Компьютерный вирус

1. Задание

Прочитать всё!
Переписать помеченные
слайды ВСЕ,
можно только 5-й сократить.
Прислать фото конспекта, в сообщении и в
конспекте указывать дату урока 11.05.2020.
Все работы сдавать в день урока до 24:00,
иначе оценка будет ниже.

2. вирусы

01.05.2022

3. Компьютерный вирус

- это специально написанная
компьютерная программа,
способная самопроизвольно
присоединяться к другим
программам,
создавать свои копии, внедрять
их в файлы
с целью их порчи и создания
помех в работе.

4. Заражённая программа

-это программа, внутри которой находится вирус,
называется «зараженной».

5. Признаки проявления вирусов

прекращение работы или неправильная работа ранее успешно
функционировавших программ;
медленная работа компьютера;
невозможность загрузки ОС;
исчезновение файлов и папок;
изменение размеров файлов;
изменение даты и времени создания файлов;
неожиданное увеличение количества файлов на диске;
уменьшение размеров свободной оперативной памяти;
вывод на экран неожиданных сообщений и изображений;
подача непредусмотренных звуковых сигналов;
загорание индикаторной лампочки дисковода при отсутствия
обращения к нему;
частые зависания, самопроизвольная перезагрузка и сбои в работе
компьютера.
Но эти явления могут быть следствием и других причин.

6. История возникновения вирусов

Американец Моррис впервые запустил в
компьютерные сети вирус. Его первого
посадили за вирусы в тюрьму. Но
пострадавшие были в шоке: все считали,
что компьютерные сети для вирусов
недоступны.
Первая «массовая» эпидемия компьютерного
вируса произошла 19 января 1986 года День рождения первого компьютерного
вируса Brain, день, когда пользователи
персональных компьютеров попрощались
со спокойной жизнью. Вирус Brain
«заражал» дискеты массовых
персональных компьютеров.
На сегодняшний день специалисты
насчитывают более 150 тыс. вирусов,
причем их популяция неуклонно растет.

7. Примеры вирусов

Anti-MIT ежегодно 1 декабря разрушает всю информацию на
жестком диске.
Tea Time мешает вводить информацию с клавиатуры с 15:10 до
15:13
One Half незаметно шифрует данные на жёстком диске. OneHalf
(“половина”), вызвал года 2–3 назад настоящую эпидемию.
Незаметно для пользователя он постепенно зашифровывал
содержимое жёсткого диска, попутно вызывая некоторые
побочные эффекты типа участившихся зависаний Windows, а
при определенных условиях вирус мог “забыть” ключ к этому
шифру.
В 1989 году американский студент сумел создать вирус, который
вывел из строя около 6000 компьютеров Министерства обороны
США.

8. Примеры вирусов

В Великобритании Кристоферу Пайну удалось создать вирусы
Pathogen и Queeq, а также вирус Smeg - самый опасный, его можно было
накладывать на первые 2 вируса, и из-за этого после каждого прогона
программы они меняли конфигурацию, поэтому их было невозможно
уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные
игры и программы, заразил их, а затем отправил обратно в сеть.
Пользователи загружали в свои компьютеры зараженные программы и
инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился
занести вирусы и в программу, которая с ними борется. Запустив её,
пользователи вместо уничтожения вирусов получали еще один. В результате
этого были уничтожены файлы множества фирм, убытки составили
миллионы фунтов стерлингов.
Широкую известность получил американский программист Моррис. Он
известен как создатель вируса, который в ноябре 1988 года заразил порядка 7
тысяч персональных компьютеров, подключенных к Internet.
«Чёрная пятница» - форматирует жесткий диск в пятницу 13-го числа
любого месяца.

9. Страшилки о вирусах

Летом 1998 г. из Юго–Восточной Азии
пришел вирус Win95.CIH, вызвавший в
Европе серьезную эпидемию. Вирус
разрушал BIOS, после чего из строя
выходила системная плата компьютера. В
большинстве современных компьютеров
flash–BIOS сделан перезаписываемым,
чем и воспользовались авторы вируса. В
процессе его работы вместо BIOS
записывается произвольный мусор,
причем так, что многие системные платы
уже не поддаются восстановлению.
К чести отечественных вирусологов нельзя
не отметить, что именно они первыми
сумели побороть эту заразу —
специалисты компании “Лаборатория
Касперского” нашли способ лечения
вируса практически сразу после его
появления.

10. Страшилки о вирусах

Вирус на 3 дня (с 2 по 4 ноября 1988 г.) вывел из строя фактически
всю компьютерную сеть США. Были парализованы
компьютеры Агентства национальной безопасности,
Стратегического командования ВВС США, локальные сети всех
крупных университетов и исследовательских центров. Лишь в
последний момент удалось спасти систему управления полётом
космических кораблей Шаттл. Положение было настолько
серьезным, что к расследованию немедленно приступило ФБР.
Виновником катастрофы, причинившей ущерб более чем в 100
миллионов долларов, оказался студент выпускного курса
Корнеллского университета Р. Моррис, придумавший
достаточно хитрую разновидность вируса. Он был исключен из
университета с правом восстановления через год и приговорен
судом к уплате штрафа в 270 тысяч долларов и трём месяцам
тюремного заключения.

11. влияние Компьютерных вирусов на здоровье

Плавающие линии,
плавающая четкость,
инфразвуки,
ультразвуки,
«двадцать пятый
кадр»,
стресс от потери
информации...

12. Принцип работы вируса

Вирус существует не в виде отдельного файла, тогда бы он легко был
обнаружен, а в виде дополнительного модуля в исполняемой
программе. При запуске этой программы вирус обычно попадает в
оперативную память и остаётся там (становится резидентом).
Когда другая программа загружается в ОЗУ, вирус заражает её, т.е.
присоединяет к ней копию своего кода.
Когда такая заражённая программа начинает работу, то сначала
управление получает вирус.
Вирус находит и "заражает" другие программы, а также выполняет какиенибудь вредные действия (например, портит файлы или таблицу
размещения файлов на диске, "засоряет" оперативную память и т.
д.).
После того как вирус выполнит нужные ему действия, он передает
управление той программе, в которой он находится, и она работает
также, как обычно.
Тем самым внешне работа зараженной программы выглядит так же, как и
незараженной.

13. этапы развития вируса

заражение – вирус, попадая на компьютер, записывает сам себя в файл,
содержащий какую-либо программу. Программа, внутри которой
находится вирус, в этом случае становится зараженной. Обычно вирус
сначала поступает в оперативную память работающего компьютера,
откуда он копируется на запоминающие устройства.
размножение - его действия пока не активизированы. Когда зараженная
программа начинает работу, то сначала управление перехватывает
вирус. Затем он выявляет и «заражает» другие программные файлы.
После того как вирус выполнит нужные ему действия, он передает
управление той программе, в которой он находится, и она работает как
обычно. Таким образом, внешне работа зараженной программы
выглядит так же, как и незараженной программы.
нападение – выполняются вредные действия, заложенные его автором.
Механизм вирусной атаки может запускаться после заражения
определенного количества файлов, по системным часам в
определенную дату, по командам из удаленного центра управления,
если компьютер работает в сети.

14. Каналы распространения

Дискеты
Самый распространённый канал заражения в 1980-90 годы. Сейчас
практически отсутствует из-за появления более распространённых и
эффективных каналов и отсутствия флоппи-дисководов.
Флеш-накопители (флешки)
Большое количество вирусов распространяется через съёмные
накопители, включая цифровые фотоаппараты, цифровые
видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны.
Использование этого канала обусловлено возможностью создания на
накопителе специального файла autorun.inf, в котором можно указать
программу, запускаемую Проводником Windows при открытии такого
накопителя.
Флешки — основной источник заражения для компьютеров, не
подключённых к сети Интернет.

15. Каналы распространения

Электронная почта
Сейчас один из основных каналов распространения вирусов. Обычно
вирусы в письмах электронной почты маскируются под безобидные
вложения: картинки, документы, музыку, ссылки на сайты.
Системы обмена мгновенными сообщениями
Так же распространена рассылка ссылок на якобы фото, музыку либо
программы, в действительности являющиеся вирусами, по ICQ и
через другие программы мгновенного обмена сообщениями.
Веб-страницы
Возможно также заражение через страницы Интернет ввиду наличия на
страницах всемирной паутины различного «активного» содержимого:
скриптов, ActiveX-компоненты, Java-апплетов.
Интернет и локальные сети (черви)
Черви — вид вирусов, которые проникают на компьютер-жертву без
участия пользователя. Черви используют так называемые «дыры»
(уязвимости) в программном обеспечении операционных систем,
чтобы проникнуть на компьютер.

16. Классифицировать вирусы можно по признакам:

1. по среде обитания;
2. по способу заражения среды обитания;
3. по степени воздействия
(по деструктивным возможностям);
4. по особенностям алгоритма.
Эта классификация предложена одним из
авторитетнейших «вирусологов» страны
Евгением Касперским.

17. Виды вирусов по среде обитания

1. Системные вирусы проникают в системные модули и
драйверы периферийных устройств, таблицы
размещения файлов и таблицы разделов;
2. Сетевые вирусы – распространяются по
компьютерным сетям;
3. Файловые вирусы – внедряются в исполнимые файлы
с расширениями COM или EXE;
4. Загрузочные вирусы – внедряются в загрузочный
сектор диска (Boot-сектор) или в сектор, содержащий
программу загрузки системного диска;
5. Файлово-загрузочные вирусы – заражают файлы и
загрузочные сектора дисков.

18. Сетевые вирусы (черви)

Распространяются по компьютерной сети и заражают при получении
файлов с серверов файловых архивов. Используют для своего
распространения электронную почту и Всемирную паутину.
Большинство известных червей распространяется в виде файлов:
вложение в электронное письмо, ссылка на зараженный файл на
каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях и т. д.
Заражение компьютера происходит после открытия вложенного
файла.
Лавинообразная цепная реакция распространения вируса базируется на
том, что вирус после заражения компьютера начинает рассылать себя
по всем адресам электронной почты, которые имеются в адресной
книге пользователя. Кроме того, может происходить заражение и по
локальной сети, так как червь перебирает все локальные диски и
сетевые диски с правом доступа и копируется туда под случайным
именем.
Профилактическая защита от интернет-червей состоит в том, что не
рекомендуется открывать вложенные в почтовые сообщения файлы,
полученные из сомнительных источников.

19. Троянские программы

или «Троянские кони» и просто «троянцы» - это вредоносные программы,
которые сами не размножаются. Подобно знаменитому Троянскому коню из
«Илиады» Гомера, программа-троянец выдает себя за что-то полезное. Чаще всего
маскируется под новую версию бесплатной утилиты, популярную программу или
игру. Так «троянец» пытается заинтересовать пользователя и побудить его
установить себя на компьютер.
По выполняемым вредоносным действиям можно разделить на виды:
• утилиты несанкционированного удаленного администрирования (позволяют
злоумышленнику удаленно управлять зараженным компьютером);
• утилиты для проведения DDoS-атак (типа отказ в обслуживании);
• шпионские и рекламные программы, а также программы дозвона;
• серверы рассылки спама;
• многокомпонентные «троянцы»-загрузчики (переписывают из Интернета и
внедряют в систему другие вредоносные коды или вредоносные дополнительные
компоненты).
На практике часто встречаются программы-"троянцы", относящиеся сразу к
нескольким видам.

20. Файловый вирус

Поражает исполняемые
файлы, к которым
относятся файлы с
расширениями .exe и
.com, .dll и активизируется
при их запуске. Находятся
при этом в оперативной
памяти и могут заражать
другие файлы до
выключения компьютера.

21. Загрузочный вирус

Поражает загрузочный сектор жесткого диска (Boot-сектор) и
передается с компьютера на компьютер через зараженную
дискету, если ее забыли вынуть из дисковода незараженного
компьютера и перезагрузили этот компьютер. Сегодня
загрузочные вирусы встречаются редко.
Они подставляют свой код вместо программы, которая должна
получать управление при запуске системы и зачастую
переносят boot-сектор в другую область носителя. Таким
образом, после перезагрузки системы управление передается
вирусу.
Профилактическая защита от таких вирусов состоит в отказе от
загрузки операционной системы с гибких дисков и установке в
BIOS вашего компьютера защиты загрузочного сектора от
изменений.

22. Файлово-загрузочные вирусы

Передаваться могут через дискеты и отдельные файлы.
«Логические бомбы» добавляется к полезной программе и
«дремлет» в ней до определенного часа. Когда же показания
часов данного компьютера станут равными установленному
программистом значению или превысят их, производится какоелибо разрушающее действие, например, форматирование
винчестера. Это один из распространенных вариантов мести
обиженных программистов своему руководству.
Программы-вандалы - даётся название, такое же, как у полезной
программы, и размещается в качестве «обновленной версии».
Ничего не подозревающий пользователь скачивает её и
запускает, в результате лишается всей информации на жестком
диске или производится какой-то другой вред,
предусмотренный разработчиком вируса.

23. Макро-вирусы

Заражают файлы документов Word и электронных таблиц Excel. После
загрузки зараженного документа в приложение макро-вирусы
присутствуют в памяти компьютера и могут заражать другие
документы. Угроза заражения прекращается после закрытия
приложения.
MS Word и Excel сейчас развились до такого уровня, что позволяют не
только заниматься обработкой текстов или электронных таблиц, но и
создавать с помощью встроенных средств весьма сложные
программы, в том числе вирусы.
Макровирусы являются макрокомандами (макросами), которые
встраиваются в документ.
Профилактическая защита от макровирусов состоит в предотвращении
запуска вируса. При открытии документа в приложениях Word и Excel
сообщается о присутствии в них макросов (потенциальных вирусов) и
предлагается запретить их загрузку. Выбор запрета на загрузку
макросов надежно защитит ваш компьютер от заражения
макровирусами, однако отключит и полезные макросы, содержащиеся
в документе.

24. Виды вирусов по способу заражения среды обитания

Резидентные – при заражении оставляют в оперативной
памяти свою резидентную часть, которая потом
перехватывает обращение операционной системы к
объектам заражения и внедряется в них. Они активны
до выключения или перезагрузки компьютера.
Резидентными можно считать макровирусы, поскольку
они постоянно присутствуют в памяти компьютера на
все время работы зараженного редактора. При этом роль
операционной системы берет на себя редактор, а
понятие «перезагрузка операционной системы»
трактуется как выход из редактора. Поэтому при
лечении требуется бывает перезагрузка.
Нерезидентные – не заражают память компьютера и
являются активными ограниченное время.

25. Виды вирусов по степени воздействия

безвредные – не оказывают разрушительного влияния на
работу ПК, но из-за них сокращается свободное
пространство на диске и переполняется оперативная
память в результате их размножения.
неопасные - не мешают работе, их влияние ограничивается
уменьшением свободной памяти на диске в результате
своего распространения, графическими, звуковыми и
прочими эффектами;
опасные вирусы, которые могут привести к серьезным
сбоям в работе компьютера;
очень опасные или разрушительные - приводят к потере
программ, нарушению их работы, уничтожению данных,
форматированию винчестера (например, OneHalf).

26. Виды вирусов по степени воздействия

Но даже если в алгоритме вируса
не найдено ветвей, наносящих
ущерб системе, этот вирус нельзя с
полной уверенностью назвать
безвредным, так как проникновение
его в компьютер может вызвать
непредсказуемые и порой
катастрофические последствия.
Ведь вирус, как и всякая программа,
имеет ошибки, в результате которых
могут быть испорчены как файлы,
так и сектора дисков. До сих пор
попадаются вирусы, определяющие
«COM или EXE» не по внутреннему
формату файла, а по его
расширению. Естественно, что при
несовпадении формата и
расширения имени файл после
заражения оказывается
неработоспособным.

27. Виды вирусов по особенностям алгоритма

Простейшие вирусы – не изменяют содержимое файлов, могут
быть легко обнаружены и уничтожены. Примеры: звук и
видеоизображения, перемещение файлов, изменяют содержание
файлов.
Черви – распространяются по компьютерным сетям, вычисляют
адреса сетевых компьютеров и рассылают свои копии по этим
адресам.
Вирусы-невидимки – трудно обнаружить и обезвредить,
подставляют вместо своего тела незараженные участки диска.
Вирусы-мутанты – содержат алгоритмы шифровки/расшифровки,
благодаря которым не имеют ни одной повторяющейся цепочки
байтов, их наиболее трудно обнаружить.
Трояны – маскируются под полезную программу, разрушают
загрузочный сектор и файловую систему.

28. Шпионская программа

Это программа, установленная или проникшая на компьютер без согласия его
владельца, с целью получения практически полного доступа к компьютеру,
сбора и отслеживания личной или конфиденциальной информации.
Проникают на компьютер при помощи сетевых червей, троянских программ или
под видом рекламы.
Разновидности шпионских программ:
Фишинг - это почтовая рассылка, имеющая своей целью получение
конфиденциальной финансовой информации. Такое письмо, как правило,
содержит ссылку на сайт, являющейся точной копией интернет-банка или
другого финансового учреждения.
Фарминг – это замаскированная форма фишинга, заключающаяся в том, что при
попытке зайти на официальный сайт интернет банка или коммерческой
организации, пользователь автоматически перенаправляется на ложный сайт,
который очень трудно отличить от официального сайта. Основной целью
злоумышленников, использующих Фарминг, является завладение личной
финансовой информацией пользователя. Отличие заключается только в том,
что вместо электронной почты мошенники используют более изощренные
методы направления пользователя на фальшивый сайт.

29. Правила защиты от вирусов

Регулярно тестировать компьютер на наличие
вирусов с помощью антивирусных программ,
регулярно обновлять антивирусные программы,
перед считыванием информации с носителей
проверять их на наличие вирусов
делать архивные копии ценной для вас информации
не использовать программы, поведение которых
непонятно
пользоваться лицензионным программным
обеспечением.

30. Антивирусные программы

Позволяют произвести
обнаружение, защиту,
удаление компьютерных
вирусов.

31. Виды антивирусных программ:

программы-детекторы
программы-доктора
или фаги
программы-ревизоры
программы-фильтры
программы-вакцины
или иммунизаторы.

32. Программы-детекторы

Эти программы «знают» отдельные части
вирусов и, сравнивая с ними всё, что проходит
через память компьютера, выявляют
«нежданных гостей».
Недостатком таких антивирусных программ
является то, что они могут находить только те
вирусы, которые известны разработчикам
таких программ, проверяют только на наличие
вирусов.
Одной из таких программ является AVP
Касперского.

33. Программы-доктора или фаги

Находят зараженные вирусами файлы и «лечат» их, т.е. удаляют из
файла тело программы-вируса, возвращая файлы в исходное
состояние.
В начале своей работы фаги ищут вирусы в оперативной памяти,
уничтожая их, и только затем переходят к «лечению» файлов.
Среди фагов выделяют полифаги, т.е. программы-доктора,
предназначенные для поиска и уничтожения большого
количества вирусов. Наиболее известные из них: Norton
AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программыдетекторы и программы-доктора быстро устаревают, и требуется
регулярное обновление версий.

34. Программы-ревизоры

запоминают исходное состояние программ,
каталогов и системных областей диска тогда, когда
компьютер не заражен вирусом, а затем
периодически или по желанию пользователя
сравнивают текущее состояние с исходным.
Обнаруженные изменения выводятся на экран
монитора. Как правило, сравнение состояний
производят сразу после загрузки операционной
системы. При сравнении проверяются длина файла,
код циклического контроля (контрольная сумма
файла), дата и время модификации, другие
параметры, которые сохраняются в базе данных
антивируса.

35. Программы-фильтры или «сторожа»

это резидентные программы для обнаружения подозрительных действий вирусов:
попытки коррекции файлов с расширениями COM, EXE
изменение атрибутов файла
прямая запись на диск по абсолютному адресу
запись в загрузочные сектора диска
загрузка резидентной программы
При попытке какой-либо программы произвести указанные действия «сторож»
посылает пользователю сообщение и предлагает запретить или разрешить
соответствующее действие. Способны обнаружить вирус на самой ранней стадии
его существования до размножения. Однако, они не «лечат» файлы и диски. Для
уничтожения вирусов требуется применить другие программы, например фаги. К
недостаткам программ-сторожей можно отнести их «назойливость» (например,
они постоянно выдают предупреждение о любой попытке копирования
исполняемого файла), а также возможные конфликты с другим программным
обеспечением.

36. Вакцины или иммунизаторы

это резидентные программы,
предотвращающие
заражение файлов.
Вакцины применяют, если
отсутствуют программыдоктора, «лечащие» этот
вирус. Вакцинация возможна
только от известных
вирусов. Вакцина изменяет
программу так, чтобы это не
отражалось на их работе, а
вирус считал их
зараженными и не трогал.
Лечат от одного вируса.
Программы-вакцины имеют
ограниченное применение.

37. Полифаги

Принцип работы основан на проверке файлов,
секторов дисков, оперативной памяти и
поиске в них известных и новых вирусов.
Могут обеспечить проверку файлов в процессе
их загрузки в оперативную память.
Достоинство полифагов - универсальность.
Недостаток - небольшая скорость поиска
вирусов.
Примеры: AntViral Toolkit Pro, AVP Monitor.

38. Блокировщики

Это программы перехватывающие
«вирусоопасные» ситуации
(например, запись в загрузочный спектр
дисков).
Достоинство - способность обнаруживать и
останавливать вирус на самой ранней
стадии его размножения.

39.

Antivirial
Tolking Pro
Одна из самых популярных в России программ. Выпускает
этот программный продукт российская вирусная лаборатория
Касперского. ЗАО «Лаборатория Касперского» была основана
в 1997 г. AVP является одним из лидеров на российском
рынке антивирусных программ , относится к классу
детекторов - докторов, имеет "эвристический анализ".

40. В состав Kaspersky AntiVirus Personal Pro входят:

AVP Сканер имеет удобный пользовательский интерфейс, большое
количество настроек, выбираемых пользователем, а также одну
из самых больших в мире антивирусных баз, что гарантирует
надежную защиту от огромного числа самых разнообразных
вирусов: полиморфных или самошифрующихся вирусов; стелсвирусов или вирусов-невидимок; макро вирусов, заражающих
документы Word и таблицы Excel. AVP Сканер проверяет на
наличие вирусов оперативную память, файлы, включая архивные
и упакованные, системные сектора, содержащие Master Boot
Record, загрузочный сектор (Boot-сектор) и таблицу разбиения
диска (Partition Table).
AVP Монитор – резидентный модуль, находящийся постоянно в
оперативной памяти компьютера и отслеживающий все
файловые операции в системе. Позволяет обнаружить и удалить
вирус до момента реального заражения системы в целом.
AVP Центр управления обеспечивает удобный пользовательский
интерфейс, создание, сохранение и загрузку большого
количества различных настроек, механизм проверки
целостности антивирусной системы, мощную систему помощи.

41.

Dr.Web относится к классу детекторов-докторов, имеет
"эвристический анализатор" - алгоритм, позволяющий
обнаруживать неизвестные вирусы.
«Лечебная паутина», как переводится с английского название
программы, стала ответом отечественных программистов на
нашествие самомодифицирующихся вирусов-мутантов, которые
при размножении модифицируют свое тело так, что не остается
ни одной характерной цепочки байт, присутствовавшей в
исходной версии вируса.

42.

Популярный американский антивирус. Выпускается подразделением
компании Simantec. Мониторинг работы Windows начиная с загрузки и до
выключения компьютера. Ежемесячно выходят обновления. Norton Antivirus
- обладатель самой большой базы данных вирусов, из-под ее контроля не
уйдет ни один запущенный на компьютере процесс. После установки Norton
Antivirus (например, в составе комплекта Norton System Works) о ней можно
вообще забыть — она сама проконтролирует всё, что нужно.