Реферат що таке віруси!

Чому їх треба боятися?

Вірус може потрапити в файли трьох типів: командні файли (файли з розширенням ВАТ), що завантажуються драйвери (файли з розширенням SYS або BIN в тому числі IO.SYS MSDOS.SYS) і виконувані двійкові файли (файли з розширенням ЕХЕ, СОМ). Можливо впровадження вірусу в файли даних, але ці випадки виникають або в результаті помилки вірусу, або при прояві вірусу своїх агресивних властивостей. Звичайно, можливе існування вірусів, що заражають файли, які містять вихідні тексти програм, бібліотечні або об'єктні модулі, але подібні способи поширення вірусу занадто екзотичні.

Завантажувальні (бутові) віруси заражають завантажувальний (ВООТ) сектор флоппі-диска і ВООТ-сектор або Мaster-Boot сектор (MBR) вінчестера. При інфікуванні диска вірус в більшості випадків переносить оригінальний Boot-Sector (або MBR) в будь-яку іншу сектор диска (наприклад, в перший вільний). Якщо довжина вірусу більше довжини сектора, то в заражає сектор поміщається перша частина вірусу, інші частини поміщаються в інших секторах (наприклад, в перших вільних). Потім вірус копіює системну інформацію, що зберігається в первісному завантажувач в свої коди і записує їх в завантажувальний сектор (для MBR цією інформацією є Disk Partition Table, для Boot-сектора дискет _ BIOS Parametr block.)

Поліморфні віруси або віруси- "примари". Досить важко виявляються віруси, які не мають постійних сигнатур (масок), тобто що не містять жодного постійної ділянки коду. У більшості випадків два зразки того ж вірусу-примари не матимуть жодного збігу.

Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.

Дії проти вірусу в зараженому комп'ютері.

Якщо AVP видав повідомлення про підозру на зараження будь-якого об'єкта вірусом, то зробіть наступне:

скопіюйте підозрілі файли на дискету звичайним способом, якщо підозра видано на будь-які файли;

скопіюйте системні сектори, що містять Boot-сектор (завантажувальний сектор), Master Boot Record (головний завантажувальний запис), Partition Table (таблицю розбиття диска), за допомогою спеціальних програм (наприклад Norton Disk Edit), якщо підозра видано на системні сектора;

будь-яким чином доставте підозрілі об'єкти дистриб'юторам (дилерам), у яких Ви придбали AVP, або безпосередньо в Лабораторію Касперського.

Резидентний вірус при зараженні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення системи до об'єктів зараження (файли і завантажувальні сектора) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера (в іншому деякі віруси можуть "пережити" перезавантаження). Нерезидентні віруси не заражають оперативну пам'ять комп'ютера і є активними обмежений час. Деякі віруси залишають в пам'яті невеликі резидентні програми, що не поширюють вірус. Такі віруси вважаються нерезидентними.

За особливостями алгоритму можна виділити наступні групи вірусів:

Віруси-супутники - це віруси, що не змінюють файли. Алгоритм роботи цих вірусів полягає в тому, що вони створюють для ЕХЕ файлів файли-супутники, що мають таке ж ім'я, але з розширенням СОМ. Вірус записується в СОМ файл і ніяк не змінює ЕХЕ файл. При запуску такого файлу DOS першим виявить і виконає СОМ файл тобто вірус, який потім запустить і ЕХЕ файл.

Паразитичні - всі віруси, які при поширенні своїх копій обов'язково змінюють вміст дискових секторів або файлів. У цю групу потрапляють всі віруси, які не є хробаками або супутниками.

Студентські - украй примітивні, часто вже не резидентні і містять велику кількість помилок.

Стелс-віруси (віруси-невидимки), що представляють собою досить досконалі програми, які перехоплюють звернення ДОС до заражених файлів або до секторів і підставляють замість себе не заражені ділянки інформації.

Віруси-примари (поліморфні) досить важко виявляються віруси, які не мають постійних сигнатур (масок), тобто що не містять жодного постійної ділянки коду. У більшості випадків два зразки того ж вірусу-примари не матимуть жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.

Оскільки невідомі випадки інфікування IBM-сумісних комп'ютерів мережевими "хробаками", а віруси- "супутники" мають, як правило, дуже простий алгоритм і становлять менше 0.5 відсотка від відомих вірусів, то розглядаються тільки віруси, що відносяться до "паразитичним".

Симптоми наявності вірусу.

Основні симптоми вірусного ураження наступні:

Уповільнення роботи деяких програм.

Збільшення розмірів файлів (особливо виконуваних).

Поява не існували раніше дивних файлів.

Зменшення обсягу доступної оперативної пам'яті (у порівнянні зі звичайним режимом роботи).

Запобігання і спосіб лікування від вірусів.

Якщо Ваш комп'ютер ще не заражений KakWorm'ом (тобто Ви не відчиняли заражене лист) то щоб позбутися від хробака треба зробити наступне:

тимчасово деактивувати AVP Монітор;

запустити поштову програму;

видалити заражене повідомлення з усіх папок (не відкриваючи його);

стиснути все папки;

активувати AVP Монітор.

Якщо Ваш комп'ютер вже заражений KakWorm'ом, то доведеться зробити наступне:

Видалити з гілки "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" системного реєстру ключ "cAg0u =" C: \ WINDOWS \ SYSTEM \ (name) .hta ", де" (name) "- це 8-символьне ім'я ( наприклад 68DAEF80.HTA).

Видалити наступні файли:

KAK.HTA з C: \ Windows

KAK.HTM з C: \ Windows \ System

(Name) .HTA з C: \ Windows \ System, де (name) - це 8-символьне ім'я

KAK.HTA з C: \ Windows \ Start Menu \ Programs \ Startup

Видалити підпис за замовчуванням в поштовому клієнті.

Видалити всі заражені повідомлення з усіх папок (як це описано вище).

При інсталяції черв'як I-Worm.PrettyPark копіює заражений файл в системний каталог Windows під ім'ям FILES32.VXD і реєструє його в системному реєстрі таким чином, що файл FILES32.VXD запускається при старті кожної програми. Для цього черв'як створює в системному реєстрі новий ключ, який ключ асоційований з файлом FILES32.VXD (копією хробака). Цей файл має розширення VXD, проте він є не VxD-драйвером Win95 / 98, а абсолютно нормальною програмою Windows32.

Щоб повністю позбавитися від PrettyPark треба зробити наступне:

перейменувати regedit.exe в regedit.com;

запустити regedit і встановити

"HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command" в ""% 1 "% *";

запустити AVP і пролікувати комп'ютер;

перейменувати regedit назад.

При інсталяції в систему черв'як створює в системному каталозі Windows файли SKA.EXE і SKA.DLL і зберігає файл WSOCK32.DLL з ім'ям WSOCK32.SKA і дописує сегмент свого коду в файл WSOCK32.DLL.

Видалення заражених файлів:

Необхідно видалити файли SKA.EXE і SKA.DLL з системного каталогу Windows, замінити інфікований файл WSOCK32.DLL на його незараженную копію WSOCK32.SKA. Слід також знайти і видалити початковий EXE-файл HAPPY99.EXE.

Для подальшого захисту комп'ютера від даного хробака досить усього лише встановити атрибут "тільки читання" у файлу WSOCK32.DLL. Черв'як не в змозі заразити систему в цьому випадку, оскільки він не обробляє атрибути файлів.

Якщо ви любитель нових програм, іграшок, ведете активну переписку по електронній пошті і використовуєте при цьому Word, або просто хочете слідувати вищевказаним правилам, вам необхідно використовувати антивірус. Який антивірус найкращий? Все залежить від ваших смаків і уподобань, так що вирішуйте самі. Є кілька параметрів, за якими різні антивіруси можна порівняти між собою. Судячи з власного досвіду їх використання і думкам фахівців, антивірусна програма, гідна до застосування, повинна "вміти":

створювати аварійну дискету;

сканувати завантажувальний сектор і створювати копію вихідного завантажувального сектора;

сканувати файли, включаючи архівні (.ARJ. ZIP. RAR);

сканувати оперативну пам'ять;

автоматично сканувати диск по заздалегідь заданим розкладом;

перевіряти файли при їх надходженні на комп'ютер і при звертанні до дискового чи мережного пристрою, сканувати ці пристрої в пошуках вірусів;

при перезавантаженні перевіряти, чи не залишилася в дисководі дискета, і попереджати про це користувача;

сканувати диск у фоновому режимі;

виявляти макро-віруси в документах Word і Excel;

Список не маленький, але обов'язковий. Інакше користі від такої програми не буде ніякого. Крім перерахованого вище антивірус повинен бути надійний, швидкий і зручний в роботі (відсутність "зависання" і інших технічних проблем), якісно виявляти віруси всіх поширених типів, не мати "помилкових спрацьовувань", мати можливість лікування заражених об'єктів, періодично (чим частіше, тим краще ) оновлюватися (поповнювати базу новими вірусами), бути мультиплатформенним (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS / 2, Alpha, Linux і т.д.) і мати можливість адміністрування мережі.

На сьогоднішній день існує кілька провідних антивірусних пакетів: українські Antiviral Toolkit Pro лабораторії Євгенія Касперського (www.avp.ru) і Dr. Web від "ДіалогНаука" (www.drweb.ru), а також західні McAfee Total Virus Defence від Nеtwork Associates (www.macafee.com), Norton AntiVirus від Symanteс (www.symantec.com) і деякі інші.

Тема вибору антивірусу вимагає окремої розмови, тому в наступному номері ми докладно зупинимося на останніх версіях цих продуктів, розберемо всі їхні переваги і недоліки, і навіть проведемо деякі тести. До зустрічі через місяць. Охороняйтеся і не хворійте!

Тобто йому далеко і до чемпіона Love Bug, і до призерів (вірус Code Red обійшовся світу в 2,6 млрд дол. SirCam коштував близько 1 млрд дол. А Nimda - 590 млн дол.).

Але розслаблятися, звичайно ж, не можна, адже вирусописатели не дрімають і постійно придумують щось нове і витончене.

Число онлайнових сервісів Рунета поповнилося антивірусним додатком. Компанія AV-online і портал Informer.ru оголосили про запуск спільного проекту. Тепер користувачі Мережі зможуть безкоштовно встановити на своїх сайтах інформер, за допомогою якого можлива віддалена перевірка файлів на наявність вірусів. Подивитися, як виглядає новий інформер, можна тут.

Алгоритм роботи сервісу буде наступним: файли, призначені для перевірки, за допомогою інформера завантажуються на сервер AV-online, де засобами пакета DrWeb здійснюється їх перевірка. Крім процедури перевірки, користувачі також зможуть отримати доступ до статистики файлів, які пройшли перевірку.

Власну серію інформерів запропонувала "Лабораторія Касперського". До складу цієї серії увійшли інформери, що містять новини компанії, новини проекту VirusList.com. рейтинг top10 вірусів і перелік найбільш активних вірусів дня.

український розробник систем антивірусного захисту компанія "Лабораторія Касперського" повідомила про виявлення нового Інтернет-хробака I-Worm.Updater. Уже зафіксовано кілька заражень цим вірусом.

Варіантів оформлення листа з вірусом Updater кілька. Рядок "Тема" складається з чотирьох частин і випадковим чином формується з наступного списку:

Частина 1: "Have you", "You Should", "Just", "Why Not you", "How to", "Re:", "Fwd.", ""

Частина 2: "Check", "Check out", "Watch out", "Open", "Look at"

Частина 3: "this", "my", "For this", "The"

Частина 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush "," Account "," Private Pic "

Наприклад: You Should Look at this Osama Vs Bush

Тіло листа має наступний вигляд:

This is the file you ask for, Please save it to disk and open this file, it's very important.

Вложеннийфайл-носітельчервяможетіметьімена: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe"

"Updater" має неприємна побічна дія. Він створює шкідливу скрипт-програму UPDATE.VBS, записує її в каталог автозавантаження Windows і запускає на виконання. Ця програма шукає на диску файли з розширенням .EXE. DOC і .VBS і створює для них файли-компаньйони, що містять копію хробака. Ці файли-компаньйони мають ті ж імена, що й оригінальні файли плюс "друге" розширення .VBS. Наприклад: MPLAYER.EXE.vbs REPORT.DOC.vbs

Рекомендації користувачам не відрізняються оригінальністю: не відкривати файлів (особливо виконуваних), прикріплених до підозрілих листів.

Антивірусні компанії розповсюдили повідомлення про появу нового вірусу-хробака під назвою Gone (інші назви: Pentagone і Goner). Незважаючи на те, що вірус цей зовсім не відрізняється вигадливістю, поширюється він дуже швидко. Англійська компанія MessageLabs заявила, що її поштова служба блокувала вже більше 23 тисяч копій цих вірусів. За даними цієї компанії, вчора в другій половині дня в Великобританії заражені електронні листи приходили зі швидкістю 100 штук в хвилину.

Він приходить по електронній пошті в приєднаному до листа файлі з назвою Gone.scr, тобто він замаскований під скрінсейвер. У заголовку листа коштує всього одне слово: "Hi". Текст в тілі листа наступний: "How are you. When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!" ( "Привіт, коли я побачив цей скрінсейвер, я відразу ж подумав про тебе. Зараз мені ніколи, але я обіцяю, що він тобі сподобається"). Поширюється вірус тільки через поштову програму Microsoft Outlook на комп'ютерах з операційною системою Windows, на інших він не діє.

На зараженому комп'ютері вірус Gone зупиняє роботу більшості антивірусних і захисних програм і видаляє всі файли з папок, що містять ці додатки. Зокрема, вірус знаходить і видаляє антивірус AVP від ​​"Лабораторії Касперського" і захисні програми ZoneAlarm виробництва Zone Labs і Black Ice від Internet Security Systems.

Знявши захист з комп'ютера, вірус відкриває діалогове вікно зі своїм ім'ям Pentagone і іменами творців, а також з подяками користувачам Інтернет. Потім вірус встановлює на комп'ютер програму "чорного ходу", яка може бути використана хакером для організації атак типу "відмова в обслуговуванні" проти серверів IRC-чату.

Антивірусні компанії настійно рекомендують користувачам оновити своє антивірусне ПЗ і не відкривати листів, які підпадають під вищезгадане опис.

Черв'як Goner поширюється по електронній пошті. Заражені листи мають такий вигляд:

Тема листа: "Hi"

Телопісьма: "How are you?

When I saw this screen saver, I immediately thought about you

I am in a harry, I promise you will love it! "

Вкладений файл: GONE.SCR.

Для активізації "Goner" користувач повинен самостійно запустити файл-носій хробака (GONE.SCR), після чого починається процедура впровадження шкідливого коду на комп'ютер жертви. Для цього "Goner" записує свою копію в системний каталог Windows під тим же ім'ям (GONE.SCR) і реєструє цей файл в секції автозавантаження системного реєстру Windows. Таким чином, черв'як автоматично запускається при кожному перезавантаженні операційної системи.

"Goner" також намагається розсилати свої копії за допомогою Інтернет-пейджера ICQ. Для цього він постійно відстежує список активних (online) користувачів і періодично намагається передати їм файл-носій хробака. Для приховування своєї присутності в системі і несанкціонованої роботи з ICQ "Goner" постійно сканує імена знову з'явилися вікон і закриває службові вікна ICQ.

Крім розповсюдження по Інтернет черв'як також проводить атаку на IRC-канал #pentagonex через сервер twisted.ma.us.dal.net. Для досягнення цієї мети на зараженому комп'ютері непомітно запускається шкідлива скрипт-програма, яка за допомогою клієнта mIRC регулярно створює в цьому каналі користувачів з випадковими іменами. У деяких випадках це може призвести до перевантаження сервісу і, безумовно, нервує інших учасників IRC-каналу.