|
Вредоносными программами являются программы, наносящие вред данным и программам, хранящимся на компьютере.
Основными типами вредоносных программ являются:
- компьютерные вирусы;
- сетевые черви;
- троянские программы;
- программы показа рекламы (от англ. adware) и программы-шпионы, занимающиеся сбором персональной информации о компьютере и пользователе (от англ. spy-ware);
- хакерские утилиты.
Прообразом вредоносных программ была компьютерная игра «Дарвин», созданная в 1961 году в научно-исследовательских целях. Несколько компьютерных программ, названных «организмами», загружались в память ЭВМ, причем организмы, созданные одним игроком (т.е. принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать оперативную память.
Вирус - это специально написанная, небольшая по размерам программа, последовательность кодов-инструкций, которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии (не всегда одинаковые) и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Своим названием компьютерные вирусы обязаны определённому сходству с вирусами естественными: способности к самозаражению; высокой скорости распространения; избирательности поражаемых систем (каждый вирус поражает только определённые системы или однородные группы систем); способности "заражать" ещё незаражённые системы; трудности в борьбе с вирусами и т.д..
Классификация компьютерных вирусов
Условно вирусы можно классифицировать по следующим признакам:
- по среде обитания вируса
- по способу заражения среды обитания
- по деструктивным возможностям
- по особенностям алгоритма вируса
- по виду деструктивных действий
В свою очередь выше перечисленные группы классифицируются следующим образом:
Среда обитания
- Сетевые - распространяются по компьютерной сети;
- Файловые - внедряются в выполняемые файлы;
- Загрузочные - внедряются в загрузочные области носителей информации (boot-сектор).
Способ заражения
- Резидентные - находятся в оперативной памяти компьютера, активны до выключения компьютера;
- Не резидентные - не заражают память, являются активными ограниченное время.
Деструктивные возможности
- Безвредные - практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения;
- Не опасные - уменьшают свободную память, создают звуковые, графические и прочие эффекты;
- Опасные - могут привести к серьезным сбоям в работе;
- Очень опасные - могут привести к потере программ или системных данных.
Особенности алгоритма вируса
- Вирусы - "спутники" - вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением СОМ;
- Вирусы - "черви" - распространяются по сети, рассылают свои копии, вычисляя сетевые адреса;
- Паразитические - изменяют содержимое дисковых секторов или файлов;
- "Студенческие" - примитив, содержат большое количество ошибок;
- "Стелс" - вирусы - перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки;
- Вирусы-"призраки" или Полиморфные вирусы - не имеют ни одного постоянного участка кода, трудно обнаруживаемы, основное тело вируса зашифровано;
- Макровирусы - пишутся не в машинных кодах, а на VBA и JS, живут в документах Word, переписывают себя в Normal.dot.
Признаки заражения компьютера. Есть ряд признаков, свидетельствующих о проникновении на компьютер вредоносных программ:
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• неожиданное открытие и закрытие лотка CD/DVD дисковода;
• произвольный запуск на компьютере каких-либо программ;
• частые «зависания» и сбои в работе компьютера;
• медленная работа компьютера при запуске программ;
• исчезновение или изменение файлов и папок;
• частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
• «зависание» или неожиданное поведение браузера (например, окно программы невозможно закрыть).
Кроме того, есть некоторые характерные признаки поражения сетевым вирусом через электронную почту:
• друзья или знакомые говорят о полученных от вас сообщениях, которые вы не отправляли;
• в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Действия при наличии признаков заражения компьютера. Прежде чем предпринимать какие-либо действия, необходимо сохранить результаты работы на внешнем носителе (дискете, CD- или DVD-диске, флэш-карте и пр.). Далее необходимо:
• отключить компьютер от локальной сети и Интернета, если он к ним был подключен;
• если симптом заражения состоит в том, что невозможно загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробовать загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows;
• запустить антивирусную программу.
Антивирусные программы
Принцип работы антивирусных программ основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов.
Для поиска известных вирусов используются сигнатуры, т. е. некоторые постоянные последовательности двоичного кода, специфичные для этого конкретного вируса. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдает сообщение о возможном заражении объекта.
Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).
Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера.
|
