Лекция 7. КОМПЮТЪРНИ ВИРУСИ PDF

Summary

Тази презентация обхваща основни теми за компютърните вируси, включително тяхното възникване, видове, методи за защита и характерните симптоми на заразени системи. Представен е обзор на антивирусните програми, илюстрирайкйки техните функционалности.

Full Transcript

КОМПЮТЪРНИ ВИРУСИ
И ЗАЩИТА ОТ ТЯХ
Възникване и същност на компютърните вируси
Видове вируси
Предотвратяване, откриване и възстановяване от
атаки с вируси
Възможности на някои от
най-известните антивирусни програми
 1. Възникване и същност на компютърните вируси

Компютърните вируси се появяват през 80-те
години, заедно с появата на първите персонални
компютри. Първоначално те се създават от
любопитство или с цел забавление, за доказване
на знания и възможности от страна на някои
програмисти. Скоро след това създателите на
вируси залагат в тях впечатляващи възможности
за унищожаване на информация и
разпространение.
 Компютърните вируси са наречени така,
защото притежават някои от характеристиките на
биологичните. Компютърният вирус се предава
от компютър на компютър също както
биологичният се предава от човек на човек. Както
биологичният вирус използва клетката, за да се
възпроизвежда, така компютърният използва
изпълнима програма, за да се самокопира.
 Същност на компютърните вируси
По дефиниция, компютърният вирус е
малка програма, създадена за забавление, за
предизвикване на дразнещи ефекти, но най-
вече за унищожаване, модифициране или
копиране на информация, за повреда или
блокиране на компютърните системи, която се
размножава чрез самокопиране в други
програми или файлове.

Вирусът може да зарази не само
изпълнима програма, но и електронна таблица
или текстов документ (това са т. нар.
макровируси). Всеки път когато се изпълнява
програмата (или се отваря таблицата,
документът) вирусът се активира..
 Не е задължително вирусите да започнат
да действат веднага след заразяването на
системата.

Те могат да стоят скрити известно време и
да се активират на определена дата (например
вирусът “Чернобил”, създаден в края на 90-те
години, се активира ежегодно на 26 април).
Система, в която съществува дори и неактивен
вирус, е заразена.
 2. ВИДОВЕ ВИРУСИ
СПОРЕД НОСИТЕЛИТЕ, ВИРУСИТЕ могат да се
класифицират като разпространявани чрез:

ВЪНШНИ НОСИТЕЛИ. При използване на
заразени такива носители вирусът се пренася
(заразява файлове) на твърдия диск. Някои
вируси заразяват зареждащият (boot) сектор на
диска;
ФАЙЛОВЕ, СВАЛЕНИ ОТ ИНТЕРНЕТ. Хиляди
сайтове предлагат сваляне на freeware,
shareware, игри, помощни инструменти и др.
Повечето сайтове уверяват, че предлаганата от
тях информация не е заразена, но винаги има
вероятност това да не се окаже така;
E-mail ИЛИ ФАЙЛОВЕ, ПРИКАЧЕНИ КЪМ
Е-mail. E-mail съобщенията са също среда
за разпространение на вируси от
Интернет. Дори само отварянето на
заразено писмо (най-често от непознат
подател и с интригуващ Subject) може да
доведе до заразяване на целия компютър.
В други случаи документ, заразен с вирус,
е изпратен по e-mail като прикачен файл.
 2. ВИДОВЕ ВИРУСИ
СПОРЕД ЧАСТТА ОТ ДИСКОВИТЕ НОСИТЕЛИ,
КОЯТО АТАКУВАТ, вирусите биват:

СТАРТОВО-СЕКТОРНИ ВИРУСИ (или boot
вируси). Разпространяват се главно чрез
заразена стартиращ диск (DVD), поставен
по невнимание в устройството и
последвало рестартиране на системата от
негo. Вирусът се прочита от заразения
стартов сектор и се записва в стартовия
сектор на системния твърд диск, след
което заразява други устройства;
 ФАЙЛОВИ ВИРУСИ. Наречени още
програмни вируси, когато заразяват
изпълними файлове (с
разширения.EXE,.COM и.DLL), или макро
вируси (вирусът е написан като макрос на
Visual Basic), когато заразяват документни
файлове на приложения – например Word
документи, Excel таблици или файлове-
шаблони на същите тези приложения.
 2. ВИДОВЕ ВИРУСИ
КЛАСИФИКАЦИЯ на ВИРУСИТЕ в зависимост от
поведението им и областта от компютъра,
която атакуват
СКРИПТОВИ ВИРУСИ. Заразяват
приложения, написани на скриптови езици като
JavaScript и Visual Basic Script;
ПАРАЗИТНИ ВИРУСИ. Заразяват
изпълнимите файлове. При стартиране на заразена
програма, първо се активира паразитният вирус.
За да скрие присъствието си, вирусът стартира
оригиналната програма, към която е прикачен.
Докато операционната система разбере, че в
паметта има вирус, той получава същите права
като тези на програмата и успява да се
самокопира, да се инсталира в паметта и да
унищожава файлове и други приложения;
 2. ВИДОВЕ ВИРУСИ
ПОТАЙНИ ВИРУСИ. Те са вид
стартово-секторни вируси, които заразяват
файловете и началния (boot) запис на
диска. Наблюдават системните функции,
използвани от програмите, за да четат
файлове или физически блокове от диска и
да променят резултатите от тези функции
така, че програмите, които се опитват да
четат от тези области, виждат
оригиналната не заразена форма на
файловете, вместо действителната
инфектирана форма. Щетите (промените),
причинени от вируса, често не се откриват
от антивирусните програми;
 ПОЛИМОРФНИ ВИРУСИ. Създават
различни и напълно работоспособни свои
копия с надеждата, че скенерите за
вируси няма да могат да засекат
всичките им копия. Тези вируси се
маскират като променят вида си с всяко
заразяване.
 2. ВИДОВЕ ВИРУСИ
Най-често представата ни за злонамерен
софтуер се отъждествява с понятието
вирус. Но такива са още троянските коне и
червеите. Когато се цитират примери за
вируси, трите термина са взаимозаменяеми.

►ВИРУСЪТ е малка програма, която
инфектира компютрите, като се
самокопира и прикачва към различни
файлове.
ТРОЯНСКИЯТ КОН е деструктивна програма,
която се маскира като полезна или
доброкачествена. Основната цел на такава
програма е да събира информация от
компютъра. За разлика от вирусите, троянските
коне не се самокопират. Те се появяват основно
като игри или действителни програми, затова
потребителите ги инсталират, мислейки за
легитимни. Троянски коне могат бъдат скрити
във всеки софтуер. Пример за троянски кон е
програма, която се маскира като екран за вход в
системата и взема паролата на потребителя,
когато той я напише.
 2. ВИДОВЕ ВИРУСИ

ЧЕРВЕИТЕ са програми, които се
самокопират от компютър на компютър,
но не заразяват други програми.
Основната вреда, която причиняват, е
отнемане от процесорното време и
загубени от операторите часове в опити да
ги отстранят от системата. Червеите
съществуват главно в документи. Разликата
между вирусите и червеите е и в начина, по
който използват файла-приемник.
 Червеите обикновено пускат документа,
към който са прикачени, да пътува от
компютър на компютър по мрежата. Това
означава, че ако към документ има прикачен
червей, целият документ трябва да се смята
за червей. Например Code Red е един от най-
разрушителните червеи, атакували Microsoft
Internet Information Servers (IIS) по целия
свят. Той обезобразява Web сайтовете със
съобщението "Хакнати от китайци" и се е
разпространил в обезпокоителни размери –
90000 компютъра с пуснати IIS са били
заразени за около 4 часа.
 Мерки за защита от вируси...:
► инсталиране на сигурна операционна
система;

► избягване на свалянето на софтуер и
други материали от непознати източници
в Интернет директно на твърдия диск;

► избягване използването на пиратски и
нелегален софтуер, поради
възможността да съдържа вируси;
 Мерки за защита от вируси...:
► да не се отварят e-mail съобщения и прикачени
към тях файлове, ако подателят не ви е
познат;
► при прехвърляне на информация чрез флаш и
дискове от един компютър на друг, тези
носители да се сканират с антивирусна
програма преди копирането на каквито и да
било данни от тях;
► с цел намаляване на пораженията от
заразяване с вируси, да се правят редовно
backup файлове (копия) на най-важните
файлове, които да се съхраняват на външен
носител. Тази мярка се препоръчва и като
защита от аварии, пожар, взлом, природни
бедствия и др.;
 Мерки за защита от вируси...:
► изграждането и конфигурирането на
компютърните мрежи да бъде такова, че
достъп до мрежовите ресурси да имат
само упълномощени потребители;

► организациите да осигуряват специални
машини, чиято единствена цел да е
тестването на нов софтуер, файлове или
дискове. Файловете, споделяни по
мрежата, да се сканират първо на тези
машини преди някой да получи достъп до
тях;
 Мерки за защита от вируси
► да се блокира преносът на изпълними
файлове от и до външни източници;

► при възможност да се използват и
компютри без дискове, които имат само
твърд диск. Така се предотвратява
преминаването на вирус в мрежата чрез
използване на заразени преносими
памети.
 Характерни симптоми
на заразените с вируси компютри:
►мрежата се забавя, данните често се
блокират;

► компютърът работи по-бавно или дори
спира да действа;

► възникват необикновен брой програмни
грешки или грешки в паметта;

► промяна атрибутите на файл (дата,
време, големина) след последното му
отваряне;
►необяснимазагуба или модификация на
информация;

► твърдият диск на компютъра изглежда пълен, а
има достатъчно свободно място;

► нетипично поведение на устройствата –
дисковите, екрана, клавиатурата, мишката и др.;

► отварянето или изпълнението на приложения
отнема повече време от обичайното;

► поява на непознати типове файлове в системата
и др.
 4. Възможности на някои от най-известните
АНТИВИРУСНИ ПРОГРАМИ
В Интернет се предлага голямо разнообразие
антивирусни средства (виж www.cnet.com).
С най-големи възможности, с гарантирана
поддръжка и обновяване и с най-широко
приложение са продуктите:

1) McAfee VirusScan. Продуктът има
инсталации за всички версии на
операционните системи DOS и WINDOWS. Той
сканира цялата системна област,
включително локални и мрежови устройства:
компактдискове, флопи дискове, сектори за
първоначално зареждане (boot), таблици за
разположения на файловете (FAT) и на
раздели (partition table), файлове (вкл.
компресирани);
 4. Възможности на някои от най-известните
АНТИВИРУСНИ ПРОГРАМИ

2) Norton Antivirus. Версии за DOS и
WINDOWS. Възможности за
демонстративно и за временно свободно
ползване. Автоматично предпазва
компютърните системи от вируси и
злонамерени ActiveX и Java аплети в
активен и в пасивен режим, позволява
изолиране на инфектираните файлове.
Когато работи във фонов режим
програмата предпазва от вируси,
разпространявани чрез дискови носители,
Интернет или прикачени към електронна
поща.
 Наблюдава в реално време
потенциални източници на инфекции.
Може да обновява базата си данни с
вирусни определения от фирмата-
производител (Symantec) ежеседмично.
Допуска определянето на сканиращи
политики за постъпващи и изходящи
файлове независимо от типовете им.
Позволява сканиране на компресирани и
криптирани файлове. Предлагат се
отделни продукти за сканиране на
сървъри;
 4. Възможности на някои от най-известните
АНТИВИРУСНИ ПРОГРАМИ
3) Panda AntiVirus. В два варианта
Platinium и Profesional. Platinium работи
във фонов режим и премахва вируси от
настолните системи и TCP/IP (Winsock)
нивото, т. е. открива и дезинфекцира
вируси още преди да са се добрали до
твърдия диск. Предпазва от над 21000
различни вируси от всички разгледани по-
горе видове, а също от ActiveX и Java
аплети, от опасни места в Интернет и от
бъдещи непознати вируси.
Включва и един защитен резидент за
електронна поща и Интернет, който сканира
трафика в реално време. Програмата има
уникален SOS сервиз, който претендира, че
ще реши всеки проблем с непознат вирус за
неповече от 24 часа. Profesional сканира
всички видове файлове, включително и
компресирани. Притежава евристичен
сканиращ механизъм за откриване на нови
вируси, които все още не се разпознават от
стандартните сканиращи програми ;
 4. Възможности на някои от най-известните
АНТИВИРУСНИ ПРОГРАМИ

4) Command AntiVirus.
Осигурява сигурна защита на потребителите
от всички видове вируси, на много нива.
Използва водещ вирусен откривател и
премахваща технология на сканиращата
машина Command F-Prot, сертифицирана от
ICSA. Осигурява редовна корекция и
обновяване на библиотеката с най-
последните вирусни низове.

И други...