Компьютерные вирусы. Классификация, история.

Общие сведения. Пользователи ПК наиболее часто сталкивают­ся с одной из разновидностей компьютерной преступности - ком­пьютерными вирусами. Последние являются особого типа вредо­носными программами, доставляющими пользователям и обслу­живающему ПК персоналу немало неприятностей 1 .

Компьютерным вирусом называется способная к самовоспроизвод­ству и размножению программа, внедряющаяся в другие программы.

Очевидна аналогия понятий компьютерного и биологического вирусов. Однако не всякая могущая саморазмножаться программа является компьютерным вирусом. Вирусы всегда наносят ущерб - препятствуют нормальной работе ПК, разрушают файловую струк­туру и т.д., поэтому их относят к разряду так называемых вредо­носных программ.

Исторически появление компьютерных вирусов связано с иде­ей создания самовоспроизводящихся механизмов, в частности про­грамм, которая возникла в 50-х гг. Дж.фон Нейман еще в 1951 г. предложил метод создания таких механизмов, и его соображения получили дальнейшее развитие в работах других исследователей. Первыми появились игровые программы, использующие элемен­ты будущей вирусной технологии, а затем уже на базе накоплен­ных научных и практических результатов некоторые лица стали разрабатывать самовоспроизводящиеся программы с целью нане­сения ущерба пользователям компьютера.

Создатели вирусов сосредоточили свои усилия в области ПК вследствие их массовости и практически полного отсутствия эф­фективных средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:

Стремление «насолить» кому-либо;

1 Безруков Н.Н.

Неестественная потребность в совершении преступлений;

Желание самоутвердиться, озорство и одновременно недопо­нимание всех последствий распространения вируса;

Невозможность использовать свои знания в конструктивном русле (это в большей степени экономическая проблема);

Уверенность в полной безнаказанности (в ряде стран отсут­ствуют нормы правовой ответственности за создание и распрост­ранение вирусов).

Основными каналами проникновения вирусов в персональный ком­пьютер являются накопители на сменных носителях информации и средства сетевой коммуникации, в частности сеть Internet.

Первые случаи массового заражения ПК вирусами были отме­чены в 1987 г., когда появился так называемый Пакистанский ви­рус, созданный братьями Амджатом и Базитом Алви. Таким обра­зом они решили наказать американцев, покупавших дешевые не­законные копии программного обеспечения в Пакистане, которые братья стали инфицировать разработанным вирусом. Вирус заразил в США более 18 тыс. компьютеров и, проделав кругосветное путе­шествие, попал в СССР. Следующим широко известным вирусом стал вирус Lehigh (Лехайский вирус), распространившийся в одно­именном университете США. В течение нескольких недель он унич­тожил содержимое нескольких сотен дискет из библиотеки вычис­лительного центра университета и личных дискет студентов. К фев­ралю 1989 г. в США этим вирусом было поражено около 4 тыс. ПК.

В дальнейшем количество вирусов и число зараженных ими ком­пьютеров стало лавинообразно увеличиваться, что потребовало при­нятия срочных мер как технического, так и организационного и юридического характера. Появились различные антивирусные сред­ства, вследствие чего ситуация стала напоминать гонку вооружений и средств защиты от них. Определенный эффект был достигнут в результате принятия рядом развитых стран законодательных актов о компьютерных преступлениях, среди которых были и статьи, касающиеся создания и распространения компьютерных вирусов.

В настоящее время в мире насчитывается более 20 тыс. вирусов, включая штаммы, т.е. разновидности вирусов одного типа. Вирусы не признают границ, поэтому большинство из них курсирует и по России. Более того, проявилась тенденция увеличения числа виру­сов, разработанных отечественными программистами. Если ситуа­ция не изменится, то в будущем Россия сможет претендовать на роль лидера в области создания вирусов.

Классификация вирусов. Жизненный цикл компьютерных виру­сов, как правило, включает в себя следующие фазы:

Латентный период, в течение которого вирусом никаких дей­ствий не предпринимается;

Инкубационный период, в пределах которого вирус только размножается;

Активный период, в течение которого наряду с размножени­ем выполняются несанкционированные действия, заложенные в алгоритме вируса.

Первые две фазы служат для того, чтобы скрыть источник ви­руса, канал его проникновения и инфицировать как можно боль­ше файлов до выявления вируса. Длительность этих фаз может опре­деляться предусмотренным в алгоритме временным интервалом, наступлением какого-либо события в системе, наличием опреде­ленной конфигурации аппаратных средств ПК (в частности, на­личием НЖМД) и т.д.

Компьютерные вирусы классифицируются в соответствии со сле­дующими признаками:

Средой обитания;

Способом заражения среды обитания;

Способом активизации;

Способом проявления (деструктивные действия или вызывае­мые эффекты);

Способом маскировки.

Вирусы могут внедряться только в программы, которые, в свою очередь, могут содержаться или в файлах, или в некоторых ком­понентах системной области диска, участвующих в процессе заг­рузки операционной системы. В соответствии со средой обитания различают:

файловые вирусы, инфицирующие исполняемые файлы;

загрузочные вирусы, заражающие компоненты системной об­ласти, используемые при загрузке ОС;

файлово-загрузочные вирусы, интегрирующие черты первых двух групп.

Файловые вирусы могут инфицировать:

Позиционно-независимые перемещаемые машинные програм­мы находящиеся в СОМ-файлах;

Позиционно-зависимые перемещаемые машинные програм­мы, размещаемые в ЕХЕ-файлах;

Драйверы устройств (SYS- и BIN-файлы);

Файлы с компонентами DOS;

Объектные модули (OBJ-файлы);

Файлы с программами на языках программирования (в расче­те на компиляцию этих программ);

Командные файлы (ВАТ-файлы);

Объектные и символические библиотеки (LIB- и другие файлы);

Оверлейные файлы (OVL-, PIF- и другие файлы). Наиболее часто файловые вирусы способны внедряться в СОМ

и/или ЕХЕ-файлы.

Загрузочные вирусы могут заражать:

Загрузочный сектор на дискетах;

Загрузочный сектор системного логического диска, созданно­го на винчестере;

Внесистемный загрузчик на жестком диске. Загрузочные вирусы распространяются на дискетах в расчете на

то, что с них будет осуществлена попытка загрузиться, что проис­ходит не так часто. У файловых вирусов инфицирующая способ­ность выше.

Файлово-загрузочные вирусы обладают еще большей инфици­рующей способностью, так как могут распространяться как в про­граммных файлах, так и на дискетах с данными.

Способы заражения среды обитания, зависят от типа последней. Зараженная вирусом среда называется вирусоносителем. При имп­лантации тело файлового вируса может размещаться:

В конце файла;

В начале файла;

В середине файла;

В хвостовой (свободной) части последнего кластера, занима­емого файлом.

Наиболее легко реализуется внедрение вируса в конец СОМ-файла. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:

1. Дописывает к файлу собственную копию (тело вируса).

2. Сохраняет в этой копии оригинальное начало файла.

3. Заменяет оригинальное начало файла на команду передачи управления на тело вируса.

При запуске инфицированной описанным способом програм­мы первоначально инициируется выполнение тела вируса, в ре­зультате чего:

Восстанавливается оригинальное начало программы (но не в файле, а в памяти!);

Возможно, отыскивается и заражается очередная жертва;

Возможно, осуществляются несанкционированные пользова­телем действия;

Производится передача управления на начало программы-вирусоносителя, в результате чего она выполняется обычным образом.

Имплантация вируса в начало СОМ-файла производится ина­че: создается новый файл, являющийся объединением тела ви­руса и содержимого оригинального файла. Два описанных спо­соба внедрения вируса ведут к увеличению длины оригинально­го файла.

Имплантация вируса в середину файла наиболее сложна и спе­циализирована. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, command.com), чтобы можно было внедриться, в частности, в область стека. Опи­санный способ имплантации не ведет к увеличению длины файла.

Проявлением (деструктивными действиями) вирусов могут быть:

Влияние на работу ПК;

Искажение программных файлов;

Искажение файлов с данными;

Форматирование диска или его части;

Замена информации на диске или его части;

Искажения системного или несистемного загрузчика диска;

Разрушение связности файлов путем искажения таблицы FAT;

Искажение данных в CMOS-памяти.

Большую часть вирусов первой группы, вызывающих визуаль­ные или звуковые эффекты, неформально называют «иллюзионис­тами». Другие вирусы этой же группы могут замедлять работу ПК или препятствовать нормальной работе пользователя, модифици­руя и блокируя функции выполняемых программ, а также операци­онной системы. Вирусы всех остальных групп часто называют «ванда­лами» из-за наносимого ими непоправимого, как правило, ущерба.

В соответствии со способами маскировки различают:

Немаскирующиеся вирусы;

Самошифрующиеся вирусы;

Стелс-вирусы.

Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие програм­мы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.

В связи с появлением антивирусных средств разработчики ви­русов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмыс­ленного чтения, а остальная расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обна­ружение вируса, так и анализ его тела специалистами.

Появились также стелс-вирусы, названные по аналогии с ши­рокомасштабным проектом по созданию самолетов-невидимок. Методы маскировки, используемые стелс-вирусами, носят комп­лексный характер, и могут быть условно разделены на две катего­рии: маскировка наличия вируса в программе-вирусоносителе; маскировка присутствия резидентного вируса в ОЗУ.

Автомодификация тела вируса;

Реализация эффекта удаления тела вируса из вирусоносителя при чтении последнего с диска, в частности, отладчиком (это осу­ществляется путем перехвата прерывания, конечно, в случае на­личия резидентного вируса в ОЗУ);

Имплантация тела вируса в файл без увеличения его размера;

Эффект неизменности длины инфицированного файла (осу­ществляется аналогично п. 2);

Сохранение неизменным оригинального начала программных файлов.

Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусст­венно уменьшить длину файла. Конечно, реальная длина файла не меняется, но пользователю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), можно получить истинную информацию о характе­ристиках файла. Такие возможности предоставляет, в частности, оболочка Norton Commander.

Занесение вируса в специальную зону резидентных модулей DOS, в хвостовые части кластеров, в CMOS-память, видеопамять и т.п.;

Модификацию списка несистемного загрузчика, о чем уже говорилось;

Манипулирование обработчиками прерываний, в частности, специальные методы их подмены, с целью обойти резидентные антивирусные средства;

Корректировку общего объема ОЗУ.

При повседневной работе пользователь в состоянии обнаружить вирус по его симптомам. Естественно, что симптомы вируса не­посредственно определяются реализованными в нем способами про­явления, а также другие характеристиками вируса. В качестве сим­птомов вирусов выделяют следующие:

Увеличение числа файлов на диске;

Уменьшение объема свободной оперативной памяти;

Изменение времени и даты создания файла;

Увеличение размера программного файла;

Появление на диске зарегистрированных дефектных кластеров;

Ненормальная работа программы;

Замедление работы программы;

Загорание лампочки дисковода в то время, когда не должны происходить обращения к диску;

Заметное возрастание времени доступа к жесткому диску;

Сбои в работе операционной системы, в частности, ее зависание;

Невозможность загрузки операционной системы;

Разрушение файловой структуры (исчезновение файлов, ис­кажение каталогов).

Наряду с компьютерными вирусами существуют и другие опас­ные программы, например, так называемые «черви», формально именуемые репликаторами. Их основная особенность состоит в спо­собности к размножению без внедрения в другие программы. Реп­ликаторы создаются с целью распространения по узлам вычисли­тельной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести аналогию между «чер­вем» и шариковой бомбой.

Примером репликатора является программа Christmas Tree, рисующая на экране дисплея рождественскую елку, а затем рас­сылающая свои копии по всем адресам, зарегистрированным сред­ствами электронной почты.

Классификация антивирусных средств. В настоящее время име­ется большое количество антивирусных средств. Однако все они не обладают свойством универсальности: каждое рассчитано на кон­кретные вирусы либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов ис­кусственного интеллекта к проблеме создания антивирусных средств.

Антивирусным средством называют программный продукт, вы­полняющий одну или несколько из следующих функций:

Защиту файловой структуры от разрушения;

Обнаружение вирусов;

Нейтрализацию вирусов.

Вирус-фильтром (сторожем) называется резидентная програм­ма, обеспечивающая контроль выполнения характерных для виру­сов действий и требующая от пользователя подтверждения на про­изводство действий. Контроль осуществляется путем подмены об­работчиков соответствующих прерываний. В качестве контролируе­мых действий могут выступать:

Обновление программных файлов;

Прямая запись на диск (по физическому адресу);

Форматирование диска;

Резидентное размещение программы в ОЗУ. Детектором называется программа, осуществляющая поиск

вирусов как на внешних носителях информации, так и в ОЗУ. Ре­зультатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных ви­русов, их заразивших.

Детекторы делятся на универсальные (ревизоры) и специали­зированные. Универсальные детекторы проверяют целостность фай­лов путем подсчета контрольной суммы и ее сравнения с этало­ном. Эталон либо указывается в документации на программный про­дукт, либо может быть определен в самом начале его эксплуатации.

Специализированные детекторы настроены на конкретные виру­сы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов, то его называют полидетектором. Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно заданной регулярным выражением. Такой детектор не способен обнаружить все возможные вирусы.

Дезинфектором (доктором, фагом) называется программа, осу­ществляющая удаление вируса как с восстановлением, так и без

восстановления среды обитания. Ряд вирусов искажает среду оби­тания таким образом, что ее исходное состояние не может быть восстановлено.

Наиболее известными полидетекторами-фагами являются про­граммные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы Диалог.

Иммунизатором (вакциной) называют программу, предотвраща­ющую заражение среды обитания или памяти конкретными виру­сами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способ­ности к размножению. Такие программы в настоящее время прак­тически не используются.

Методы защиты от компьютерных вирусов. При защите от ком­пьютерных вирусов как никогда важна комплексность проводи­мых мероприятий как организационного, так и технического ха­рактера. На переднем крае «обороны» целесообразно разместить средства защиты данных от разрушения, за ними - средства обна­ружения вирусов и, наконец, средства нейтрализации вирусов.

Средства защиты данных от возможной потери и разрушения должны использоваться всегда и регулярно. Дополнительно к этому следует придерживаться следующих рекомендаций организацион­ного характера, чтобы избавиться от заражения вирусами:

Гибкие диски использовать всегда, когда это возможно, с за­клеенной прорезью защиты от записи;

Без крайней необходимости не пользоваться неизвестными дискетами;

Не передавать свои дискеты другим лицам;

Не запускать на выполнение программы, назначение которых не­понятно; использовать только лицензионные программные продукты;

Ограничить доступ к ПК посторонних лиц.

При необходимости использования программного продукта, полученного из неизвестного источника, рекомендуется:

Протестировать программный продукт специализированными детекторами на предмет наличия известных вирусов. Нежелатель­но размещать детекторы на жестком диске - для этого нужно ис­пользовать защищенную от записи дискету;

Осуществить резервирование файлов нового программного продукта;

Провести резервирование тех своих файлов, наличие которых требуется для работы нового программного обеспечения;

Организовать опытную эксплуатацию нового программного продукта на фоне вирус-фильтра с обдуманными ответами на его сообщения.

Защита от компьютерных вирусов должна стать частью комп­лекса мер по защите информации как в отдельных компьютерах, так и в автоматизированных информационных системах в целом.

СПИСОК ЛИТЕРАТУРЫ

1. Андреев В.Б. Правовая информатика: Учеб. пособ. - М: ИМП, 1998.

2. Баранов А.К., Карпычев В.Ю., Минаев В.А. Компьютерные экс­пертные технологии в органах внутренних дел: Учебное пособие. - М.: Академия МВД РФ, 1992.

3. Батурин Ю.М. Право и политика в компьютерном круге. - М.: Наука, 1987.

4. Батурин Ю.М. Проблемы компьютерного права. - М.: Юрид. лит., 1991.

5. Батурин Ю.М., Жодзишский А. М. Компьютерные преступления и компьютерная безопасность. - М.: Юрид. лит., 1991.

6. Бауэр Ф.Л., Гооз Г. Информатика. Вводный курс: В 2 ч. - М.: Мир, 1990. - Ч. 1.

7. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 1991.

8. Боровков В.П. Популярное введение в программу «Statistica». - М.: Компьютер пресс, 1998.

9. Вехов Б.В. Компьютерные преступления: способы совершения, методика расследования. - М.: Право и Закон, 1996.

10. Воскресенский Г.М., Дударев Г.И., Масленников Э.П. Статисти­ческие методы обработки и анализа социальной информации в уп­равленческой деятельности органов внутренних дел. - М.: Академия МВД СССР, 1986.

11. Гудков П.Б. Компьютерные преступления в сфере экономики. - М.: МИ МВД России, 1995.

12. Гульбин Ю. Преступления в сфере компьютерной информации // Российская юстиция. - 1997. - № 10. - С. 24-25.

13. Демидов В.Н. Криминологическая характеристика преступности в России и Татарстане: Учебное пособие. - М.: ВНИИ МВД России, 1998.

14. Дьяконов В.П. Справочник по расчетам на микрокалькуляторах. - 3-е изд. - М.: Наука, 1989.

15. Дьяконов В.П. Справочник по алгоритмам и программам на язы­ке БЕЙСИК для персональных ЭВМ. - М.: Наука, 1989.

16. Женило В.Р. Информатика и вычислительная техника в деятель­ности органов внутренних дел. Часть 3. Программное обеспечение ком­пьютерной технологии: Учеб. пособ. / Под ред. В.А. Минаева. - М.: ГУК МВД РФ, 1996.

17. Женило В.Р., Минаев В.А. Компьютерные технологии в крими­налистических фоноскопических исследованиях и экспертизах: Учеб­ное пособие. - М.: Академия МВД РФ, 1994.

18. Ивахненко А.Г., Юрачковскш Ю.П. Моделирование сложных сис­тем по экспериментальным данным. - М.: Радио и связь, 1987.

19. Информатика. Базовый курс: Учеб. для вузов / Под ред. С. В. Си­моновича. - СПб.: Питер, 1999.

20. Информатика и математика для юристов. Краткий курс в табли­цах и схемах: Учеб. пособ. / Под ред. В. А. Минаева. - М.: МЮИ МВД России; Приор, 1998.

21. Информатика и вычислительная техника в деятельности орга­нов внутренних дел. Часть 2. Аппаратные средства компьютерной техники: Учеб. пособ. / Под ред. В. А. Минаева. - М.: ГУК МВД РФ, 1995.

22. Информатика и вычислительная техника в деятельности орга­нов внутренних дел. Часть 4. Автоматизация решения практических за­дач в органах внутренних дел: Учеб. пособ. / Под ред. В. А. Минаева. - М.: ГУК МВД РФ, 1996.

23. Информатика и вычислительная техника в деятельности орга­нов внутренних дел. Часть 5. Аналитическая деятельность и компью­терные технологии: Учеб. пособ. / Под ред. В.А. Минаева. - М.: ГУК МВД РФ, 1996.

24. Информатика и вычислительная техника в деятельности орга­нов внутренних дел. Часть 6. Информационно-вычислительные сети в органах внутренних дел: Учеб. пособ. / Под ред. В.А. Минаева. - М.: ГУК МВД РФ, 1997.

25. Информационные технологии управления в органах внутренних дел / Под ред. В.А. Минаева. - М.: Академия управления МВД РФ, 1997.

26. Исаков С.А. Информационно-техническое обеспечение органов внутренних дел: Учеб. пособ. - М.: Юридический институт МВД РФ, 1994.

27. Казанцев С.Я., Мазуренко П.И. Использование ЭВМ в деятель­ности правоохранительных органов. - Казань: Казанский филиал Юридического института МВД РФ, 1997.

29. Кидмайер М. Мультимедиа. - СПб.: «BHV-Санкт-Петербург», 1994.

30. Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова. - М.: Юристъ, 1996.

31. Компьютерные технологии обработки информации: Учеб. по­соб. / Под ред. С. В. Назарова. - М.: Финансы и статистика, 1995.

32. Компьютерные технологии в юридической деятельности. Учеб. и практ. пособие / Под. ред. Н. Полевого, В. Крылова. - М.: Изд-во БЕК, 1994.

33. Концепция развития системы информационного обеспечения органов внутренних дел в борьбе с преступностью. Утверждена прика­зом МВД РФ № 229 от 12.05.93 г.

34. Коршунов Ю.М. Математические основы кибернетики. - М.: Энер-гоатомиздат, 1987.

35. Криминалистика и компьютерная преступность: Материалы на­учно-практического семинара // Сб. статей. - М.: ЭКЦ МВД России, 1993.

36. Крылов В.В. Расследование преступлений в сфере информации. М.: Городец. 1998.

37. Левин А. Самоучитель работы на компьютере. - 5-е изд. - М.: Нолидж, 1999.

38. Локальные вычислительные сети: Справочник: В 3 кн. Кн. 1. Принципы построения, архитектура, коммуникационные средства / Под ред. С. В. Назарова. - М.: Финансы и статистика, 1994.

39. Ляпунов Ю., Максимов В. Ответственность за компьютерные пре­ступления // Законность. - 1997. - № 1. - С. 8-15.

40. Мак-Кланг Кр.Дж., Герриери Дж.А., Мак-Кланг К.А. Микро­компьютеры для юристов / Пер. с англ. А. П. Полежаева. - М.: Юриди­ческая литература, 1988.

41. Маркарян А.А. Интеграция достижений естественных и техни­ческих наук в криминалистику. - Ижевск: УдГУ, 1996.

42. Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика, 1997.

43. Методология и методика прогнозирования в сфере борьбы с преступностью: Труды Академии МВД СССР. - М.: Академия МВД СССР, 1989.

44. Минаев В.А. Кадровые ресурсы органов внутренних дел: совре­менные подходы к управлению. - М.: Академия МВД СССР, 1991.

45. Минин А.Я. Основы управления и информатики: Курс лекций. - Екатеринбург: Екатеринбургская высшая школа МВД России, 1993.

46. Минин А.Я. Информатизация криминологических исследований: теория и методология. - Екатеринбург: Изд-во Урал. Ун-та, 1992.

47. Наука и техника на службе следствия // Информационный бюл­летень следственного управления МВД РТ. - Вып. 5. - Казань, 1996.

48. Об информации, информатизации и защите информации. Фе­деральный закон от 22 февраля 1995 г. // Российская газета. - 1995. - 22 февраля.

49. Организация деятельности информационных работников гор-райлинорганов внутренних дел: Сб. материалов для занятий в системе служебной подготовки / Под ред. Ю.А. Буничева. - М.: ГИЦ МВД РФ, 1995.

50. Основы автоматизации управления в органах внутренних дел: Учеб. / Под ред. В. А. Минаева, А. П. Полежаева. - М.: Академия МВД РФ, 1993.

51. Основы математического моделирования в деятельности орга­нов внутренних дел: Учеб. пособ. / Под ред. В. А. Минаева. - М.: Акаде­мия МВД РФ, 1993.

52. Першиков В. И., Савинков В. М. Толковый словарь по информати­ке. - 2-е изд. - М.: Финансы и статистика, 1995.

53. Петровский А., Леонтьев Б. Эффективный хакинг для начинаю­щих и не только. - М.: Познавательная книга плюс, 1999.

54. Полевой Н. С. Криминалистическая кибернетика: Учебное посо­бие. - 2-е изд. - М.: МГУ, 1989.

55. Правовая информатика и кибернетика: Учеб. / Под ред. Н. С. По­левого. - М.: Юридическая литература, 1993.

56. Проблемы программирования, организации и информацион­ного обеспечения предварительного следствия // Межвуз. межвед. сб. науч. трудов. - Уфа, 1989.

57. Программа компьютеризации органов внутренних дел РФ на 1991 г. и ближайшую перспективу. Утверждена приказом МВД РФ № 104 от 05.07.91 г.

58. Расследование неправомерного доступа к компьютерной информации / Под ред. И.Г. Шурухнова. - М.: Изд-во Щит, 1999.

59. Симонович С.В., Евсеев Г.А. Практическая информатика: Учеб­ное пособие. Универсальный курс. - М.: АСТ-Пресс, 1998.

60. Симонович С.В., Евсеев Г.А., Алексеев А.Г. Специальная инфор­матика: Учебное пособие. - М.: АСТ-Пресс, 1998.

61. Сойер Б., Фостер Д.Л. Программирование экспертных систем на Паскале: Перевод с англ. - М.: Финансы и статистика, 1990.

62. Соковых Ю.Ю. Квалификация преступлений и информатика // Информационный бюллетень следственного комитета МВД РФ, 1993, № 4 (46).

63. Статистическое моделирование и прогнозирование: Учеб. пособ. / Под ред. А. Г. Гранберга. - М.: Финансы и статистика, 1990.

64. Техническое задание на создание информационной вычисли­тельной сети органов внутренних дел РФ. Утверждено Министром ВД 22.02.92 г.

65. Федеральные учеты ГИЦ в борьбе с преступностью. В помощь работникам органов внутренних дел / Под ред. Г. Л. Лежикова. - М.: ГИЦ МВД РФ, 1994.

66. Фигурнов В.Э. IBM PC для пользователя. - 6-е изд. - М.: Инфра-М, 1995.

67. Щербинин А.И., Игнатов Л.Н., Пучков С.И., Котов И.А. Сравни­тельный анализ программных средств автоматизации уголовно-про­цессуальной деятельности // Информационный бюллетень Следствен­ного комитета МВД РФ. - 1993. - № 3 (46). - С. 73 - 82.

68. Щербинин А.И., Ильин С.К, Игнатов Л.Н. Использование пер­сональных ЭВМ в расследовании сложных многоэпизодных дел о хи­щениях в банковской сфере // Информационный бюллетень След­ственного комитета МВД РФ. - 1993. - № 4 (46).

69. Экспертные системы. Принцип работы и примеры. - М.: Радио и связь, 1987.

70. Яромич С.А. Информатика вокруг нас: Словарь-справочник. - Одесса: Маяк, 1991.

Тема: «Виды компьютерных вирусов и способы защиты от них».

Введение.

Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий.

К сожалению, как и любое другое достижение человеческого гения, компьютер, решая одни технические, экономические и социальные проблемы, одновременно порождает и другие, порою не менее сложные. Если в должной мере не позаботиться о нейтрализации сопутствующих прогрессу негативных факторов, то эффект от внедрения новейших достижений науки и техники может оказаться в целом отрицательным.

Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами:

Обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование

Расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи

Повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности

Вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса

Концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях

Количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам

Отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем

Многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации

Ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации

Увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов)

Развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).

Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает.

Глава 1. Компьютерные вирусы

1. Понятие «Компьютерный вирус»

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения: процесс захвата компьютера вирусом полностью соответствует процессу захвата вирусом человеческого организма. Человеческий вирус внедряется в клетку, после чего начинает размножаться. Так и компьютерный: попав в программу, вирус действует аналогичным образом.

Считается, что впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (GregoryBenford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае 1970 года.

Компьютерный вирус - разновидность компьютерных программ или вредоносный код, отличительным признаком которых является способность к размножению (саморепликация).

Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, становится неработоспособной или же окажется под полным контролем злоумышленника.

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место, иногда довольно значительное, в оперативной памяти или на накопителях информации и отбирают некоторые другие ресурсы системы.

Поэтому вирусы относят к вредоносным программам.

1. Авторы компьютерных вирусов

Вирусы не возникают сами по себе, а создаются людьми. Наиболее вероятными причинами, толкающими вирусо-писателей на создание и распространение вредоносного программного обеспечения являются:

Обычное юношеское хулиганство , попытки самоутверждения на основе достигнутого интеллектуального уровня. Фактически подобное компьютерное хулиганство ничем не отличается от обычного уличного хулиганства, за исключением того, что "самоутверждение" происходит либо в подворотне, либо в сети;

Мошенничество с целью присвоения ресурсов жертвы: незаметное управление пораженным компьютером, воровство паролей доступа в Интернет, средств с "кошельков" WebMoney и кодов доступа к персональным банковским счетам (в том случае, если жертва использует данный сервис). В случае, если атакой подверглись корпоративные сети, то речь идет уже о шпионаже: как правило, это проникновение в сеть с целью присвоения конфиденциальной информации, представляющей финансовую ценность.

Основную массу вирусов создают студенты и школьники, которые только что изучили язык программирования и хотят попробовать свои силы. Значительная часть таких вирусов их авторами часто не распространяется.

Вторую группу составляют также молодые люди (чаще - студенты), которые решили посвятить себя написанию и распространению вирусов. Как правило, они создают многочисленные модификации "классических" вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Часто они используют конструкторы вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об операционной системе.

Став старше и опытнее, многие из этих вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир "профессиональные" вирусы. Это тщательно продуманные и отлаженные программы.

Четвертая группа авторов вирусов - "исследователи". Эта группа состоит из талантливых программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради "исследования" потенциалов "компьютерной вирусологии".

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (гл. 28, ст.273).

1. История компьютерных вирусов

На сегодняшний день компьютерному вирусу уже более тридцати лет.

Первыми известными вирусами являются Virus 1,2,3 и ElkCloner для ПК Apple II, появившиеся в 1981 году. Первые вирусные эпидемии относятся к 1987 - 1989 годам: Brain (более 18 тысяч зараженных компьютеров, по данным McAfeeJerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

В 1990 году появляется первый коммерческий антивирус Symantec Norton AntiVirus.

В несколько последующих лет были испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II - 1991, PMBS , Shadowgard , Cruncher - 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter , 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Office получили распространение макровирусы (Concept , 1995).

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы (Melissa , 1999 - макровирус и сетевой червь, побивший все рекорды по скорости распространения).

В 2004 году беспрецедентные по масштабам эпидемии вызывают черви-эксплоиты MsBlast (по данным Microsoft - более 16 млн систем), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно).

Самый современный вид вирусов - черви- ботнеты всё больше набирают обороты (Rustock , 2006, ок. 150 тыс. ботов; Conficker , 2008-2009, более 7 млн ботов; Kraken , 2009, ок. 500 тыс. ботов).

Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

1. Механизм работы вирусов

Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды - например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер, вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

1. Способы распространения компьютерных вирусов

Способы распространения компьютерных вирусов разнообразны, однако существуют все же наиболее распространенные, от которых можно уберечься, соблюдая элементарные меры предосторожности.

Дискеты. Самый распространённый канал заражения в 1980-1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу - большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы).

Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код.

Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.

Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

Интернет и локальные сети(черви). Черви - вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости - это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Как видно, способов распространения компьютерных вирусов немало. Для предотвращения заражения необходимо соблюдать элементарные меры предосторожности:

• стараться использовать только проверенные ресурсы в сети Интернет;
• не скачивать сомнительные программы, а также не нажимать сомнительных картинок;
• при получении писем от неизвестного адресата, обращать внимание на расширение приложенных файлов. Если они имеют такие типы как:*.bat,*.vbs,*.scr,*.exe, то не стоит скачивать эти приложения, они могут быть заражены или попросту являются вирусом трояном;
• применять лицензионные антивирусы.

И тогда с легкостью можете избежать заражения.

1. Признаки заражения вирусом

При заражении компьютера вирусом важно его обнаружить, для этого следует знать основные признаки его проявления:

Прекращение работы или неправильная работа ранее успешно функционировавших программ;

Медленная работа компьютера;

Невозможность загрузки операционной системы;

Исчезновение файлов и каталогов или искажение их содержимого;

Изменение даты и времени модификации файлов;

Изменение размера файлов;

Неожиданное значительное увеличение количества файлов на диске;

Существенное уменьшение размера свободной оперативной памяти;

Вывод на экран непредусмотренных сообщений или изображений;

Подача непредусмотренных звуковых сигналов;

Частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Заразиться компьютерным вирусом можно только в определенных случаях:

Подключение к системе заражённого драйвера;

Открытие документа, заражённого макровирусом;

Установка на компьютере заражённой операционной системы.

Компьютер не может быть заражён, если:

На него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд);

На нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался;

На компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд);

- переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты). Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.

Глава 2. Классификация компьютерных вирусов

На сегодняшний день известны десятки тысяч различных вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, весьма ограниченно. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким типам. Таким образом, вирусы можно классифицировать по следующим признакам:

• среда обитания;
• способ заражения;
• степень воздействия;
• особенности алгоритма работы.

В зависимости от среды обитания вирусы делят на:

• сетевые – распространяются по различным компьютерным сетям;
• файловые - поражают файлы с расширением.com, .ехе, реже.sys или оверлейные модули.ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т.д. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным и не подлежащим восстановлению;
• загрузочные - получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении дискеты или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Далее все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов;
• файлово–загрузочные – комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов.

По способу заражения среды обитания вирусы делятся на:

• резидентные - при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
• нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на:

• неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
• опасные вирусы , которые могут привести к различным нарушениям в работе компьютера;
• особо опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма :

Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ:

• Троянские программы - по основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.

• Логические бомбы - программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия, например, может сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.
• Программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных, могут подсматривать пароль для доступа к банковской системе и изменять базу данных. Некоторые вирусы-черви (например, CodeRed ) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера.
• Вирусы в системах документооборота - документы, хранящиеся в базах данных таких систем документооборота, как Lotus Notes и Microsoft Exchange, тоже могут содержать вирусы, точнее, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы;
• новые и экзотические вирусы. По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы.

Глава 3. Профилактика и лечение

3.1.Антивирусные программы

Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, но и удалить их из компьютера.

Итак, что же такое антивирус? Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть, запустив антивирусную программу, можно быть абсолютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже программа, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. То есть антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Но существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов.

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах различных типов.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

3.2. Виды антивирусных программ

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов антивирусных программ:

1. программы-детекторы

2. программы-доктора или фаги

3. программы-ревизоры (инспектора)

4. программы-фильтры (мониторы)

5. программы-вакцины или иммунизаторы

6. сканер

2.2.1 Программы-детекторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

2.2.2 Программы-доктора

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

2.2.3 Программы-ревизоры (инспектора)

Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов. Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).

2.2.4 Программы - фильтры (мониторы)

Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE

2. изменение атрибутов файла

3. прямая запись на диск по абсолютному адресу

2.2.5 Вакцины или иммунизаторы

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

2.2.6 Сканер

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы.

В настоящий момент существует множество антивирусных программ, однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости.

2. Не запускать незнакомые программы из сомнительных источников.

3. Стараться блокировать возможность несанкционированного изменения системных файлов.

4. Отключать потенциально опасный функционал системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).

5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.

6. Пользоваться только доверенными дистрибутивами.

7. Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания.

8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

3.3. Лицензионные антивирусные программы

Выбор антивируса для домашнего пользования - актуальный вопрос, особенно для начинающих пользователей. Рано или поздно у любого возникает необходимость установки антивируса. Интересный факт, но многие пользователи вообще не устанавливают программ для защиты своего компьютера. Не устанавливают, пока не возникают различные сбои в работе системы. И действительно, при заражении компьютера вирусами замедляется работа системы, компьютер "тормозит" или "подвисает". В худшем же случае троянские программы могут похитить пароли и личную информацию. Как выбрать домашний антивирус, чтобы обезопасить себя от неприятностей попробуем разобраться.

Различные фирмы-производители программных продуктов, целенаправленно занимающиеся компьютерной и информационной безопасностью предлагают сегодня большой выбор антивирусных программ.

Приобретение лицензионной антивирусной программы обеспечит относительно надежную защиту данных от несанкционированного доступа и использования компьютера во вредоносных целях.

Ниже представлены наиболее популярные лицензионные антивирусные программы, которые можно приобрести, в т.ч и через Интернет.

Антивирус Касперского - обеспечивает защиту в реальном времени от вирусов, червей, троянских коней, руткитов, adware, шпионских программ в том числе и неизвестных угроз используя проактивную защиту, которая включает HIPS-компоненты, в том числе, имеются версии для мобильных устройств (18 версий).

Eset NOD32 - представляет полную защиту компьютера. Комплексная защита компьютера функционирует в реальном времени и обеспечивает надежную защиту от вирусов и вредоносных программ, а так же других угроз, таких как фишинг-атаки, черви, spyware, adware и другие.Отличительной особенностью является экономичное использование ресурсов и высокая скорость исполнения (31 версия)

Norton (Symantec) - базовая антивирусная защита, блокирующая вирусы и программы-шпионы и позволяющая безопасно работать в Интернете и обмениваться информацией (10 версий).

Доктор Веб - базовая антивирусная защита, блокирующая вирусы и программы-шпионы и позволяющая безопасно работать в Интернете и обмениваться информацией (45 различных версий).

Avira - AAviraAntivirusPremium - защита от вирусов для персональных компьютеров, работающих под управлением ОС Windows (18 версий)

Аvast! - это более эффективная защита во время просмотра страниц Интернета, полнофункциональная антивирусная программа (23 версии) .

TrendMicro - обновления в режиме реального времени , защита от новейших веб-угроз сейчас и в будущем(11 версий).

AVG (24 версии) .

McAfee - эффективная защита от вирусов, шпионских и вредоносных программ. Защитное ПО постоянно сканирует и блокирует опасные электронные сообщения, содержимое опасных веб-страниц (3 версии).

3.4. Альтернатива платным программам

Нередко встречается сегодня практика, когда производители антивирусных программ предлагают версии своих продуктов без оплаты, которые менее функциональны, чем их платные аналоги. Это делается по многим причинам, одна из главных это продвижение и популяризация своего бренда среди пользователей.

Как правило, для того чтобы продукт без оплаты полноценно работал, необходима его регистрация. Обычно она заключается в заполнении регистрационной формы, с внесением своих контактных данных.

Также в некоторых антивирусах встречается назойливая реклама, которая постоянно напоминает о необходимости купить платную версию программы. Помимо всего этого антивирус без оплаты имеет урезанный функционал. Все это можно получить, если скачать бесплатный антивирус. Но ведь и использование таких продуктов не требует денег!

Нужно отметить, что некоторые программы подобного рода смогут защитить систему не хуже коммерческих антивирусов от неизвестных или малоизвестных производителей . Так что скачать антивирус бесплатно или использовать пробную версию антивируса за оплату это решать уже пользователю.

Примеры бесплатных программ-антивирусов:

Антивирус Bit Defender Free Edition - программа, которая поможет защитить систему, периодически проводя проверки и сканирование. При работе антивирус использует те же сертифицированные технологии обнаружения, что и платные продукты от Bit Defender.

A VG Anti-Virus Free Edition 2013 из раздела бесплатных антивирусов позволит обеспечить базовую защиту компьютера. Хороший вариант для домашнего пользователя, который много времени проводит в социальных сетях благодаря встроенной функции защиты AVG Social Networking Protection.

Антивирус Аvast! Free Antivirus - это один из лучших антивирусов среди бесплатных программ для защиты. Новое эвристическое ядро и высокая эффективность обнаружения сделали популярным avast среди пользователей всего мира.

Avira Free Antivirus это антивирус от немецкого производителя, который обеспечивает надежную защиту, как от вирусов, так и от программ руткитов, использующих маскировку в своей работе.

Comodo защитит систему от вирусов, шпионских программ, руткитов, а также от иных вредоносных программ. В антивирусе отсутствуют некоторые незначимые функции, поэтому он бесплатный. Имеется встроенная автоматическая функция песочница (AutoSandbox).

Bit Defender Free Edition - это бесплатная программа, которая поможет защитить систему, периодически проводя проверки и сканирование. При работе антивирус использует те же сертифицированные технологии обнаружения, что и платные продукты от Bit Defender.

Антивирус от Microsoft под названием Security Essentials предоставит защиту от вирусов, шпионов и других вредоносных программ. Наличие журнала проверки, планировщика, а также интуитивно понятный интерфейс для пользователей сделали этот антивирус, который распространяется бесплатно, популярным среди многих пользователей.

Rising Antivirus Free Edition это бесплатная программа для защиты системы, которая поможет как при ежедневной работе, так и при работе в сети Интернет. Антивирус имеет простой и удобный интерфейс, а также множество настроек.

Zillya представлен на рынке украинскими экспертами по безопасности. Эвристическая проверка файлов, сканирование почты, большая антивирусная база и простой пользовательский интерфейс сделали этот довольно молодой антивирус популярным среди многих пользователей.

Ad-Aware FREE InternetSecurity это антивирус, который распространяется бесплатно и который сможет обеспечить полноценную защиту при работе в сети Интернет. Помимо функции антивируса, программа имеет встроенный модуль обнаружения программ-шпионов.

Panda Cloud Antivirus это возможность использовать передовую защиту от Панда, ничего при этом не потратив. Антивирус оказывает минимальное воздействие на систему и обеспечивает максимальную защиту.

Если у вас нет времени или желания разбираться со всеми этими вопросами по выбору домашнего антивируса, то, основываясь на результаты тестов, проведенных авторитетными независимыми лабораториями можно выделить два лидера, которые подходят под понятие домашний антивирус. Эти антивирусы бесплатны, не нагружают систему, имеют высокую скорость сканирования и обеспечивают высокую степень защиты. Это антивирус Avast и антивирус Avira .

3.5. Лучший антивирус для нетбука

При подборе антивируса для нетбука весьма актуально изучить различные аспекты антивирусных программ, такие как скорость сканирования, ресурсоёмкость, самозащита, эффективность лечения и так далее. Не последним фактором, который может повлиять на выбор, выступает скорость реагирования разработчиков антивирусов на появление новых образцов вредоносов и внесение их в базу данных. Вышеописанные программы полностью удовлетворяют поставленным критериям. Можно остановиться на следующих антивирусах:

• бесплатный Avira Free Antivirus
• бесплатный Panda Cloud Antivirus
• платный с демо версией ESET NOD32 Антивирус

Можно смело скачать антивирус для нетбука бесплатно в сети Интернет без регистрации, сравнить и выбрать наиболее удобный.

Заключение

Из всего вышесказанного можно смело сделать вывод, что необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте.

Для предотвращения заражения вирусом и соответственно всех его последствий необходимо правильно выбрать и установить в систему антивирусное программное обеспечение и соблюдать элементарные меры предосторожности.

Антивирусное обеспечение и проблема удаления вирусов играет всё большую роль, т.к. количество вирусов и вирусописателей постоянно увеличивается, а в следствии этого возрастает процент вероятности заражения вирусом, т.е. возникает постоянная необходимость в профилактике компьютера от вирусов, удаления вирусов. Следует также помнить, что вирус можно «подцепить» всего лишь несколькими способами, в любом случае, он должен быть запущен, т.е. внесен тем или иным способом в систему, т.е. должно быть запущено соответствующее приложение на вашем компьютере, т.е. , открыв картинку очень сложно, почти невозможно получить вирус, тоже относится и к музыкальным файлам и другим аналогиям, doc, exl. От того как вирус внесен и что он сделает в компьютере и будут предприняты все дальнейшие шаги по удалению вирусов. Естественно он может быть внесен вне зависимости от желания владельца компьютера, через те или иные уязвимости браузеров, уязвимостей операционной системы, для подобных вещей существуют фаерволы, которые судя по названию, являются нечто вроде блокирующей стены, отслеживающие исходящие и входящие потоки данных. Но для удаления вирусов фаервол не подходит.

Имея в своем наличие наиболее удобный и четко настроенный антивирус, возможность заражения всегда остается, т.к. антивирусы, обладают лишь базой вирусов, и если кто-то напишет вирус, только под Вас, то антивирус его не определит и даст спокойно запустить, поэтому вопрос ручного удаления вирусов всегда актуален. Антивирусы нужны лишь для отсечения большого количества вирусов, гуляющих по сети, опасность потери данных с такими вирусами невелика, однако велика вероятность испортить операционную систему, сильно её затормозить и вывести её из строя и простое удаление вируса уже не поможет, необходимо будет реанемировать пострадавшую машину. Вирусов огромное количество видов, и сказать точно, что делает тот или иной невозможно, шаги по удалению вирусов принимаются по каждому индивидуально.

Литература:

1. БезруковН.Н. "Классификация компьютерных вирусов MS-DOS и методы защиты от них", Москва, СП "ICE", 1990 г.
2. Алексеев А.П. «Информатика», изд. «Солон», 2002 г.
3. Острейковский В.А. «Информатика», изд. «Высшая школа», 2001 г.
4. Денисов Т.В. "Антивирусная защита"//Мой Компьютер-№4-1999 г.
5. http://www.ctc.msiu.ru/materials/Book1/contents.html