Компьютерные вирусы. Антивирусные программы. Урок 14 8 класс

Феномен компьютерных вирусов К основным техническим феноменам 20-го века относятся первые полеты человека в космос, создание атомной бомбы, грандиозный прогресс систем связи и передачи информации и, конечно же, ошеломляющее развитие микро- и макро- компьютеров. И как скоро появляется упоминание о феномене компьютеров, так тут же возникает еще один феномен конца нашего столетия - феномен компьютерных вирусов. Компьютерные вирусы - это серьезная и довольно заметная проблема, возникновения которой никто не ожидал. Даже всевидящие фантасты столетий не говорят об этом ничего. В их многочисленных произведениях с той или иной точностью предсказаны практически все технические достижения настоящего (вспомним, например, Уэллса с его идеей полета из пушки на Луну и марсиан, вооруженных неким подобием лазера). Если же говорить о вычислительных машинах, то тема эта вылизана донельзя - однако нет ни одного пророчества, посвященного компьютерным вирусам. Первый персональный компьютер появился в продаже в 1984 году. Уже в 1985 году появился первый компьютерный вирус, вызвавший панику среди программистов.

Что такое компьютерный вирус? Объяснение для домохозяйки. Представим себе аккуратного клерка, который приходит на работу к себе в контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает «отработанный» лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее: «Переписать этот лист два раза и положить копии в стопку заданий соседей» Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы. Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а клерком - компьютер. Так же как и клерк, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как «скопируй меня в две другие программы», то компьютер так и сделает, - и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других «зараженных» программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру. В приведенном выше примере про клерка и его контору лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут что переписывать один и тот же текст и раздавать его соседям - ведь первый клерк сделает две копии, очередные жертвы вируса - уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза. Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет «бродить» более копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине. В компьютере этот процесс будет идти еще быстрее. Уже через 1-2 минуты ваш компьютер будет забит копиями программ и остановится из-за нехватки памяти. Именно это произошло со школьным компьютером 12 декабря. Как это ни смешно (хотя участникам этого инцидента было совсем не смешно), именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру.

Кто и почему пишет вирусы? Основную их массу создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Такие вирусы пишутся скорее всего только для самоутверждения. Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс неполноценности, который проявляет себя в компьютерном хулиганстве. Третью группу составляют программисты – создатели программ для «отмщения» за нелицензионное распространение. Они пишут вирусы, которые начинают работать только если копируется лицензионный диск. Четвертую группу составляют «исследователи». Им просто интересно, как быстро их вирус сработает и вызовет эпидемию. Пятую группу составляют «обиженные на человечество».

Ответственность за создание вирусов. В США – пожизненное заключение. В России – до 15 лет. Во всем мире приравнивается к преступлениям против государства (тяжелее чем убийство, грабеж и т.д.)

Примеры вирусов. 1. Вирус «Jerusalem» (другое название - «Time»). В пятницу 13 числа любого месяца выкидывает в корзину все текстовые файлы. 2. Вирус «8 марта». Поздравляет Вас с международным женским днем и выключает компьютер. Во все остальные дни на компьютере можно работать. 3. Вирус «Заботливый». При включении здоровается с вами и спрашивает о вашем самочувствии. Если вы не поздороваетесь с ним и введете фразу, не содержащую слов «хорошо» или плохо, он буде выдавать вопрос повторно. Если ответите «плохое», то выключит компьютер. Если ответите «хорошее» разрешит вам работать. 4. Вирус «Хулиган». Разукрасит ваш текстовый файл матерными выражениями. 5. Вирус «Аккуратный». Сортирует все слова в текстовом файле по алфавиту.

Хронология первых эпидемий. 1. Первые повальные эпидемии вирусов прошли по миру в 80-е годы. Буквы сыпались на экранах, компьютеры заиграли чужеземный гимн «Yankee Doodle», по экрану скакал шарик вируса «Ping-pong», исчезали файлы и папки, на экране появлялись голые девицы или задницы, собаки выбегали на середину экрана гадили и уносились в свое виртуальное пространство. США первыми внесли в законы уголовную ответственность за создание вредоносных программ (до 1 года). 2. В 90-годы появились первые троянские программы и программы-невидимки. Услышав, что у соседа крякнул компьютер, люди кидались проверять свою технику и ничего не находили. Но вдруг через месяц, полгода, год у них происходило то же самое. Тогда же появились полиморфики (программы, модифицирующие сами себя – т.е. вирус соседа не похож на ваш, хотя ноги у них общие), первые вирусные конструкторы (типа конструктор мультфильмов «Незнайка», так что пятиклассник клепал по вирусов в день). Вирусы переносились в основном дискетами. Эпидемии как правило локализовывались в рамках одной страны. Убытки перевалили за миллиард долларов. Зафиксирован случай, когда вирус чуть не запустил стратегическую ракету из США по России. Американцы довели тюремные сроки до пожизненного. Россия хохотала. 3. В начале 21 века прокатился ряд эпидемий интернет-вирусов. За считанные часы вылетало по нескольку миллионов компьютеров. Убытки исчисляются миллиардами. Все страны внесли изменения в законодательство, приравняв написание вирусов к тягчайшим преступлениям (России стало не до смеха). Появились первые программы сжигающие микросхемы. 4. Сейчас: незараженные компьютеры – редкость (может быть только те, что из магазина).

Классификация вирусов Загрузочные вирусы Макро-вирусы Полиморфик-вирусы Прочие «вредные программы» Intended-вирусы Конструкторы вирусов Полиморфные генераторы Троянские кони (логические бомбы) Утилиты скрытого администрирования (backdoor) Резидентные вирусы Сетевые вирусы Стелс-вирусы Файловые вирусы IRC-черви

Троянские кони (логические бомбы) Срабатывают только после определенного действия пользователя. Например, при печати в текстовом редакторе слова «милитаризм».

Сетевые вирусы К сетевым относятся вирусы, которые для своего распространения используют возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы «Cristmas Tree» и «Wank Worm&». Вновь проблема сетевых вирусов возникла в начале 1997-го года с появлением вирусов «Macro.Word.ShareFun» и «Win.Homer». Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ, затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус «автоматически» внедряется в компьютер адресата зараженного письма.

Файловые вирусы К данной группе относятся вирусы, которые при своем размножении используют файловую систему какой-либо операционной системы. На сегодняшний день известны вирусы, поражающие все типы выполняемых программ: командные файлы (BAT), загружаемые драйверы (SYS), выполняемые двоичные файлы (EXE, COM). По способу заражения файлов вирусы делятся на «overwriting», паразитические («parasitic»), компаньон-вирусы («companion»), «link»-вирусы, вирусы-черви Overwriting. Данный метод заражения является наиболее простым: вирус записывает свою программу вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. Parasitic. К паразитическим относятся все файловые вирусы, которые изменяют содержимое файлов, оставляя сами файлы при этом полностью работоспособными. Но при каждом использовании программа растет и в конце концов приобретает гигантский размер. Компаньон-вирусы. К категории «компаньон» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл- двойник. имеющий то же самое имя, но с другим расширением. Файловые черви. Файловые черви (worms) являются разновидностью компаньон-вирусов. При внедрении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены любопытным пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся «ArjVirus» и «Winstart».

Откуда берутся вирусы 1. Глобальные сети - электронная почта. 2. Электронные конференции, файл-серверы. 3. Локальные сети. 4. Пиратское программное обеспечение. 5. Персональные компьютеры «общего пользования» (беспризорные). 6. Специальное заражение из хулиганских побуждений.

Основные правила защиты 1. Крайне осторожно относитесь к программам и документам Word/Excel, которые получаете из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте их на наличие вирусов. 2. Для уменьшения риска заразить компьютер следует активно использовать стандартные возможности защиты: ограничение прав пользователей; установку атрибутов «только на чтение» или даже «только на запуск» для всех выполняемых файлов и т.д. 3. Используйте специализированные антивирусы, проверяющие «на лету» файлы, к которым идет обращение. Регулярно проверяйте компьютер на наличие вирусов антивирусными программами (лучше 2-3-я). 4. Покупайте дистрибутивные копии программного обеспечения у официальных продавцов, не покупайте пиратские копии. 5. Не запускать непроверенные файлы, в том числе музыкальные диски и полученные из компьютерной сети. Желательно также, чтобы при работе с новым программным обеспечением в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение. 6. Ограничивайте круг лиц, допущенных к работе на конкретном компьютере. 7. Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы. 8. Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа. Не держите яйца в одной корзине.

Способы обнаружения вирусов 1. После некоторой работы на компьютере 5-10 минут не предпринимайте никаких действий. Если в это время винчестер работает (мигает лампочка), то велика вероятность что работает вирус. 2. Заархивируйте папку, содержащую разнообразные файлы (текст, таблицы, презентации, картинки, музыку). Прочитайте 1-2 файла из архива без разархивации. Закройте файлы. Если архиватор спросит вас о необходимости сохранить изменения, то на 100% у вас в компьютере вирус. 3. Запишите размер папки с текстовыми файлами. Прочитайте несколько файлов без внесения изменений. Если размеры папки увеличились, то это сработал вирус. 4. Запустите поиск файлов и папок по имени (*.doc или *.txt). Отсортируйте их по размеру. Определите размер самого большого файла. Если он неестественно большой (бывает до 2-3 Гб), то это работает вирус. 5. Если компьютер выдает сообщение «не хватает оперативной памяти», то это с большой долей вероятности говорит о том, что ее захватил резидентный вирус.

Антивирусные программы Антивирусных программ очень много (только в России в интернете предлагается более 40). Наиболее популярные: антивирус Касперского, Панда, Доктор Веб, NOD-32, Аваст. Все они подгружают базы через Интернет. Начиная с лета 2008 года все разработчики в новых версиях антивирусных программ поставили запрет на обновление баз через переписывание с других компьютеров. Все антивирусные программы платные. Бесплатными являются только 30-дневные версии, неполные версии, демонстрационные версии. Помните, не один антивирусник не выловит всех вирусов.

Какой антивирус лучше? Ответ будет «любой», если на вашем компьютере вирусы не водятся и вы не пользуетесь вирусо- опасными источниками информации. Если же вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word или обмениваетесь таблицами Excel, то вам все-таки следует использовать какой-либо антивирус. Какой именно решайте сами, однако есть несколько позиций, по которым различные антивирусы можно сравнить между собой. Качество антивирусной программы определяется по следующим позициям, приведенным в порядке убывания их важности: 1. Надежность и удобство работы отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки. 2. Качество обнаружения вирусов всех распространенных типов, упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. 3. Присутствие не только режима «сканирование по запросу», но и «сканирование на лету». 4. Скорость работы и прочие полезные особенности, функции, «припарки» и «вкусности». Надежность работы антивируса является наиболее важным критерием, поскольку даже «абсолютный антивирус» может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца «повиснет» и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным большинство пользователей просто проигнорирует сообщения антивируса и нажмут [OK] либо [Cancel] случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать такой антивирус или даже удалит его с диска.