Одним из наиболее эффективных способов борьбы с вирусами является

  • Учебная: ознакомить учащихся с понятием вирус, антивирусная программа, видами вирусов, современными антивирусами, со способами борьбы с вирусами.
  • Развивающая: развивать умение отстоять свою точку зрения в дискуссии, компьютерную грамотность, познавательную активность.
  • Воспитательная: воспитывать внимание, аккуратность, бережливое отношение к ПО и ПК.

  • Компьютерный класс
  • Проектор
  • Программное обеспечение: электронная лекция (Приложение 1), программы Microsoft Power Point, Microsoft Excel, Microsoft Security, Avast
  • Флеш-карта, зараженная вирусом
  • Жетоны с номерами

  • Словесный (лекция, беседа-дискуссия).
  • Наглядный (электронная презентация, обзор антивирусов).
  • Игровой (опрос учеников по теме)

1. Организационный момент

2. Введение нового материала (используется электронная презентация).

1. Исторические сведения

Когда стали разрабатывать вирусы, то преследовали только исследовательский характер, но постепенно это превратилось во вражеское отношение к пользователям.

2. Что такое компьютерные вирусы?

Компьютерные вирусы – это грамотно написанная программа, которая может размножаться, самовольно копироваться, самопроизвольно присоединяться к другим программам и незаметно для пользователей внедрять свой код в файлы документы, Web-страницы Интернета и сообщения электронной почты

3. Признаки появления вирусов

  1. Прекращение работы или неправильная работа программ, которые ранее функционировали.
  2. Медленная работа ПК
  3. Невозможность загрузки ОС
  4. Исчезновение файлов и папок или искажение их содержимого.

4. Чем опасен компьютерный вирус?

После заражения ПК вирус может активизироваться (или проснуться) и начать свои вредоносные действия.

Активизация вируса может быть связана с какими-то событиям; (например):

  • Наступление определенной даты
  • Запуск программы
  • Открытие документа

5. Виды компьютерных вирусов

Компьютерные вирусы различают по среде обитания и по степени воздействия.

  • Неопасные – как правило, эти вирусы забивают память компьютера путем своего размножения и могут организовывать мелкие пакости – проигрывать заложенную в них мелодию или показывать картинку;
  • Опасные – эти вирусы способны создать некоторые нарушения в функционировании ПК – сбои, перезагрузки, зависание ПК, медленная работа компьютера и т.д.;
  • Очень опасные – опасные вирусы могут уничтожить программы, стереть важные данные, убить загрузочные и системные области жесткого диска, который потом можно выбросить.

6. Это надо знать

7. Опасные вирусы

Наибольшую опасность создают почтовые сетевые вирусы, которые распространяются по компьютерным сетям во вложенных в почтовое сообщение файлах. Активизация почтового вируса и заражение компьютера может произойти при просмотре сообщения электронной почты.

Распространение компьютерных вирусов (рассматривается на 11 слайде).

9. Как уберечься от вирусов?

В целях профилактической защиты от компьютерных вирусов не рекомендуется запускать программы, открывать документы и сообщения электронной почты, полученные из сомнительных источников и предварительно не проверенные антивирусными программами.

10. Антивирусные программы

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы используют постоянно обновляемые списки известных вирусов, которые включают название вируса и его программный код.

Если лечение невозможно, то файл удаляется целиком

11. Процесс заражения вирусом и лечения файла. (рассматривается на слайдах 16-17)

12. Антивирусные программы

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы:

  • Антивирус лаборатории Касперского
  • Доктор Web
  • NOD 32
  • AVAST
  • Microsoft Security
  • Avira

13. Самые популярные вирусы прошлой неделе. (слайд 20) (Перед уроком эти данные необходимо обновить.)

3. Беседа-дискуссия с учащимися

  1. Как вы думаете, кто и зачем создаёт компьютерные вирусы?
  2. Что лучше: скачанный антивирус в Интернете или лицензионный антивирус?

(Каждый ученик должен выдвинуть свою гипотезу и отстоять свою точку зрения)

4. Обзор и сравнительный анализ антивирусов Microsoft Security и Avast. Лечение флеш-карты с помощью антивируса Microsoft Security.

Ученикам предлагается ответить на 6 вопросов. За каждый верный ответ ученики получают жетон с номером, если никто правильно не ответил, то жетон не выдаётся. Из полученных жетонов ученики должны сложить код, ввести в его в компьютер (предварительно создан лист в программе Microsoft Excel (Приложение 2)).


  1. В каком году произошло первое заражение вирусом? (жетон 6)
  2. В каком году произошло массовое заражение вирусом? (жетон 2)
  3. Как назывался первый компьютерный вирус? (жетон 3)
  4. Какой способ борьбы с вирусами является самым эффективным? (жетон 5)
  5. Виды вирусов (жетон 1)
  6. Виды антивирусов (жетон 4)

п. 1.7, записи в тетради

В конце урока ученикам предлагается посмотреть мультфильм Гроза (24 серия) из цикла Почемучка.

Дата добавления: 2013-12-23 ; просмотров: 2530 ; Нарушение авторских прав

Классификация антивирусных программ

Особенности работы антивирусных программ

Структурная схема терминов

Второстепенные термины

Ключевой термин

Требования к знаниям и умениям

Цели изучения темы

Введение

· изучить основные понятия по борьбе с вирусами, виды антивирусных программ и их характеристику.

Студент должен знать:

· виды антивирусных программ;

· принципы функционирования антивирусных программ;

· факторы, определяющие качество антивирусной программы.

Студент должен уметь:

· классифицировать антивирусные программы.

Ключевой термин: антивирусная программа.

Антивирусная программа – программа, предназначенная для поиска, обнаружения, классификации и удаления компьютерного вируса и вирусоподобных программ.

· класс антивирусной программы;

Одним из наиболее эффективных способов борьбы с вирусами является использование антивирусного программного обеспечения. Антивирусная программа – программа, предназначенная для поиска, обнаружения, классификации и удаления компьютерного вируса и вирусоподобных программ.

Вместе с тем необходимо признать, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить новый алгоритм вируса, невидимого для этого антивируса.

При работе с антивирусными программами необходимо знать некоторые понятия:

Ложное срабатывание – детектирование вируса в незараженном объекте (файле, секторе или системной памяти).

Пропуск вируса – недетектирование вируса в зараженном объекте.

Сканирование по запросу – поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания.

Сканирование налету – постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т. п.). В этом режиме антивирус постоянно активен, он присутствует в памяти "резидентно" и проверяет объекты без

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры). Существуют также антивирусы блокировщики и иммунизаторы.

Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы "эвристического сканирования", т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории – "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.

Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится хранить и пополнять, и относительно небольшая скорость поиска вирусов.

CRC-сканеры. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100 % вирусов сразу после появления изменений на компьютере. Характерный недостаток этих антивирусов заключается в невозможности обнаружения вируса с момента его появления и до тех пор, пока не будут произведены изменения на компьютере. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в восстанавливаемых файлах или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.

Блокировщики. Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочный сектор диска и др., которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно активизируется.

Иммунизаторы. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Качество антивирусной программы определяется несколькими факторами. Перечислим их по степени важности:

1. Надежность и удобство работы – отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц, упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов.

3. Существование версий антивируса под все популярные платформы (DOS, Windows, Linux и т. д.).

4. Возможность сканирование "налету".

5. Существование серверных версий с возможностью администрирования сети.

1 ЛЕКЦИЯ 14 КОМПЬЮТЕРНЫЕ ВИРУСЫ. АНТИВИРУСНЫЕ ПРОГРАММЫ 1. Компьютерные вирусы и их классификация 2. Признаки заражения ПК вирусом 3. Способы защиты от компьютерных вирусов 4. Антивирусные программы 1. Компьютерные вирусы и их классификация Компьютерный вирус это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных. Известно много различных способов классификации компьютерных вирусов. Одним из способов классификации компьютерных вирусов это разделение их по следующим основным признакам: среда обитания; особенности алгоритма; способы заражения; степень воздействия (безвредные, опасные, очень опасные). В зависимости от среды обитания основными типами компьютерных вирусов являются: 1. Программные (поражают файлы с расширением. СОМ и.ехе) вирусы. 2. Загрузочные вирусы. 3. Макровирусы. 4. Сетевые вирусы. Программные вирусы это вредоносный программный код, который внедрен внутрь исполняемых файлов (программ). Вирусный код может воспроизводить себя в теле других программ этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям нарушению работы программ и операционной системы, удаляя информации, хранящиеся на жестком диске. Этот процесс называется вирусной атакой. Загрузочные вирусы поражают не программные файлы, а загрузочный сектор магнитных носителей (гибких и жестких дисков).

2 Макровирусы поражают документы, которые созданы в прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся документы текстового процессора WORD, табличного процессора Excel. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Сетевые вирусы пересылаются с компьютера на компьютер, используя для своего распространения компьютерные сети, электронную почту и другие каналы. По алгоритмам работы различают компьютерные вирусы: черви (пересылаются с компьютера на компьютер через компьютерные сети, электронную почту и другие каналы); вирусы-невидимки (Стелс-вирусы); троянские программы; программы мутанты; логические бомбы; и другие вирусы. В настоящее время к наиболее распространенным видам вредоносных программ, относятся: черви, вирусы, троянские программы. 2. Признаки заражения ПК вирусом Желательно не допускать появление вирусов в ПК, но при заражении компьютера вирусом очень важно его обнаружить. Основные признаки появления вируса в ПК: медленная работа компьютера; зависания и сбои в работе компьютера; изменение размеров файлов; уменьшение размера свободной оперативной памяти; значительное увеличение количества файлов на диске; исчезновение файлов и каталогов или искажение их содержимого; изменение даты и времени модификации файлов. И другие признаки. 3. Способы защиты от компьютерных вирусов Одним из основных способов борьбы с вирусами является своевременная профилактика.

3 Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации: 1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса. 2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков. 3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры. 4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных. 5. создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки 6. Основным средством защиты информации это резервное копирование ценных данных, которые хранятся на жестких дисках Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей: 1. Эвристический модуль для выявления неизвестных вирусов. 2. Монитор программа, которая постоянно находится в оперативной памяти ПК

4 3. Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов 4. Почтовая программа (проверяет электронную почту) 5. Программа сканер проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков 6. Сетевой экран защита от хакерских атак К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие. 4. Антивирусные программы Антивирус Касперского 7.0 Программа состоит из следующих компонентов: 1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере. 2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера. 3. Веб-Антивирус компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу. 4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

5 Рис. 1. Антивирус Касперского 7.0 это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО. Основные функции: 1. Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор 2. Защита от вирусов, троянских программ и червей. 3. Защита от шпионского (spyware) и рекламного (adware) ПО. 4. Проверка файлов, почты и интернет-трафика в режиме реального времени. 5. Защита от вирусов при работе с ICQ и другими IM-клиентами. 6. Защита от всех типов клавиатурных шпионов. 7. Обнаружение всех видов руткитов. 8. Автоматическое обновление баз. AVAST! Антивирусная программа avast! v. home edition 4.7 (бесплатная версия) русифицирована и имеет удобный интерфейс, содержит резидентный монитор, сканер, средства автоматического обновление баз и т.д. Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая

6 система, электронная почта и т.д. К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта. Рис. 2. Norton AntiVirus Состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок. Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК. Автозащита автоматически: 1. Обнаруживает и защищает ПК от всех типов вирусов, включая макро-вирусы, вирусы загрузочных секторов, вирусы резидента памяти и троянских коней, червей и других вредоносных вирусов. 2. Защищает компьютер от вирусов, которые передаются через сеть Интернет, проверяя все файлы, которые загружаются из Интернета.

Курс дистанционного обучения:
"Экономическая информатика"
Модуль 1 (1,5 кредит): Введение в экономическую информатику

1.4. Сервисное программное обеспечение ПК и основы алгоритмизации

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных.

Известно много различных способов классификации компьютерных вирусов.

Одним из способов классификации компьютерных вирусов – это разделение их по следующим основным признакам:

  • среда обитания;
  • особенности алгоритма;
  • способы заражения;
  • степень воздействия (безвредные, опасные, очень опасные).

В зависимости от среды обитания основными типами компьютерных вирусов являются:

  1. Программные (поражают файлы с расширением. СОМ и .ЕХЕ) вирусы.
  2. Загрузочные вирусы.
  3. Макровирусы.
  4. Сетевые вирусы.

Программные вирусы – это вредоносный программный код, который внедрен внутрь исполняемых файлов (программ). Вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением.

По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удаляя информации, хранящиеся на жестком диске. Этот процесс называется вирусной атакой.

Загрузочные вирусы – поражают не программные файлы, а загрузочный сектор магнитных носителей (гибких и жестких дисков).

Макровирусы – поражают документы, которые созданы в прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся документы текстового процессора WORD, табличного процессора Excel. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Сетевые вирусы пересылаются с компьютера на компьютер, используя для своего распространения компьютерные сети, электронную почту и другие каналы.

По алгоритмам работы различают компьютерные вирусы:

  • черви (пересылаются с компьютера на компьютер через компьютерные сети, электронную почту и другие каналы);
  • вирусы-невидимки (Стелс-вирусы);
  • троянские программы;
  • программы – мутанты;
  • логические бомбы;
  • и другие вирусы.

В настоящее время к наиболее распространенным видам вредоносных программ, относятся: черви, вирусы, троянские программы.

Желательно не допускать появление вирусов в ПК, но при заражении компьютера вирусом очень важно его обнаружить.

Основные признаки появления вируса в ПК:

  • медленная работа компьютера;
  • зависания и сбои в работе компьютера;
  • изменение размеров файлов;
  • уменьшение размера свободной оперативной памяти;
  • значительное увеличение количества файлов на диске;
  • исчезновение файлов и каталогов или искажение их содержимого;
  • изменение даты и времени модификации файлов.
  • И другие признаки.

Одним из основных способов борьбы с вирусами является своевременная профилактика.

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

  1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса.
  2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков.
  3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры.
  4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.
  5. создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки
  6. Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

  1. Эвристический модуль – для выявления неизвестных вирусов.
  2. Монитор – программа, которая постоянно находится в оперативной памяти ПК
  3. Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов
  4. Почтовая программа (проверяет электронную почту)
  5. Программа сканер – проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков
  6. Сетевой экран – защита от хакерских атак

К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

Программа состоит из следующих компонентов:

  1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.
  2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.
  3. Веб-Антивирус компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.
  4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

Антивирус Касперского 7.0 – это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО.

  1. Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор
  2. Защита от вирусов, троянских программ и червей.
  3. Защита от шпионского (spyware) и рекламного (adware) ПО.
  4. Проверка файлов, почты и интернет-трафика в режиме реального времени.
  5. Защита от вирусов при работе с ICQ и другими IM-клиентами.
  6. Защита от всех типов клавиатурных шпионов.
  7. Обнаружение всех видов руткитов.
  8. Автоматическое обновление баз.

Антивирусная программа avast! v. home edition 4.7 (бесплатная версия) русифицирована и имеет удобный интерфейс, содержит резидентный монитор, сканер, средства автоматического обновление баз и т.д.

Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая система, электронная почта и т.д. К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта.

Состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.

Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.

Существует несколько классификаций антивирусных программ. В соответствии с одной из них известные к настоящему времени антивирусные программы по функциональным признакам делятся на четыре класса:

  • • класс А — предупреждение заражения;
  • • класс Б — выявление последствий заражения;
  • • класс В — минимизация причиненного ущерба;
  • • класс Г — общего характера.

Программы класса А делятся на пять групп следующего назначения:

  • • А1 — фильтры, следящие за операциями других исполняемых программ и реагирующие на подозрительные действия;
  • • А2 — резидентные детекторы и фаги, следящие за появлением в оперативной памяти конкретных вирусов и подающие при их появлении специальные сигналы оператору;
  • • АЗ — иммунизаторы, изменяющие файлы и области оперативной памяти таким образом, что вирус их после этого не заражает;
  • • А4 — разграничители доступа, ограничивающие распространение вирусов путем разграничения доступа к ресурсам ЭВМ, программам и массивам данных со стороны других программ и пользователей;
  • • А5 — преобразователи параметров операционной среды, реализующие изменение соглашений, принятых в операционной системе (форматы записей, команды, расположение системной информации и др.), недоступные разработчикам вирусов и тем самым препятствующие заражению ЭВМ.

Программы класса Б делятся на шесть групп следующего функционального назначения:

  • • Б1 — нерезидентные детекторы и фаги, осуществляющие просмотр запоминающих устройств, определяющие зараженность файлов и дисков и организующие их лечение;
  • • Б2 — программы проверки подозрительных характеристик, осуществляющие просмотр запоминающих устройств и выявление таких характеристик, которые могут говорить о наличии вируса в системе. К таким характеристикам относятся недопустимые значения отдельных полей в заголовке файла, подозрительные переходы, странные изменения в программах и т. п.;
  • • БЗ — программы, осуществляющие просмотр файлов и носителей, определение различных их характеристик (контрольные суммы, криптографические суммы, длины, даты и времена создания и др.) и сравнение этих величин с эталонами в целях определения возможного заражения;
  • • Б4 — программы, осуществляющие слежение и регистрацию в системном журнале операций, осуществляемых на ЭВМ. При заражении анализ журнала помогает выявить источник заражения, характер поведения вируса;
  • • Б5 — программы-ловушки (дрозофилы, уловители), специально выделяемые для заражения, которые, заражаясь, сигнализируют о наличии вируса;
  • • Б6 — программы автономной защиты файла, защищающие файлы от вирусов путем дописывания своей копии к защищаемым модулям.

Программы класса В (минимизирующие ущерб, причиненный заражением РПС) делятся на следующие три группы:

  • • В1 — программы полного копирования, предназначенные для создания резервных копий программного обеспечения;
  • • В2 — программы частичного копирования, предназначенные для копирования и восстановления наиболее уязвимых частей диска (Boot-сектор, FAT, корневое оглавление);
  • • ВЗ — программы, прерывающие вычислительный процесс, т. е. осуществляющие принудительное прерывание вычислительного процесса в целях локализации распространения вируса.

Программы класса Г (общего назначения) предназначены не для прямой борьбы с вирусами, а для оказания помощи в этой борьбе. Эти программы делятся на пять групп следующего назначения:

  • • Г1 — программы просмотра диска, позволяющие отображать значения каждого сектора, копировать одну физическую область в другую. Применяются для определения целостности отдельных частей диска, наличия вируса в файлах и внесения небольших изменений;
  • • Г2 — программы, позволяющие искать на диске контекст определенного содержания. С их помощью можно найти участки кодов вирусов и пораженные ими секторы;
  • • ГЗ — программы, позволяющие восстанавливать отдельные части диска;
  • • Г4 — программы, реализующие просмотр состояния оперативной памяти, состав и характеристики находящихся там модулей;
  • • Г5 — программы, позволяющие упорядочить информацию на диске на физическом уровне по заранее заданному закону.

Существуют и другие подходы к этой классификации. Различают, например, следующие виды антивирусных программ:

  • • программы-детекторы;
  • • программы-доктора или фаги;
  • • программы-ревизоры;
  • • программы-фильтры;
  • • программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерного

для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают и требуется регулярное обновление версий.

Антивирусы-полифаги. Антивирусы-полифаги — наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой области.

В основе работы полифагов стоит простой принцип — поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура — это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе. Чаще всего сигнатура — это непосредственно участок вирусного кода или его контрольная сумма (дайджест).

Первоначально антивирусы-полифаги работали по очень простому принципу — осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

Но в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth- вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

Только в этом случае вирус со 100%-ной точностью будет обнаружен и удален из памяти компьютера, а потом — и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом — как можно чаще обновлять версии программы и вирусные базы.

Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов компьютерных вирусов. Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, т. е. его основная задача — не выполнять код, а выявлять в нем всевозможные события, т. е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами, или обнаруживать часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность как пропуска, так и ложного срабатывания весьма высока. Однако правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении системы вирусом с вероятностью, близкой к 100 %. Одним из наиболее мощных эвристических анализаторов обладает антивирус Dr. Web.

Использование эвристического анализатора, помимо всего вышеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами.

Классический метод определения вирусов по сигнатуре в этом случае вообще оказывается неэффективен. Вирус-генератор — это специализированный набор библиотек, который позволяет пользователю легко сконструировать свой собственный вирус, даже имея слабые познания в программировании. К написанной программе подключаются библиотеки генератора, вставляются в нужных местах вызовы внешних процедур — и вот элементарный вирус превратился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур — а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.

Программы-ревизоры. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые не были заражены на момент создания базы данных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств — скорее всего, на компьютер попал новый, неизвестный разработчикам вирус.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной. Итак, перейдем к стадиям работы программы-ревизора.

Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо программ. Если же размер оперативной памяти уменьшился — это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего, программа эта — вирус.

Контроль системных областей. Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (MasterBootRecord или MBR).

  • • (bios) — прямым обращением в BIOS;
  • • (il3h) — чтением через BIOS-прерывание Intl3h;
  • • (i25h) — чтением средствами операционной системы (прерывание Int25h).

Если считанная информация не совпадает, налицо действие stealth-алгоритмов. Для большей надежности производится чтение MBR через IDE-порты жесткого диска. До сих пор еще не встречались вирусы, которые могут маскироваться от ревизора, обладающего такой функцией.

Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.

Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно просто: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново.

Контроль неизменяемых файлов. Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win. com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла.

После того как все файлы проверены, ревизоры часто сохраняют копии дополнительных областей памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменения могут быть подозрительны.

  • • попытки коррекции файлов с расширениями сом, ехе;
  • • изменение атрибутов файла;
  • • прямая запись на диск по абсолютному адресу;
  • • запись в загрузочные секторы диска;
  • • загрузка резидентной программы.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции