіантів можливої шкідливої навантаження для вірусів. Сучасний користувач комп'ютера не може відчувати себе в безпеці перед загрозою стати об'єктом чийсь злого жарту - наприклад, знищення інформації на вінчестері - результатів довгої та кропіткої роботи, або крадіжки пароля на поштову систему. Точно так само неприємно виявити себе жертвою масового розсилання конфіденційних файлів або посилання на порно-сайт. Крім вже звичних крадіжок номерів кредитних карт, почастішали випадки крадіжок персональних даних гравців різних онлайнових ігор - Ultima Online, Legend of Mir, Lineage, Gamania. У Росії також зафіксовані випадки з грою "Бійцівський клуб", де реальна вартість деяких предметів на аукціонах сягає тисяч доларів США. Розвиток отримали і вірусні технології для мобільних пристроїв. Як шлях проникнення використовуються не тільки Bluetooth-пристрої, але і звичайні MMS-повідомлення (хробак ComWar).
2. Різновид шкідливих програм
2.1 Компьютерний вірус
Комп'ютерний вірус - різновид комп'ютерних програм, відмітною особливістю якої є здатність до розмноження (самореплікаціі). На додаток до цього віруси можуть пошкодити або повністю знищити всі файли і дані, підконтрольні користувачу, від імені якого була запущена заражена програма, а також пошкодити або навіть знищити операційну систему з усіма файлами в цілому.
Неспеціалісти до комп'ютерних вірусів іноді зараховують і інші види шкідливих програм, такі як трояни, програми-шпигуни і навіть спам. (Спам (англ. Spam) - розсилка комерційної, політичної та іншої реклами або іншого виду повідомлень особам, які не виражав бажання їх отримувати. Легальність масової розсилки деяких видів повідомлень, для яких не потрібна згода одержувачів, може бути закріплена в законодавстві країни. Наприклад, це може стосуватися повідомлень про насуваються стихійних лихах, масової мобілізації громадян і т.п. у загальноприйнятому значенні термін "спам" в російській мові вперше став вживатися стосовно розсилці електронних листів) Відомі десятки тисяч комп'ютерних вірусів, які поширюються через Інтернет по всьому світу, організовуючи вірусні епідемії.
Віруси розповсюджуються, впроваджуючи себе у виконуваний код інших програм або ж замінюючи собою інші програми. Якийсь час навіть вважалося, що, будучи програмою, вірус може заразити тільки програму - яке завгодно зміна не-програми є не зараженням, а просто пошкодженням даних. Малося на увазі, що такі копії вірусу не отримають управління, будучи інформацією, яка не використовується процесором в якості інструкцій. Так, наприклад звичайний текст не міг би бути переносником вірусу.
Однак пізніше зловмисники домоглися, що вірусним поведінкою може володіти не тільки виконуваний код, що містить машинний код процесора. Були написані віруси на мові пакетних файлів. Потім з'явилися макровіруси, впроваджуються через макроси в документи таких програм, як Microsoft Word і Excel.
Деякий час по тому зломщики створили віруси, що використовують уразливості в популярному програмному забезпеченні (наприклад, Adobe Photoshop, Internet Explorer, Outlook), в загальному випадку обробному звичайні дані. Віруси стали поширюватися за допомогою впровадження в послідовності даних (наприклад, картинки, тексти, і т.д.) спеціального коду, що використовує уразливість програмного забезпечення.
2.2 Троян
2.2.1 Шкідливий вплив
Троянська програма (також - троян, троянець, троянський кінь, трой) - шкідлива програма, яка проникає на комп'ютер під виглядом нешкідливою - кодека, скрінсейвера, хакерського ПЗ і т.д.
"Троянські коні" не мають власного механізму поширення, і цим відрізняються від вірусів, які поширюються, прикріплюючи себе до невинному ПО або документам, і "черв'яків", які копіюють себе по мережі. Втім, троянська програма може нести вірусне тіло - тоді запустив троянця перетворюється в осередок "зарази".
Троянські програми вкрай прості в написанні: найпростіші з них складаються з декількох десятків рядків коду на Visual Basic або C ++.
Назва "троянська програма" походить від назви "троянський кінь" - дерев'яний кінь, за легендою, подарований древніми греками жителям Трої, всередині якого ховалися воїни, згодом відкрили завойовникам ворота міста. Таку назву, перш за все, відображає скритність і потенційне підступність справжніх задумів розробника програми.
Троянська програма, будучи запущеною на комп'ютері, може:
заважати роботі користувача (жартома, помилково або для досягнення будь-яких інших цілей);
шпигувати за користувачем;
використовувати ресурси комп'ютера для будь-якої незаконної (а іноді і завдає прямої шкоди) діяльності і т.д.
2.2.2 Маскування троянсбких програм
Для того, щоб спровокувати користувача запустити троянця, файл програми (його назва, іконку програми) називають службовим ім'ям, маскують під іншу програму (наприклад, установки іншої програми), файл іншого типу або просто дають привабливе для запуску назва, іконку і т.п . Зловмисник може перекомпіліровать існуючу програму, додавши до її вихідного коду шкідливий, а потім видавати за оригінал або підміняти його.
Щоб успішно виконувати ці функції, троянець може в тій чи іншій мірі імітувати (або навіть повноцінно замінювати) завдання або файл даних, під які вона маскується (програма установки, прикладна програма, гра, прикладної документ, картинка). Схожі шкідливі і маскувальні функції також використовуються комп'ютерними вірусами, але на відміну від них, троянські програми не вміють поширюватися самостійно.
2.2.3 Розповсюдження
Троянські програми поміщаються зловмисником на відкриті ресурси (файл-сервери, відкриті для запису накопичувачі самого комп'ютера), носії інформації або надсилаються за допомогою служб обміну повідомленнями (наприклад, електронною поштою) з розрахунку на їх запуск на конкретному, що входить в певне коло або довільному " цільовому "комп'ютері.
Іноді використання троянів є лише частиною спланованої багатоступінчастої атаки на певні комп'ютери, мережі або ресурси (в тому числі, треті).
2.2.4 Методи видалення
Трояни мають безліч видів і форм, тому не існує абсолютно надійного захисту від них.
Для виявлення і видалення троянів необхідно використовувати антивірусні програми. Якщо антивірус повідомляє, що при виявленні трояна він не може видалити його, то можна спробувати виконати завантаження ОС з альтернативного джерела і повторити перевірку антивірусом. Якщо троян виявлений в системі, то його можна також видалити вручну (рекомендується "безпечний режим").
Надзвичайно важливо для виявлення троянів і іншого шкідливого ПЗ, регулярно оновлювати антивірусну базу даних встановленого на комп'ютері антивіруса, так як щодня з'являється безліч нових шкідливих програм.
2.3 Шпигунське програмне забезпечення
2.3.1 Визначення
Spyware (шпигунське програмне забезпечення) - програма, яка потайним чином встановлюється на комп'ютер з метою повного або часткового контролю за роботою комп'ютера і користувача без згоди останнього.
На даний момент існує безліч визначень і тлумачень терміна spyware. Організація "Anti-Spyware Coalition", в якій складаються багато великих виробників антишпигунського і антивірусного програмного забезпечення, визначає його як моніторинговий програмний продукт, встановлений і застосовуваний без належного оповіщення користувача, його згоди і контролю з боку користувача, тобто несанкціоновано встановлений.
2.3.2 Особливості Функціонування
Spyware можуть здійснювати широке коло завдань, наприклад:
збирати інформацію про звички користування Інтернетом і найбільш часто відвідувані сайти (програма відстеження);
запам'ятовувати натискання клавіш на клавіатурі (кейлоггери) і записувати скріншоти екрану (screen scraper) і в подальшому відправляти інформацію творцеві spyware;
несанкціоновано і дистанційно керувати комп'ютером (remote control software) - бекдори, ботнети, droneware;
інсталювати на комп'ютер користувача додаткові програми;
використовуватися для несанкціонованого аналізу стану систем безпеки (security analysis software) - сканери портів і вразливостей і зломщики паролів;
змінювати параметри операційної системи (system modifying software) - руткіти, перехоплювачі управління (hijackers) та ін. - результатом чого є зниження швидкості з'єднання з Інтернетом або втрата з'єднання як такого, відкривання інших домашніх сторінок або видалення тих чи інших програм;
перенаправляти активність браузерів, що тягне за собою відвідування веб-сайтів наосліп з ризиком зараження вірусами.
Законні види застосування "потенційно небажаних технологій"
Tracking Software (програми відстеження) широко і абсолютно законно застосовуються для моніторингу персональних комп'ютерів.
Adware може відкрито включатися до складу безкоштовного і умовно-безкоштовного програмного забезпечення, і користувач погоджується на перегляд реклами, щоб мати будь-яку додаткову можливість (наприклад - користуватися даною програмою безкоштовно). У такому випадку наявність програми для показу реклами має явно прописуватися в угоді кінцевого користувача (EULA).
Програми віддаленого контролю і управління можуть застосовуватися для віддаленої технічної підтримки або доступу до власних ресурсів, які розташовані на віддаленому комп'ютері.
Додзвонювачі (Діалер) можуть давати можливість отримати доступ до ресурсів, за потрібне користувачеві (наприклад - дозвон до Інтернет-провайдера для підключення до мережі Інтернет).
Програми для модифікації системи можуть застосовуватися і для персоналізації, бажаної для користувача.
Програми для автоматичного завантаження можуть застосовуватися для автоматичного завантаження оновлень прикладних програм і оновлень ОС.
Програми для аналізу стану системи безпеки застосовуються для дослідження захищеності комп'ютерних систем і в інших зовсім законних цілях.
Технології пасивного відстеження можуть бути корисні для персоналізації веб-сторінок, які відвідує користувач.
2.3.3 Історія розвитку
Згідно з даними AOL і National Cyber-Security Alliance від 2005 року 61% Респондентное комп'ютерів містили ту чи іншу форму spyware, з них 92% користувачів не знали про присутність spyware на їх машинах і 91% повідомили, що вони не давали дозволу на інсталяцію spyware.
До 2006 року spyware стали одним з переважаючих загроз безпеки комп'ютерних систем, що використовують Windows. Комп'ютери, в яких Internet Explorer служить основним браузером, є частково уразливими не тому, що Internet Explorer найбільш широко використовується, але через те, що його тісна інтеграція з Windows дозволяє spyware отримувати доступ до ключових вузлів ОС.
До релізу Internet Explorer 7 браузер автоматично видавав вікно інсталяції для будь-якого компонента ActiveX, який веб-сайт хотів встановити. Поєднання наївною необізнаності користувача по відношенню до spyware і припущення Internet Explorer, що всі компоненти ActiveX нешкідливі, внесло свій вклад в масове поширення spyware. Багато компонентів spyware також використовують вади в JavaScript, Internet Explorer і Windows для інсталяції без відома і / або дозволу користувача.
Реєстр Windows містить безліч розділів, які після модифікування значень ключів дозволяють програмі виконуватися автоматично при завантаженні ОС. Spyware можуть використовувати такий шаблон для поводження спроб деінсталяції і видалення.
Spyware зазвичай приєднують себе з кожного місцезнаходження в реєстрі, що дозволяє виконання. Будучи запущеним, spyware контролює періодично, не вилучено чи одне з цих ланок. Якщо так, то воно автоматично відновлюється. Це гарантує, що spyware буде виконуватися під час завантаження ОС, навіть якщо деякі (або більшість) ланки в реєстрі автозапуску видалені.
2.3.4 Spyware, віруси і мережеві «хробаки»
На відміну від вірусів і мережевих черв'яків, spyware зазвичай не саморозмножуватися. Подібно до багатьох сучасних вірусів, spyware впроваджується в комп'ютер переважно з комерційними цілями. Типові прояви включають в себе демонстрацію рекламних спливаючих вікон, крадіжку персональної інформації (включаючи фінансову, наприклад, номери кредитних карт), відстеження звички відвідування веб-сайтів або перенаправлення адресного запиту в браузері на рекламні або порносайти.
2.3.5 Телефонне шахрайство
Творці spyware можуть здійснювати шахрайство на телефонних лініях за допомогою програм типу "діалер". Діалер може переналаштувати модем для дозвону на дорогі телефонні номери замість звичайного ISP. З'єднання з цими що не викликають довіри номерами йде з міжнародних або міжконтинентальних тарифами, наслідком чого є непомірно високі суми в телефонних рахунках. Діалер не ефективний на комп'ютерах без модему або НЕ приєднаних до телефонної лінії.
2.3.6 Методи лікування та запобігання
Якщо загроза з боку spyware стає більш ніж настирливої, існує ряд методів для боротьби з ними. Серед них програми, розроблені для видалення або блокування впровадження spyware, також як і різні поради користувачеві, спрямовані на зниження ймовірності попадання spyware в систему.
Проте, spyware залишається дорогої проблемою. Коли значна кількість елементів spyware інфікованих ОС, єдиним засобом залишається збереження файлів даних користувача і повна перевстановлення ОС.
2.3.7 Антіspyware програми
Програми, такі як Ad-Aware (безкоштовно для некомерційного використання, додаткові послуги платні) від Lavasoft і Spyware Doctor від PC Tools (безкоштовне сканування, видалення spyware платне) стрімко завоювали популярність як ефективні інструменти видалення і, в деяких випадках, перешкоди впровадженню spyware. У 2004 році Microsoft придбала GIANT AntiSpyware, перейменувавши її в Windows AntiSpyware beta і випустивши її як безкоштовне завантаження для зареєстрованих користувачів Windows XP і Windows Server 2003. У 2006 році Microsoft перейменував бета-версію в Windows Defender який був випущений для безкоштовного завантаження (для зареєстрованих користувачів) з жовтня 2006 року і включений як стандартний інструмент в Windows Vista.
2.4 Мережеві «хробаки»
Мережевий черв'як - різновид самовідтворюються комп'ютерних програм, що розповсюджуються в локальних і глобальних комп'ютерних мережах. Черв'як є самостійною програмою.
2.4.1 Історія
Одні з перших експериментів по використанню комп'ютерних черв'яків в розподілених обчисленнях були проведені в дослідницькому центрі Xerox в Пало Альто Джоном Шочем (John Shoch) і Йоном хуппа (Jon Hupp) в 1978. Термін виник під впливом науково-фантастичних романів Девіда Герролда "Коли Харлі виповнився рік "та Джона Браннера" На ударній хвилі "
Одним з найбільш відомих комп'ютерних черв'яків є "Черв'як Моріса", написаний Робертом Морісом (Robert Morris) молодшим, який був у той час студентом Корнельського Університету. Поширення хробака почалося 2 листопада 1988, після чого хробак швидко заразив велику кількість комп'ютерів, підключених до Інтернету.
2.4.2Механізмипоширення
Черви можуть використовувати різні механізми ( "вектори") поширення. Деякі черв'яки вимагають певної дії користувача для поширення (наприклад, відкриття інфікованого повідомлення в клієнті електронної пошти). Інші черви можуть поширюватися автономно, вибираючи і атакуючи комп'ютери в повністю автоматичному режимі. Іноді зустрічаються черв'яки з цілим набором різних векторів поширення, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.
2.4.3 Структура
Часто виділяють так звані ОЗУ-резидентні хробаки, які можуть інфікувати працюючу програму і перебувати в ОЗУ, при цьому не зачіпаючи жорсткі диски. Від таких хробаків можна позбутися перезапуском комп'ютера (і, відповідно, скиданням ОЗУ). Такі черви складаються в основному з "інфекційної" частини: експлойта (шелл-коду) і невеликий корисного навантаження (самого тіла хробака), яка розміщується цілком в ОЗУ. Специфіка таких хробаків полягає в тому, що вони не завантажуються через завантажувач як всі звичайні виконувані файли, а значить, можуть розраховувати тільки на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.
Також існують черви, які після успішного інфікування пам'яті зберігають код на жорсткому диску і вживають заходів для подальшого запуску цього коду (наприклад, шляхом прописування відповідних ключів в реєстрі Windows). Від таких хробаків можна позбутися тільки за допомогою антивірусу або подібних інструментів. Найчастіше інфекційна частина таких хробаків (експлойт, шелл-код) містить невелику корисне навантаження, яка завантажується в ОЗУ і може "довантажити" по мережі безпосередньо саме тіло хробака у вигляді окремого файлу. Для цього деякі черв'яки можуть містити в інфекційній частини простий TFTP-клієнт. Завантажувати таким способом тіло хробака (зазвичай окремий виконуваний файл) тепер відповідає за подальше сканування та поширення вже з інфікованої системи, а також може містити більше серйозну, повноцінну корисне навантаження, метою якої може бути, наприклад, нанесення будь-якої шкоди (наприклад, DoS -атаки).
Більшість поштових черв'яків поширюються як один файл. Їм не потрібна окрема "інфекційна" частина, так як зазвичай користувач-жертва за допомогою поштового клієнта добровільно викачує і запускає хробака цілком.
2.5 Руткіти
2.5.1 Визначення
Руткіт (Rootkit) - програма або набір програм, що використовують технології приховування системних об'єктів (файлів, процесів, драйверів, сервісів, ключів реєстру, відкритих портів, з'єднань та ін) за допомогою обходу механізмів системи.
Термін руткіт історично прийшов зі світу Unix, де під цим терміном розуміється набір утиліт, які хакер встановлює на зламаному ним комп'ютері після отримання початкового доступу. Це, як правило, хакерський інструментарій (сніфери, сканери) та троянські програми, які заміщають основні утиліти Unix. Руткіт дозволяє хакеру закріпитися у зламаній системі і приховати сліди своєї діяльності.
В системі Windows під терміном руткит прийнято вважати програму, яка впроваджується в систему і перехоплює системні функції, або робить заміну системних бібліотек. Перехоплення і модифікація низькорівневих API функцій в першу чергу дозволяє такій програмі досить якісно маскувати свою присутність в системі, захищаючи її від виявлення користувачем і антивірусним ПЗ. Крім того, багато руткіти можуть маскувати присутність в системі будь-яких описаних в його конфігурації процесів, папок і файлів на диску, ключів в реєстрі. Багато руткіти встановлюють в систему свої драйвери і сервіси (вони природно також є "невидимими").
Останнім часом загроза руткітів стає все більш актуальною, т.к розробники вірусів, троянських програм і шпигунського програмного забезпечення починають вбудовувати руткит-технології в свої шкідливі програми. Одним з класичних прикладів може служити троянська програма Trojan-Spy. Win32. Qukart, яка маскує свою присутність в системі за допомогою руткит-технології. Її RootKit-механізм прекрасно працює в Windows 95, 98, ME, 2000 і XP.
2.5.2 Класифікація руткітов
Умовно всі руткит-технології можна розділити на дві категорії:
Руткіти працюють в режимі користувача (user-mode)
Руткіти працюють в режимі ядра (kernel-mode)
Перша категорія заснована на перехопленні функцій бібліотек користувацького режиму, друга - на установці в систему драйвера, що здійснює перехоплення функцій рівня ядра.
Також, руткіти можна класифікувати за принципом дії і по стабільності існування. За принципом дії:
2.5.3 Змінюющі алгоритм виконання системних функцій
Ті, що змінюють системні структури даних
3. Ознаки зараження комп’ютера вірусом. Дії при виявленні зараження
Присутність вірусів на комп'ютері виявити складно, тому що вони маскуються серед звичайних файлів. У даній статті найбільш докладно описані ознаки зараження комп'ютера, а також способи відновлення даних після вірусної атаки і заходи щодо запобігання їх ураження шкідливими програмами.
Ознаки зараження:
висновок на екран непередбачених повідомлень або зображень;
подача непередбачених звукових сигналів;
несподіване відкриття і закриття лотка CD-ROM-пристрої;
довільний, без вашої участі, запуск на комп'ютері будь-яких програм;
при наявності на вашому комп'ютері брандмауера, поява попереджень про спробу будь-якої з програм вашого комп'ютера вийти в інтернет, хоча ви це ніяк не ініціювали.
Якщо ви помічаєте, що з комп'ютером відбувається подібне то, з великим ступенем ймовірності, можна припустити, що ваш комп'ютер вражений вірусом.
Крім того, є деякі характерні ознаки ураження вірусом через електронну пошту:
друзі або знайомі кажуть вам про повідомлення від вас, які ви не відправляли; у вашій поштовій скриньці знаходиться велика кількість повідомлень без зворотної адреси і заголовка.
Слід зазначити, що не завжди такі ознаки викликаються присутністю вірусів. Іноді вони можуть бути наслідком інших причин. Наприклад, у випадку з поштою заражені повідомлення можуть розсилатися з вашим зворотною адресою, але не з вашого комп'ютера.
Є також непрямі ознаки зараження вашого комп'ютера:
часті зависання і збої в роботі комп'ютера;
повільна робота комп'ютера при запуску програм;
неможливість завантаження операційної системи;
зникнення файлів і каталогів або перекручування їхнього вмісту;
часте звертання до жорсткого диска (часто блимає лампочка на системному блоці);
інтернет-браузер "зависає" або поводиться несподіваним чином (наприклад, вікно програми неможливо закрити).
У 90% випадків наявність непрямих симптомів викликано збоєм в апаратному або програмному забезпеченні. Незважаючи на те, що подібні симптоми з малою вірогідністю свідчать про зараження, при їх появі рекомендується провести повну перевірку вашого комп'ютера встановленої на ньому антивірусною програмою
Дії при виявленні зараження:
Вимкніть комп'ютер від інтернету (від локальної мережі).
Якщо симптом зараження полягає в тому, що ви не можете завантажитися з жорсткого диска комп'ютера (комп'ютер видає помилку, коли ви його включаєте), спробуйте завантажитися в режимі захисту від збоїв або з диска аварійного завантаження Windows, який ви створювали при установці операційної системи на комп'ютер .
Перш ніж робити які-небудь дії, збережіть результати вашої роботи на зовнішній носій (дискету, CD-диск, флеш-накопичувач і т.д.).Встановіть антивірус, якщо на вашому комп'ютері не встановлено ніяких антивірусних програм.
Отримайте останні оновлення антивірусних баз. Якщо це можливо, для їх отримання виходите в інтернет не з свого комп'ютера, а з незараженої комп'ютера друзів, інтернет-кафе, з роботи. Краще скористатися іншим комп'ютером, оскільки при підключенні до інтернету з зараженого комп'ютера є ймовірність відправки вірусом важливої інформації зловмисникам або поширення вірусу по адресам вашої адресної книги. Саме тому при підозрі на зараження найкраще відразу відключитися від інтернету.Запустіть повну перевірку комп'ютера.
4. Методи захисту від шкідливих програм
Стовідсоткового захисту від усіх шкідливих програм не існує: від експлойтів зразок Sasser або Conficker не застрахований ніхто. Щоб знизити ризик втрат від впливу шкідливих програм, рекомендується:
використовувати сучасні операційні системи, які мають серйозний рівень захисту від шкідливих програм;
своєчасно встановлювати патчі; якщо існує режим автоматичного оновлення, включити його;
постійно працювати на персональному комп'ютері виключно під правами користувача, а не адміністратора, що не дозволить більшості шкідливих програм інсталюватися на персональному комп'ютері;
використовувати спеціалізовані програмні продукти, які для протидії шкідливим програмам використовують так звані евристичні (поведінкові) аналізатори, тобто не потребують наявності сигнатурної бази;
використовувати антивірусні програмні продукти відомих виробників, з автоматичним оновленням сигнатурних баз;
використовувати персональний Firewall, контролюючий вихід в мережу Інтернет з персонального комп'ютера на підставі політик, які встановлює сам користувач;
обмежити фізичний доступ до комп'ютера сторонніх осіб;
використовувати зовнішні носії інформації тільки від перевірених джерел;
не відкривати комп'ютерні файли, отримані від ненадійних джерел;
відключити автозапуск зі змінних носіїв, що не дозволить запускатися кодами, які знаходяться на ньому без відома користувача (для Windows необхідно gpedit. msc-> Адміністративні шаблони (Конфігурація користувача) -> Система-> Відключити автозапуск-> Включений "на всіх дисководах") .
Сучасні засоби захисту від різних форм шкідливих програм включають в себе безліч програмних компонентів і методів виявлення "хороших" і "поганих" додатків. Сьогодні постачальники антивірусних продуктів вбудовують в свої програми сканери для виявлення "шпигунів" і іншого шкідливого коду, таким чином, все робиться для захисту кінцевого користувача. Проте, жоден пакет проти шпигунських програм не ідеальний. Один продукт може надто пильно ставитися до програм, блокуючи їх при найменшій підозрі, в тому числі "вичищаючи" і корисні утиліти, якими ви регулярно користуєтеся. Інший продукт більш лояльний до програм, але може пропускати деякий шпигунський код. Так що панацеї, на жаль, немає.
На відміну від антивірусних пакетів, які регулярно показують 100% ефективності по виявленню вірусів в професійному тестуванні, що проводиться такими експертами, як "Virus Bulletin", жоден пакет проти рекламних програм не набирає більше 90%, а ефективність багатьох інших продуктів визначається між 70% і 80%.
Це пояснює, чому одночасне використання, наприклад, антивіруса і антишпигунські програми, найкращим чином забезпечує всебічний захист системи від небезпек, які можуть прийти несподівано. Практика показує, що один пакет слід використовувати в якості постійного "блокувальника", який завантажується щоразу при включенні комп'ютера (наприклад, AVP 6.0), в той час як ще один пакет (або більше) повинен запускатися, принаймні, раз на тиждень , щоб забезпечити додаткове сканування (наприклад, Ad-Aware). Таким чином, те, що пропустить один пакет, інший зможе виявити.
Это объясняет, почему одновременное использование, например, антивируса и антишпионской программы, наилучшим образом обеспечивает всестороннюю защиту системы от опасностей, которые могут прийти неожиданно. Практика показывает, что один пакет следует использовать в качестве постоянного "блокировщика", который загружается всякий раз при включении компьютера (например, AVP 6.0), в то время как ещё один пакет (или более) должен запускаться, по крайней мере, раз в неделю, чтобы обеспечить дополнительное сканирование (например, Ad-Aware). Таким образом, то, что пропустит один пакет, другой сможет обнаружить.
5. Класифікація антивірусних програм
5.1 Види антивірусних програм
Євген Касперський в 1992 році використовував таку класифікацію антивірусів в залежності від їх принципу дії (що визначає функціональність):
Сканери (застарілий варіант - "полифаги") - визначають наявність вірусу по базі сигнатур, що зберігає сигнатури (або їх контрольні суми) вірусів. Їх ефективність визначається актуальністю вірусної бази і наявністю евристичного аналізатора (див .: Евристичне сканування).
Ревізори (клас, близький до IDS) - запам'ятовують стан файлової системи, що робить надалі можливим аналіз змін.
Сторожа (монітори) - відстежують потенційно небезпечні операції, видаючи користувачеві відповідний запит на дозвіл / заборона операції.
Вакцини - змінюють щеплений файл таким чином, щоб вірус, проти якого робиться щеплення, вже вважав файл зараженим. У сучасних (2007 рік) умовах, коли кількість можливих вірусів вимірюється сотнями тисяч, цей підхід непридатний.
Сучасні антивіруси поєднують все вищезазначені функції.
Антивіруси так само можна розділити на:
Продукти для домашніх користувачів:
Власне антивіруси;
Комбіновані продукти (наприклад, до класичного антивірусу доданий антиспам, файрвол, антіруткит і т.д.);
Корпоративні продукти:
Серверні антивіруси;
Антивіруси на робочих станціях ( "endpoint").
5.2 Сучасні антивірусні засоби захисту і їх основні функціональні особливості
BitDefender Antivirus Plus v10.
Основні функціональні особливості:
функція Heuristics in Virtual Environment - емуляція віртуальної машини, за допомогою якої проходять перевірку потенційно небезпечні об'єкти з використанням евристичних алгоритмів;
автоматична перевірка даних, що передаються по протоколу POP3, підтримка найбільш популярних поштових клієнтів (MS Exchange, MS Outlook, MS Outlook Express, Netscape, Eudora, Lotus Notes, Pegasus, The Bat та інші);
захист від вірусів, що поширюються через файлообмінні Peer-2-Peer мережі;
формування особистого спам-листа користувача.
Мінімальні системні вимоги: процесор Intel Pentium II 350 МГц, 128 MB RAM, 60 MB вільного місця на жорсткому диску, наявність системи Windows 98 / NT / Me / 2000 / XP.
Eset NOD32 2.5
Основні функціональні особливості:
евристичний аналіз, що дозволяє виявляти невідомі загрози;
технологія ThreatSense - аналіз файлів для виявлення вірусів, програм-шпигунів (spyware), непрошеної реклами (adware), phishing-атак і інших погроз;
перевірка і видалення вірусів із заблокованих для записів файлів (наприклад, захищені системою безпеки Windows бібліотеки DLL);
повірка протоколів HTTP, POP3 і PMTP.
Мінімальні системні вимоги: процесор Intel Pentium, 32 MB RAM, 30 MB вільного місця на жорсткому диску, наявність системи Windows 95/98 / NT / Me / 2000 / XP.
Антивірус Касперського 6.0
Основні функціональні особливості:
перевірка трафіку на рівні протоколів POP3, IMAP і NNTP для вхідних повідомлень і SMTP для витікаючих, спеціальні плагіни для Microsoft Outlook, Microsoft Outlook Express і The Bat !;
попередження користувача у разі виявлення зміни як в нормальних процесах, так і при виявленні прихованих, небезпечних і підозрілих;
контроль змін, що вносяться до реєстру;
блокування небезпечних макросів Visual Basic for Applications в документах Microsoft Office.
Мінімальні системні вимоги: процесор Intel Pentium 133 МГц, 32 MB RAM, 50 MB вільного місця на жорсткому диску, наявність системи Microsoft Windows 98 / NT / 2000 / Me / XP.
McAfee VirusScan Pro 10 (2006)
Основні функціональні особливості:
захист від вірусів, макровірусів, троянів, Інтернет-хробаків, spyware, adware, шкідливих елементів управління ActiveX і Java;
автоматична перевірка вхідної (POP3) і вихідної (SMTP) електронної пошти;
технології ScriptStopper і WormStopper для блокування шкідливої активності скриптів і черв'яків.
Мінімальні системні вимоги: процесор Intel Pentium 133 МГц, 64 MB RAM, 40 MB вільного місця на жорсткому диску, наявність системи Windows 98 / Me / 2000 / XP.
Dr. Web 4.33а
Основні функціональні особливості:
захист від черв'яків, вірусів, троянів, поліморфних вірусів, макровірусів, spyware, програм-дозвонщиков, adware, хакерських утиліт і шкідливих скриптів;
оновлення антивірусних баз до декількох разів на годину, розмір кожного оновлення до 15 KB;
перевірка системної пам'яті комп'ютера, що дозволяє виявити віруси, яких не існує у вигляді файлів (наприклад, CodeRed або Slammer);
евристичний аналізатор, що дозволяє знешкодити невідомі загрози до виходу відповідних оновлень вірусних баз.
Мінімальні системні вимоги: наявність Windows 95/98 / NT / Me / 2000 / XP. Вимоги до апаратного забезпечення відповідають заявленим для зазначених ОС.
Висновок
Якщо ви до цих пір жодного разу не стикалися з комп'ютерними вірусами, то обов'язково з ними зустрінетеся. Були часи, коли антивірусні ПО тільки з'являлися, а віруси вже "орудували по повній", приносячи щодня збитки на мільйони доларів. Сьогодні, звичайно, віруси теж можуть зробити наше життя нестерпним, але в більшості випадків навіть звичайний середньостатистичний користувач може очистити свій ПК від шкідливого ПЗ. А ось кілька років тому доводилося повністю форматувати жорсткий диск і починати все з нуля. Але навіть це не завжди призводило до бажаного результату. Пам'ятайте: для захисту вашого комп'ютера, на ньому необхідна встановлена і оновлена антивірусна програма. Не попадайтеся на виверти шахраїв, ігноруйте спам, будьте уважні при установці на ваш ПК неліцензійних програм.
Список використанної літератури
Стаття http://www.compdoc.ru/secur/soft/comparative-review-modern-antivir/
Айтипедія http://www.itpedia.ru/index. php/
Викіпедія (вільна енциклопедія) http://ru. wikipedia.org/wiki/
Стаття http://roox.net.ru/infosec/04/