Пути проникновения вирусов
Пути проникновения вирусов
Пути проникновения вирусов
Пути проникновения вирусов
Пути проникновения вирусов
Пути проникновения вирусов

Компьютерные вирусы и антивирусные программы

1.

Компьютерные вирусы
и антивирусные
программы

2.

Этот вирус – отличная штука.
Если он не уничтожит нас, то
сделает нас сильнее.
Брайан Булковски

3.

Принцип работы вирусов

4.

Заражение первых пяти компьютеров
Второй уровень заражения

5.

Вирусы компьютерные,
вирусы биологические
Сходство
•Существует
определенный набор
симптомов –
признаков
поражения вирусом.
Существуют меры
профилактики
против вирусов.
Существуют методы
борьбы с вирусами.
Различие
•В отличие от организма человека,
компьютер контролирует
вторжение вируса.
В отличие от компьютерных
вирусов, биологические
оставляют серьезные
последствия в виде осложнений.
В отличие от компьютерных
вирусов изучение биологических
длится дольше, иногда средство
бывает не найдено.

6.

Вирус (и компьютерный, и биологический)
представляет собой небольшой объем кода, который
проникает в более сложную систему в обход защитных
барьеров, встраивается в нее, создает свои копии,
которые заражают другие системы.
Термин «компьютерный вирус» был
предложен 10 ноября 1983 г. Фредом
Коэном, студентом университета Южной
Калифорнии.
Компьютерный вирус – это небольшая специально
написанная программа, которая использует
недостатки или особенности операционной системы.

7.

Основные признаки
проявления вирусов







Прекращение работы или
неправильная работа ранее
успешно функционировавших
программ
Медленная работа компьютера
Невозможность загрузки
операционной системы
Исчезновение файлов и каталогов
или искажение их содержимого
Изменение даты и времени
модификации файлов
Изменение размеров файлов
Частые зависания и сбои в работе
компьютера
─ Неожиданное значительное
увеличение количества
файлов на диске
─ Существенное уменьшение
размера свободной
оперативной памяти
─ Вывод на экран
непредусмотренных
сообщений или изображений
─ Подача непредусмотренных
звуковых сигналов

8. Пути проникновения вирусов

Глобальная сеть Internet
Электронная почта
Локальная сеть
Компьютеры «Общего назначения»
Пиратское программное обеспечение
Ремонтные службы
Съемные накопители

9. Пути проникновения вирусов

Глобальная сеть Интернет
Основным источником вирусов
на сегодняшний день является
глобальная сеть Internet.
Возможно заражение через
страницы Интернет ввиду
наличия на страницах
всемирной паутины различного
«активного» содержимого:
скриптов, ActiveX-компоненты,
Java-апплетов. В этом случае
используются уязвимости
программного обеспечения,
установленного на компьютере
пользователя, либо уязвимости в
ПО владельца сайта, а ничего не
подозревающие пользователи
зайдя на такой сайт рискуют
заразить свой компьютер.

10. Пути проникновения вирусов

Электронная почта
Сейчас один из основных каналов
распространения вирусов. Обычно вирусы
в письмах электронной почты
маскируются под безобидные вложения:
картинки, документы, музыку, ссылки на
сайты. В некоторых письмах могут
содержаться действительно только ссылки,
то есть в самих письмах может и не быть
вредоносного кода, но если открыть такую
ссылку, то можно попасть на специально
созданный веб-сайт, содержащий
вирусный код. Многие почтовые вирусы,
попав на компьютер пользователя, затем
используют адресную книгу из
установленных почтовых клиентов типа
Outlook для рассылки самого себя дальше.

11. Пути проникновения вирусов

Локальные сети
Третий путь «быстрого заражения» —
локальные сети. Если не принимать
необходимых мер защиты, то
зараженная рабочая станция при входе
в сеть заражает один или несколько
служебных файлов на сервере
На следующий день пользователи при
входе в сеть запускают зараженные
файлы с сервера, и вирус, таким
образом, получает доступ на
компьютеры пользователей.

12. Пути проникновения вирусов

Персональные компьютеры «общего пользования»
Опасность представляют также компьютеры,
установленные в учебных заведениях. Если один из
учащихся принес на своих носителях вирус и заразил
какой-либо учебный компьютер, то очередную «заразу»
получат и носители всех остальных учащихся,
работающих на этом компьютере.
То же относится и к домашним компьютерам, если на них
работает более одного человека.
Пиратское программное обеспечение
Нелегальные копии программного обеспечения,
как это было всегда, являются одной из
основных «зон риска».Часто пиратские
копии на дисках содержат файлы,
зараженные самыми разнообразными
типами вирусов.

13. Пути проникновения вирусов

Ремонтные службы
Достаточно редко, но до сих пор вполне реально заражение
компьютера вирусом при его ремонте или
профилактическом осмотре. Ремонтники — тоже люди, и
некоторым из них свойственно наплевательское отношение
к элементарным правилам компьютерной безопасности.
Съемные накопители
В настоящее время большое количество вирусов
распространяется через съёмные накопители, включая
цифровые фотоаппараты, цифровые видеокамеры, цифровые
плееры (MP3-плееры), сотовые телефоны.

14.

Классификация компьютерных вирусов

15.

Сетевые вирусы (вирусы-черви)
Проникают в память компьютера из Сети, вычисляют
сетевые адреса других компьютеров и рассылают по
этим адресам свои копии. Часто используют для своего
распространения адресную книгу на пораженном
компьютере.

16.

Вирус Морриса. Первая вирусная
эпидемия. Ноябрь 1988 года
Сетевой вирус в среде Unix. Проник в 1200 сетей,
охватывающих около 85200 узловых компьютеров.
Потери составили миллиарды долларов, т.к. в результате
заражения произошло следующее:
•длительный простой компьютеров;
•невозможность нормального доступа к сетям;
•потеря времени на анализ вируса;
•исправление всех систем Unix.
Потери могли быть больше, если бы вирус преследовал
какие-то разрушительные цели, но он только создавал
свои копии.

17.

I LOVE YOU
Сетевой вирус-червь.
Май 2000 года.
3 миллиона пораженных компьютеров.
Убытки оцениваются в миллиарды долларов.
Распространялся в электронных письмах в виде
вложения и при активизации рассылал себя с
зараженных компьютеров.
Крайне вредоносен: уничтожал файлы на дисках
зараженного компьютера.
Создатели вируса: студенты филиппинского колледжа.

18.

Файловые вирусы
Изменяют файлы или системные области на пораженном
компьютере. Прописывают свой код в тело пораженной
программы и стараются перехватить управление.

19.

Внедрение вируса в начало файла
Вирус переписывает начало заражаемого файла в его конец, а
сам копируется на освободившееся место

20.

Загрузочные вирусы
Записывают себя в загрузочный сектор диска.
При загрузке операционной системы с зараженного диска
вирусы внедряются в оперативную память компьютера.

21.

Незараженный диск
Зараженный диск
Загрузочные вирусы подставляют свой код вместо программы,
получающей управление при загрузке системы. Вирус "заставляет"
систему при ее перезапуске считать в память и отдать управление не
оригинальному коду загрузчика, а коду вируса.

22.

Вирус Март6
Может годами жить в загрузочном секторе
MBR сервера и никак не влиять при этом на
его (сервера) работу и производительность.
Однако при случайной перезагрузке 6 марта
этот вирус полностью уничтожит все данные
на диске.

23.

Макровирусы
Заражают файлы-документы и электронные таблицы
(Word и Excel).
Встроенный макроязык этих программ предоставляет
возможности:
•привязка программы на макроязыке к конкретному
файлу;
•копирование макропрограмм из одного файла в другой;
•возможность управления макропрограммой без
вмешательства пользователя.

24.

Резидентные и нерезидентные вирусы
Резидентный вирус при инфицировании компьютера
оставляет в оперативной памяти свою резидентную часть,
которая затем перехватывает обращения ОС к объектам
заражения и внедряется в них. Резидентные вирусы
находятся в памяти и являются активными вплоть до
выключения компьютера или перезагрузки ОС.
Нерезидентные вирусы не заражают память компьютера
и сохраняют активность ограниченное время. Некоторые
вирусы оставляют в оперативной памяти небольшие
резидентные программы, которые не распространяют
вирус. Такие вирусы считаются нерезидентными.

25.

Компаньон-вирусы
Не изменяют заражаемых файлов.
Для заражаемого файла создается файл-двойник,
причем при запуске зараженного файла управление
получает именно этот двойник, т. е. вирус.

26.

Вирусы-невидимки («стелс»)
Файловые вирусы.
Стараются перехватить управление файловой системой
и скрыть от пользователя свое присутствие на диске.

27.

Полиморфные вирусы
Файловые вирусы.
Обладают способностью мутировать.
Модифицируют свой код в зараженных программах таким
образом, что два экземпляра одного и того же вируса
могут не совпадать ни в одном бите.

28.

«Троянские» программы
Утилиты удаленного администрирования
компьютеров в Сети. При запуске троянец
устанавливает себя в системе и затем следит за
ней, при этом пользователю не выдается никаких
сообщений о действиях троянца.
Используются для обнаружения и передачи
конфиденциальной информации, уничтожения
данных или рассылки вируса по Сети.
Пораженные вирусом компьютеры полностью
открыты для злоумышленника.

29.

"Троянский конь" — это программа, в
зависимости от определенных условий
или при каждом запуске уничтожающая
информацию на дисках, "приводящая"
систему к зависанию и т. п.
Большинство "троянских коней"
подделываются под какие-либо полезные
программы, новые версии популярных
утилит или дополнения к ним.
По сравнению с вирусами "троянские
кони" не получают широкого
распространения:
они либо уничтожают себя вместе с
остальными данными на диске,
либо демаскируют свое присутствие и
уничтожаются пострадавшим
пользователем.

30.

Существует большое количество сочетаний,
например файлово-загрузочные вирусы,
заражающие как файлы, так и загрузочные
сектора дисков.
Такие вирусы, как правило, имеют довольно
сложный алгоритм работы, часто применяют
оригинальные методы проникновения в
систему.
Другой пример такого сочетания — сетевой
макровирус, который не только заражает
редактируемые документы, но и рассылает
свои копии по электронной почте.

31.

По деструктивным возможностям вирусы можно разделить на:
— безвредные, т. е. никак не влияющие на работу компьютера
(кроме уменьшения свободной памяти на диске в результате своего
распространения);
— неопасные, влияние которых ограничивается уменьшением
свободной памяти на диске и графическими, звуковыми и прочими
эффектами;
— опасные, которые могут привести к серьезным сбоям в работе
компьютера;
— очень опасные — в алгоритм их работы заведомо заложены
процедуры, которые могут вызвать потерю программ, уничтожить
данные, стереть необходимую для работы компьютера информацию,
записанную в системных областях памяти.
Одна из непроверенных компьютерных легенд гласит, что вирусы могут
способствовать быстрому износу движущихся частей механизмов — вводить в
резонанс и разрушать головки некоторых типов винчестеров.

32.

Хакеры
Программисты высокой квалификации.
Находят и анализируют ошибки и
недокументированные возможности
операционных систем и системных
программ.

33.

Конструкторы вирусов
Программные пакеты, которые позволяют
создавать вирусные программы.
Позволяют варьировать типы вирусов:
по среде обитания, по способу распространения,
по степени наносимого вреда.
Создатели вирусных конструкторов, как правило,
вирусы в сеть не запускают.

34.

Распространители вирусов
Школьники, студенты
или программисты.
Используя хакерские
наработки и вирусные
конструкторы,
запускают
бесчисленные
вариации вирусов.

35.

Антивирусная программа
Устанавливается на компьютере
пользователя и контролирует пакеты,
поступающие из Сети.
Анализирует программные файлы.
На основании имеющейся базы вирусов,
определяет наличие вирусов в программах,
на дисках и в памяти.
Проверяет всю поступающую в почтовый
ящик корреспонденцию и определяет
наличие вируса.
Это обязательное средство
индивидуальной «гигиены» любого
подключенного к Сети компьютера.

36.

37.

Классификация антивирусных программ

38.

Сканеры (фаги, полифаги)
Принцип работы основан на проверке файлов, секторов и
системной памяти и поиске в них известных и новых
(неизвестных сканеру) вирусов.
Для поиска известных вирусов используются так называемые
маски.
Маской вируса является некоторая постоянная
последовательность кода, специфичная для этого конкретного
вируса.
Если вирус не содержит постоянной маски или длина этой
маски недостаточно велика, то используются другие методы.
Достоинства: универсальность.
Недостатки — размеры антивирусных баз, небольшая скорость
поиска вирусов.

39.

CRC-сканеры (ревизоры)
Принцип работы основан на подсчете CRC-сумм (контрольных
сумм) для присутствующих на диске файлов/системных секторов,
которые сохраняются в базе данных антивируса.
При последующем запуске CRC-сканеры сверяют данные,
содержащиеся в базе данных, с реально подсчитанными
значениями.
Если информация о файле, записанная в базе данных, не
совпадает с реальными значениями, то CRC-сканеры
сигнализируют о том, что файл был изменен или заражен вирусом.
Достоинства: практически 100% вирусов оказываются
обнаруженными почти сразу после их появления на компьютере.
Недостатки:
- способны поймать вирус лишь через некоторое время, уже
после того, как вирус разошелся по компьютеру.
-не могут обнаружить вирус в новых файлах, поскольку в их базах
данных отсутствует информация об этих файлах.

40.

Мониторы
Это резидентные программы, перехватывающие вирусоопасные
ситуации и сообщающие об этом пользователю.
К вирусоопасным относятся вызовы на открытие для записи в
выполняемые файлы, запись в загрузочные секторы дисков,
попытки программ остаться резидентно и т. д., то есть вызовы,
которые характерны для вирусов в моменты их размножения.
Достоинства:
способность обнаруживать и блокировать вирус на самой ранней
стадии его размножения.
Недостатки:
существование путей обхода защиты монитора и большое
количество ложных срабатываний, что, послужило причиной для
практически полного отказа пользователей от подобного рода
антивирусных программ

41.

DrWeb
Программа, имеющая все необходимые для
современного сканера функции поиска и лечения
вирусов.
Недостатки:
•небольшая база данных (всего около 3000 вирусов).
•большое число ложных срабатываний.
•ненадежность в работе (зависания).

42.

Межсетевой экран (Firewall)
Специальная программа, которая контролирует
потоки данных между Интернетом и компьютером.
Допускает только безопасные соединения с Сетью.
Фильтрует вредоносные пакеты данных.
Предотвращает доступ в Интернет приложений,
доступ к которым пользователь не предоставил
лично.

43.

Создатели антивирусных программ
Программисты высокой квалификации.
Проводят анализ существующих вирусов.
Разрабатывают программы лечения зараженных
компьютеров.
Создают программы антивирусной защиты.

44.

Причины возникновения и
распространения вирусных эпидемий
•Незащищенность операционной системы.
•Наличие полной документации по операционной
системе и «железу».
•Широкое распространение операционной системы
и «железа».

45.

О … пользе вирусов
Они постоянно атакуют программы и операционные
системы, постоянно пытаются найти бреши и ошибки.
Разработчикам приходится оперативно исправлять эти
ошибки.
Они помогают делать компьютерную и Интернет-среду
более устойчивой.

46.

Как защититься от вирусов
1. установите на свой ПК современную антивирусную программу.
2. перед просмотром информации принесенной на флэш-карте
(дискете) с другого компьютера проверьте носитель антивирусом;
3. после разархивирования архивных файлов сразу проверьте их на
вирусы (не все антивирусные программы могут искать
вредоносный код в архивах или могут делать это не корректно);
4. периодически проверяйте компьютер на вирусы (если активно
пользуетесь Интернетом – запускайте раз в неделю, а то и чаще);
5. как можно чаще делайте резервные копии важной информации
(backup);
6. используйте совместно с антивирусной программой файервол
(firewall) если компьютер подключен к Интернет;
7. настройте браузер (программа просмотра Интернет страниц – IE,
Opera и т.д.) для запрета запуска активного содержимого htmlстраниц.
English     Русский Правила