Компьютерные вирусы и антивирусные программы» с помощью программы Microsoft PowerPoint

 

 

Признаки появления вирусов.

При заражении  компьютера вирусом важно его  обнаружить. Для этого следует  знать об основных признаках проявления вирусов. К ним можно отнести  следующие:

• прекращение работы или неправильная работа ранее успешно
• функционировавших программ.
• .медленная работа компьютера
• невозможность загрузки операционной систем
• исчезновение файлов и каталогов или искажение их содержимого
• изменение даты и времени модификации файлов
• изменение размеров файлов
• неожиданное значительное увеличение количества файлов на диске
• существенное уменьшение размера свободной оперативной памяти
• вывод на экран непредусмотренных сообщений или изображений
• подача непредусмотренных звуковых сигналов
• частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. 
Поэтому всегда затруднена правильная диагностика состояния компьютера.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Методы  защиты от компьютерных вирусов.

 

Антивирусная программа                                                                                    

              - Это программа, предназначенная для борьбы с компьютерными вирусами.                                  В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов. Для нормальной работы на ПК каждый пользователь должен следить за обновлением антивирусов. Если антивирусная программа обнаруживает вирус в файле, то она удаляет из него программный код вируса. Если лечение не возможно, то зараженный файл удаляется целиком.Имеются различные типы антивирусных программ -полифаги, ревизоры, блокировщики, сторожа, вакцины и пр.

 

Позиции, по которым различные антивирусы можно сравнить между собой:

Надежность  и удобство работы – отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

Обнаружения вирусов всех распространенных типов. Сканирование внутри файлов документов и таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов.

Существование версий антивируса под все популярные платформы (DOS, Windows, OS/2, Linux и т.д.), присутствие не только режима "сканирование по запросу", но и "сканирование на лету".

Скорость  работы и прочие полезные особенности.

 

Типы  антивирусных программ.

Самыми эффективными являются антивирусные сканеры (другие названия: фаги, полифаги). Следом за ними следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Оба типа часто объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски".

Маской вируса является постоянная последовательность кода, специфичная для конкретного  вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы, например, алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Используются  также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор  некоторой статистики и принятие решения ("возможно заражен" или "не заражен") для каждого проверяемого объекта.

Универсальные сканеры рассчитаны на все типы вирусов  вне зависимости от операционной системы, специализированные предназначены  для обезвреживания ограниченного  числа вирусов или только одного их класса, например, для защиты MS Word и MS Excel.

Сканеры также  делятся на "резидентные" (мониторы), производящие сканирование "налету", и "нерезидентные", обеспечивающие проверку системы по запросу.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз и относительно небольшая скорость поиска. 

CRC-сканеры. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. CRC-суммы сохраняются в базе антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие  анти-стелс алгоритмы, являются  сильным оружием: практически  100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток – CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту "слабость" CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Блокировщики. Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность  обнаруживать и останавливать вирус  на самой ранней стадии его размножения, к недостаткам - существование путей обхода и большое количество ложных срабатываний.

Отдельное направление  антивирусной защиты – антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера ("железа"). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает "ложное срабатывание" защиты.

Иммунизаторы. Иммунизаторы делятся на два типа: (1) сообщающие о заражении, и (2) блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются.

Второй тип  иммунизации защищает систему от поражения вирусом какого-то определенного вида. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена. Однако, такой тип иммунизации не может быть универсальним, поскольку нельзя иммунизировать файлы от всех вирусов.  

Антивирусные  сканеры – после запуска проверяют файлы и оперативную память и обеспечивают нейтрализацию найденного  Вируса.

Антивирусные сторожа (мониторы) – постоянно находятся  в ОП и обеспечивают проверку файлов в процессе их загрузки в ОП.

Полифаги – самые универсальные и эффективные антивирусные программы. Проверяют файлы, загрузочные сектора дисков и ОП на поиск новых и неизвестных вирусов. Занимают много места, работают не быстро.

 Ревизоры – проверяют изменение длины файла. Не могут обнаружить вирус в новых файлах (на дискетах, при распаковке), т.к. в базе данных нет сведений о этих файлах.

 

Использование наиболее популярных антивирусных программ.

Kaspersky ® Antivirus одна из популярнейших и наиболее качественных антивирусных программ. Очень высокий процент определения вирусов, в том числе и еще неизвестных. Антивирус Касперского умеет проверять на вирусы почтовые базы данных и получаемые письма вместе с приложениями к ним; программа очень хорошо определяет макровирусы, внедренные в документы Microsoft Office, а также проверяет наиболее популярные форматы архивов.

Dr Web - 100% Защита от вирусных атак! Dr Web для рабочих станций Windows позволяет Вам в подавляющем большинстве случаев вылечить не только зараженные файлы, но и устранить следы вируса в различных элементах системы, как бы хитроумно они ни были замаскированы.

 

 

NOD32 — антивирусный пакет, выпускаемый словацкой фирмой Eset. Возник в конце 1998 года. Название изначально расшифровывалось как Nemocnica na Okraji Disku («Больница на краю диска», перефразированное название популярного тогда в Чехословакии телесериала «Больница на окраине города»). По оценке австрийской тестовой лаборатории Андреса Клементи AV-Comparatives антивирус Eset NOD32 назван лучшим продуктом 2006 и 2007 гг. Eset NOD32 обладает рекордным (48 по состоянию на 04.02.2008) на рынке количеством наград Virus Bulletin 100%.

 

 

Если  на компьютере найден вирус, надо сделать следующее:

Отключить компьютер от сети и проинформировать системного администратора. Подключение к сети возможно лишь после того, как будут вылечены все сервера и рабочие станции. Если произошло заражение макро-вирусом, вместо отключения от сети достаточно на период лечения убедиться в том, что соответствующий редактор (Word/Excel) неактивен ни на одном компьютере.

 Если используемый антивирус  не удаляет вирусы из памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от записи системной дискеты. Перезагрузка должна быть "холодной" (клавиша Reset или выключение/включение компьютера), так как некоторые вирусы "выживают" при теплой перезагрузке.

 Обращать особое внимание на чистоту модулей, сжатых утилитами типа LZEXE, PKLITE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE. Если упаковать файл, зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. Все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.

  После лечения зараженных файлов проверить их работоспособность.

 

Кроме того необходимо постоянно помнить, что:

Многие популярные антивирусы частенько    необратимо портят файлы вместо их лечения;

 Даже совершенно пустая дискета может стать  источником распространения вируса;

 Никто не  гарантирует полного уничтожения  всех копий компьютерного вируса, так как файловый вирус может поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от COM или EXE;

Архивы и backup-копии  являются основными поставщиками старых вирусов. Он годами может "сидеть" в дистрибутивной копии какого-либо программного продукта и неожиданно проявиться при установке программ на новом компьютере.

 

 

 

 

 

 

 

Основные  правила профилактики.

Осторожно относиться к программам и документам Word/Excel, получаемым из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ/таблицу, необходимо проверить их на наличие вирусов.

Защита локальных сетей – для уменьшения риска заразить файл на сервере активно использовать стандартные возможности защиты: ограничение прав пользователей; установка атрибутов "только на чтение" или даже "только на запуск" для всех выполняемых файлов.

Покупать дистрибутивные копии  программ только у официальных продавцов (в крайнем случае, у надежных знакомых) и хранить их на защищенных от записи дискетах.

Никогда не запускать непроверенные  файлы – обязательно проверять их одним или несколькими антивирусами. При работе с новыми программами желательно, чтобы в памяти резидентно находился какой-либо антивирусный монитор.

Пользоваться утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, даты последней модификации файлов и т.д.). Любое несоответствие при периодическом сравнении информации, хранящийся в подобной базе данных, с реальным содержимым винчестера, может служить сигналом о появлении вируса.

Периодически сохранять на внешнем  носителе свои файлы (backup-копии). Затраты на копирование значительно меньше затрат на восстановление файлов при проявлении вирусом агрессивных свойств или при сбое компьютера. При наличии стримера или какого-либо другого внешнего носителя большого объема имеет смысл делать backup всего содержимого винчестера..

Не обольщаться встроенной в BIOS защитой от вирусов. Многие вирусы "обходят" ее при помощи различных приемов. Системы антивирусной защиты, встроенные в Word и Office97 также могут быть отключены вирусом.