Вредоносные программы и антивирусные программы.ppt

данным и программам, хранящимся на компьютере.
За создание, использование и распространение

июле 1982 г., был написан 15-летним школьником Ричем Скрента (Rich

Первый антивирус всего лишь на два года младше своего врага. В 1984 г. программист Анди Хопкинс (Andy Hopkins) написал утилиты, позволяющие перехватывать некоторые операции, выполняемые через BIOS, а также анализировать загрузочный модуль, что давало возможность бороться с некоторыми типами вирусов того времени.

Как многие старые вирусы, Elk Cloner отличался визуальными проявлениями: при каждой 50-й загрузке он показывал короткое стихотворение («Elk Cloner - это уникальная программа. Она проникнет на все ваши диски, профильтрует ваши чипы. О да, это Cloner. Она приклеится к Вам, как клей. Программа способна изменить и RAM. Пустите к себе Cloner»).

Согласно классификации «Лаборатории Касперского»:
TrojWare: различные троянские программы без возможности

Количество новых вредоносных программ, обнаруженных аналитиками «Лаборатории Касперского» в 2007 году

файлов, загрузочных секторов дисков и оперативной памяти и поиске в

Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для конкретного вируса.

Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте.

Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).

звуковых сигналов
Неожиданное открытие и закрытие лотка CD/DVD дисковода
Произвольный запуск на

Частые «зависания» и сбои в работе компьютера

Медленная работа компьютера при запуске программ

Исчезновение или изменение файлов и папок

Частое обращение к жесткому диску

«Зависание» или неожиданное поведение браузера

и скрытно внедрять свои копии в исполнимые файлы, загрузочные секторы

После заражения компьютера вирус может начать выполнение вредоносных действий и распространение своих копий, а также заставлять компьютер выполнять какие-либо действия.

Активация компьютерного вируса может вызывать уничтожение программ и данных и может быть связана с различными событиями (наступлением определенной даты или дня недели, запуском программ, открытием документа и т.д.).

памяти на диске, графические и звуковые эффекты)
ОПАСНЫЕ
(последствия действия вирусов -

ОЧЕНЬ ОПАСНЫЕ
(последствия действия вирусов - потеря программ и данных форматирование винчестера и т.д.)

При заражении дисков загрузочные вирусы «подставляют» свой код вместо

Профилактическая защита от таких вирусов состоит в отказе загрузки операционной системы с гибких дисков и установке в BIOS компьютера защиты загрузочного сектора от изменений.

В 1986 году началась первая эпидемия загрузочного вируса. Вирус-невидимка «Brain» «заражал» загрузочный сектор дискет. При попытке обнаружения зараженного загрузочного сектора вирус незаметно «подставлял» его незараженный оригинал.

программы *.exe, системные файлы *.com и *.sys, программные библиотеки *.dll

После запуска зараженного файла вирус находится в оперативной памяти компьютера и является активным (т.е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы.
По способу заражения файловые вирусы разделяют на перезаписывающие вирусы, вирусы-компаньоны и паразитические вирусы.

Профилактическая защита от файловых вирусов состоит в том, что не рекомендуется запускать на исполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами.

В 1999 году началась эпидемия файлового вируса Win95.CIH, названного «Чернобыль» из-за даты активации 26 апреля. Вирус уничтожал данные на жестком диске и стирал содержание BIOS.

макрокомандами (макросами) на встроенном языке программирования Visual Basic for Applications

Профилактическая защита от макро-вирусов состоит в предотвращении запуска вируса (запрете на загрузку макроса).

Макро-вирусы являются ограниченно-резидентными, т.е. они находятся в оперативной памяти и заражают документ, пока он открыт.
Макро-вирусы заражают шаблоны документов.

В 1995 году началась эпидемия первого макро-вируса «Concept» для текстового процессора Microsoft Word. Макро-вирус «Concept» до сих пор широко распространен.

которые могут содержаться в файлах Web-страниц.
Заражение локального

Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.

В 1998 году появился первый скрипт-вирус VBScript.Rabbit, заражающий скрипты Web-страниц, а в мае 2000 года грянула глобальная эпидемия скрипт-вируса «LoveLetter».

Personal Edition:
а) настроить параметры антивирусного монитора (Guard) и

Software - программное обеспечение) встраивают рекламу в основную полезную программу.

Часто рекламные программы входят в состав официально поставляемых условно бесплатных версий программного обеспечения.

Реклама демонстрируется пользователю в процессе работы основной программы в виде графических баннеров или бегущей строки.
Обычно после покупки и/или регистрации основной программы рекламная вставка удаляется и показ рекламы прекращается.

Software - программное обеспечение) скрытно собирают различную информацию о пользователе

Эти программы иногда проникают на компьютер под видом рекламных программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей их программы.
Иногда шпионские программы обнаруживаются в распространенных программных продуктах известных на рынке производителей.

В марте 2005 года под видом поисковой панели для браузера Internet Explorer начала распространяться рекламно-шпионская программа «mwsbar».
Программа регистрирует себя в системном реестре и добавляет в автозагрузку, что приводит к изменению настроек браузера и перенаправлению результатов поиска в Интернете на сайт злоумышленника.

файл, помещаемый Web-сервером на локальный компьютер.
Файлы cookies

Браузеры позволяют включать и отключать использование файлов cookies, а также выполнять прием файлов cookies только после подтверждения со стороны пользователя.

уровень защиты локального компьютера от файлов cookies.

помощью программы удаления рекламных и шпионских программ Ad-Adware очистить компьютер

компьютер, используя сервисы компьютерных сетей: Всемирную паутину, электронную почту, интерактивное

Многие сетевые черви используют более одного способа распространения своих копий по компьютерам локальных и глобальных сетей.

Активация сетевого червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя.

Червь отсылает либо свою копию в виде вложения в электронное

Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.

которых используются операционная система и приложения, содержащие уязвимости.
Червь

Профилактическая защита от таких червей состоит в том, что рекомендуется своевременно скачивать из Интернета и устанавливать обновления системы безопасности операционной системы и приложений.

себя в папку обмена файлами на одном из компьютеров.

Профилактическая защита от таких сетевых червей состоит в том, что рекомендуется своевременно скачивать из Интернета и обновлять антивирусную программу и вирусную базу данных.

проверить компьютер на заражение сетевыми червями и при их обнаружении

Настройка параметров антивирусного монитора (сканера доступа)
Запуск почтовой программы Outlook Express
Выбор дисков для сканирования
Проверка на вирусы выбранных дисков

1

4

3

2

которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а

Троянские программы обычно проникают на компьютер как сетевые черви, а различаются между собой по тем действиям, которые они производят на зараженном компьютере.

файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать

При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе.

В 2003 году широкое распространение получила троянская программа Backdoor.Win32.ВО, которая осуществляет следующие действия:
• высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версию системы, информацию об установленных устройствах;
• посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл;
• отключает пользователя от сети;
• «завешивает» компьютер;
• читает или модифицирует системный реестр.

файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа

Троянцы данного типа также сообщают информацию о зараженном компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п.).

Некоторые троянцы воруют регистрационную информацию к программному обеспечению.

инсталлируют другие вредоносные программ и используются для «подсовывания» на компьютер-жертву

Загруженные без ведома пользователя из Интернета программы либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.

зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Троянские программы часто изменяют записи системного реестра операционной системы, поэтому для их удаления необходимо в том числе восстановление системного реестра.

CСleaner исправить ошибки системного реестра.

электронных сообщений, со скрытым или фальсифицированным обратным адресом.

Спам приходит потому, что электронный адрес получателя стал известен спамерам (рассыльщикам спама).
Спамеры стремятся получить подтверждение, что почтовый адрес действительно используется (в этом случае поток спама может увеличиться многократно).

рекламы своих товаров или услуг.
Рассылку рекламного спама

С помощью спама часто рекламируют продукцию, о которой нельзя сообщить другими способами, например оружие, порнографию, лекарственные средства с ограничениями по обороту, ворованную информацию (базы данных), контрафактное программное обеспечение и т. п.

Наиболее распространенный способ получил название «нигерийские письма», потому что большое

«Нигерийское письмо» содержит сообщение о том, что получатель письма может получить большую сумму денег, а отправитель может ему в этом помочь.
Затем отправитель письма просит перевести ему немного денег под предлогом, например, оформления документов или открытия счета.

письма данных, которые можно использовать для получения выгоды: номера его

Такое письмо обычно маскируется под официальное сообщение от администрации банка. В нем говорится, что получатель должен подтвердить сведения о себе, иначе его счет будет заблокирован, и приводится адрес сайта (принадлежащего спамерам) с формой, которую надо заполнить.
Для того чтобы жертва не догадалась об обмане, оформление сайта имитирует оформление официального сайта банка.

работу информационных систем и ресурсов, создавая для них бесполезную нагрузку.

Для борьбы со спамом используются антиспамовые фильтры, которые могут быть установлены как на локальных компьютерах пользователей, так и на почтовых серверах провайдеров.
Антиспамовые фильтры анализируют содержание письма или пытаются опознать спамера по электронному адресу.

Для затруднения автоматической фильтрации спамовые сообщения часто искажаются, вместо букв используются похожие по начертанию цифры, русские буквы заменяются на латинские, а в случайных местах добавляются пробелы.

антиспамовый фильтр.

затруднений в работе или утери данных
Сетевые атаки на

отказ в обслуживании) реализуют атаку с одного компьютера с ведома

Некоторые сетевые черви содержат в себе DoS-процедуры, атакующие конкретные сайты. Так, червь «Codered» 20 августа 2001 года организовал успешную атаку на официальный сайт президента США, а червь «Mydoom» 1 февраля 2004 года «выключил» сайт компании – производителя дистрибутивов UNIX.

DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома

Некоторые хакерские утилиты реализуют фатальные сетевые атаки. Такие утилиты используют уязвимости в операционных системах и приложениях и отправляют специально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении, и система прекращает работу.

Чаще всего при проведении DDoS-атак злоумышленники используют трехуровневую архитектуру

используют уязвимости в операционных системах или приложениях, установленных на атакуемом

Утилиты «взлома» удаленных компьютеров предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удаленного администрирования) или для внедрения во «взломанную» систему других вредоносных программ

Профилактическая защита от «взлома» состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений.

root») - программа или набор программ для скрытного взятия под

В операционной системы UNIX под термином «rootkit» понимается набор утилит, которые хакер устанавливает на «взломанном» им компьютере после получения первоначального доступа.

В операционной системе Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции.
Многие rootkit устанавливают в систему свои драйверы и службы (они также являются «невидимыми»).

Количество новых руткитов, обнаруженных аналитиками «Лаборатории Касперского» в 2007 году

отдельных компьютеров от несанкционированного доступа может осуществляться с помощью межсетевого

Межсетевой экран позволяет:
блокировать хакерские DoS-атаки, не пропуская на защищаемый компьютер сетевые пакеты с определенных серверов (определенных IP-адресов или доменных имен);
не допускать проникновение на защищаемый компьютер сетевых червей (почтовых, Web и др.);
препятствовать троянским программам отправлять конфиденциальную информацию о пользователе и компьютере.

Межсетевой экран может быть реализован как аппаратно, так и программно.

Межсетевые экраны ZyXEL - защита сети от вирусов, спама, сетевых атак.