ЛЕКЦИЯ № 15 «Вирусы и антивирусные программы»

Вредоносные программы: компьютерные вирусы, сетевые черви и троянские программы. Шпионское и рекламное ПО, программы дозвона. Административные меры борьбы с вирусами. Принципы работы антивирусных программ. Эвристический анализ. Программа AVP (AntiViral Toolkit Pro) Лаборатории Касперского. Программа Dr.Web лаборатории Данилова. Контент секьюрити.

КОМПЬЮТЕРНЫЕ ВИРУСЫ

У пользования Всемирной сетью есть и обратная сторона. Вирусы и другие компьютерные паразиты, нежелательная и рекламная информация, программы-шпионы и сетевые атаки - все это угрожает компьютеру, подсоединенному к Интернету.

Прежде всего, необходимо рассмотреть вредоносные программы (или коды). По способу распространения их можно условно разделить на компьютерные вирусы, сетевые черви и троянские программы.

Компьютерные вирусы - это программы, способные размножаться самостоятельно, дописывая свой код к другим файлам или в служебные области диска. Каждый вирус способен выполнять деструктивные или нежелательные действия на зараженном компьютере. Он может демонстрировать видеоэффекты, замедлять работу системы, похищать и уничтожать личную информацию пользователя, а также многое другое.

Существует множество разновидностей вирусов. Самыми старыми являются файловые вирусы. Они размножаются, используя файловую систему. Почти столь же древними являются загрузочные вирусы. Они так названы потому, что заражают загрузочный сектор (boot sector) жесткого диска. Загрузочные вирусы замещают код программы, получающей управление при запуске системы. Таким образом, после перезагрузки системы управление передается вирусу. Следует отметить, что сегодня загрузочные вирусы встречаются очень редко. С середины 90-х годов получили распространение макровирусы. Эти вредители представляют собой программу на макроязыке. Для размножения макровирусы используют встроенные возможности, например, текстового или табличного редактора. Таким способом эти вредители переносят себя из одного зараженного файла в другой.

Сетевые черви

"Червей" часто называют вирусами, хотя, строго говоря, это не совсем верно. Сетевые черви - это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии. Сетевые черви могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). По среде распространения червей можно условно разделить на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (распространяются через чаты Internet Relay Chat).

Есть еще одна крайне опасная разновидность червей - бестелесные. Эти паразиты не используют для своего размножения ни временных, ни постоянных файлов. Бестелесные черви вне компьютера существуют в виде сетевых пакетов, а внутри зараженного компьютера - в виде программного кода прямо в оперативной памяти. Бестелесные черви распространяются очень быстро.

Троянские программы

Троянские программы, "троянские кони" и просто "троянцы" - это вредоносные программы, которые сами не размножаются. Подобно знаменитому Троянскому коню из "Илиады" Гомера, программа-троянец выдает себя за что-то полезное. Чаще всего троянский конь маскируется под новую версию бесплатной утилиты, какую-то популярную прикладную программу или игру.

По выполняемым вредоносным действиям троянские программы можно условно разделить на следующие виды:

· утилиты несанкционированного удаленного администрирования (позволяют злоумышленнику удаленно управлять зараженным компьютером);

· утилиты для проведения DDoS-атак (Distributed Denial of Service - распределенные атаки типа отказ в обслуживании);

· шпионские и рекламные программы, а также программы дозвона;

· серверы рассылки спама;

· многокомпонентные "троянцы"-загрузчики (переписывают из Интернета и внедряют в систему другие вредоносные коды или вредоносные дополнительные компоненты).

Следует отметить, что на практике часто встречаются программы-"троянцы", относящиеся сразу к нескольким перечисленным выше видам.

Утилиты несанкционированного удаленного администрирования

Управление зараженным компьютером обычно осуществляется через Интернет. Вот лишь небольшая часть того, что может сделать злоумышленник на инфицированном ПК: выкрасть любую информацию с компьютера-жертвы (файлы, пароли, реквизиты и т.д.), провести любую файловую операцию (отформатировать жесткий диск, стереть или переименовать какие-то файлы и т.д.), перезагрузить компьютер, подключиться к сетевым ресурсам, использовать зараженный компьютер для атаки на какой-то третий компьютер или сервер в Интернете.