Антивирусные программы. Классификация вирусов

В качестве ответной меры разработчики вирусов научились создавать  такие вирусы, которые умеют «прятаться»  от антивирусных программ. С этой целью  вирусы перехватывают вызовы некоторых  функций ОС.

Благодаря такому перехвату  антивирус, читая зараженный файл или  загрузочную запись, фактически получает незараженные данные. Тем самым антивирус  вводится в заблуждение.

Вот определение стелс-вируса, работающего по описанной выше схеме:

Стелс-вирус  — это вирус, оставляющий в памяти компьютера модули, перехватывающие обращение программ к дискам.

Когда программа читает зараженный файл или загрузочную запись, стелс-вирус подменяет данные, чтобы ввести в заблуждение антивирусные программы

Следует отметить, что были разработаны и ответные меры. Используя  специальные методики и программное  обеспечение, можно организовать защиту и от стелс-вирусов.

 

 

 

 

 

 

 

 

 

 

5. Шифрующиеся вирусы

Первые антивирусные программы  искали вирусы, сравнивая содержимое файлов и секторов диска с характерными фрагментами вирусов (с сигнатурами  вирусов). Именно эти фрагменты хранились  в вирусных базах данных антивирусных программ.

Чтобы исключить обнаружение  свих изделий, разработчики компьютерных вирусов стали применять шифрование вирусного кода. Так появились шифрующиеся вирусы:

Шифрующийся вирус — это вирус, который при заражении новых файлов и системных областей диска шифрует собственный код, пользуясь для этого случайными паролями (ключами).

Когда вирус получает управление, он расшифровывает свой собственный  код и передает ему управление.

Современные антивирусы умеют  расшифровывать код вируса, поэтому  шифрующиеся вирусы могут быть эффективно обнаружены и уничтожены.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. Макрокомандные вирусы

В середине 90-х годов впервые  появились компьютерные вирусы, атакующие  не программные файлы, а файлы  документов пакета программ Microsoft Office.

В отличие от ранее известных  вирусов, вирусы, заражающие файлы документов, состоят не из команд центрального процессора компьютера, а из макрокоманд  языка WordBasic.

Эти вирусы получили название макрокомандных вирусов:

Макрокомандный вирус прикрепляется к файлам офисных документов и распространяется вместе с ними.

Макрокомандные вирусы написаны с использованием интерпретируемого языка программирования, встроенного в офисные приложения для автоматизации обработки офисных документов

Первый главный секрет первого вируса WinWord.Concept и практически всех остальных известных нам сегодня вирусов для текстового процессора Microsoft Word, заключается в том, что он использовал возможность сохранения файла документа в формате файла стилей.

Файл, зараженный макрокомандным вирусом, можно открыть как обычный файл документа. Его можно редактировать и сохранить изменения на диске. Единственное, что нельзя с ним сделать, так это сохранить файл в другом формате, например в формате документа или в формате RTF.

Если выбрать из меню File строку Save As, то в открывшемся диалоговом окне Save As список Save File as Type, будет показан серым цветом и не доступен для выбора. Такой «дефект» трудно заметить, потому что операция сохранения файла в другом формате выполняется достаточно редко.

Рис. 1-7. Диалоговаое окно Save As

Макрокомандный вирус размножается, изменяя код стандартных макрокоманд, предназначенных, например, для открытия и сохранения файла. Вместе с выполнением полезных функций измененные макрокоманды будут сохранять тело вируса в других документах Microsoft Office.

Макрокомандные вирусы получили широкое хождение после возникновения и широкого распространения пакета программ Microsoft Office.

Хотя первые макрокомандные вирусы поражали только документы Microsoft Word, вскоре появились макрокомандные вирусы и для других приложений Microsoft Office.

Фактически макрокомандные вирусы можно создать для документов, создаваемых любыми приложениями, если помимо данных внутри документов хранятся макрокоманды, а язык макрокоманд допускает не только чтение, но и запись файлов.

Современные антивирусы обнаруживают макрокомандные вирусы, сканируя содержимое документов.

 

 

 

 

 

 

7. Почтовые вирусы

Вместе с ростом популярности Интернета повсеместно распространилась электронная почта, представляющая собой один из наиболее важных сервисов этой всемирной сети.

По каналам электронной  почты передается огромное количество деловой и личной почты, а от работоспособности  этого сервиса зависит успешность деятельности огромного количества компаний.

Популярностью электронной  почты воспользовались разработчики вирусов, создав новый тип вирусов — почтовые вирусы:

Почтовый вирус использует для своего распространения каналы электронной почты.

Заражение почтовым вирусом  происходит в результате действий пользователей, просматривающих почту, а также  из-за ошибок в почтовых программах и операционных системах

Известно, что вместе с  электронным сообщением можно предать  любые файлы (рис. 1-8). Такие файлы  называются присоединенными или файлами вложений (attachment file).

Рис. 1-8. Файл вложения внутри сообщения электронной почты

Файлы вложений таят в себе угрозу для компьютера — через них на компьютер может проникнуть вирус, червь, троянская или другая вредоносная программа.

Кроме того, сообщение электронной  почты может передаваться в виде документа HTML, которые обычно служат основой для создания Web-сайтов Интернета.

Привлекательность такого формата  для сообщений электронной почты  заключается в том, что он допускает  произвольное форматирование текста сообщения, а также добавление в сообщение  ссылок на ресурсы Интернета, изображений  и активных компонентов, таких как  аплеты Java и  элементы управления ActiveX.

Если сообщение электронной  почты передается в формате HTML, то оно представляет потенциальную угрозу для получателя. Сообщение может содержать ссылку на вредоносный компонент, размещенный где-либо в Интернете, а также вредоносный программный код, активизирующийся при просмотре сообщения.

Попав на компьютер пользователя, почтовый вирус может разослать  свой код по адресам, извлеченным  из книги электронных адресов  почтовой программы, установленной  на компьютере. Это позволяет почтовому  вирусу быстро распространяться по Интернету.

Обычные антивирусные программы, рассчитанные на проверку файлов и  дисков, не всегда способны обнаружить вирусы в сообщениях электронной  почты. Это происходит потому, что  такие сообщения хранятся в базах  данных почтовых программ, имеющих  различный формат.

Современные антивирусы умеют  не только сканировать базы данных сообщений распространенных почтовых программ, но и нейтрализуют почтовые вирусы непосредственно на почтовых серверах, а также на рабочих станциях (персональных компьютерах) до того, как  сообщения попадут в почтовую программу.

С этой целью почтовые программы  сканируют «на лету» потоки данных протоколов SMTP, POP3 и IMAP, предназначенных для передачи сообщений электронной почты.

В настоящее время почтовые вирусы представляют собой наибольшую опасность, так как они встречаются  намного чаще вирусов других типов.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8.  Известные и неизвестные вирусы

В нашей книге мы будем  часто упоминать такие понятия, как известные и неизвестные  вирусы. С этими понятиями тоже возникает путаница из-за их неоднозначного толкования.

Все основные компании, специализирующиеся на создании антивирусных программ и  средств, собирают по всему миру информацию о существующих и новых вредоносных  программах и обмениваются этой информацией.

Собранная таким образом  информация добавляется антивирусными  компаниями в так называемые вирусные базы данных. Вирусные базы данных являются важнейшим компонентом всех антивирусных программ, так как они содержат сведения об обнаруженных вредоносных программных объектах.

Вот правильное определение  известного компьютерного вируса:

Известный вирус — ранее обнаруженный и изученный компьютерный вирус, добавленный в базу данных антивирусной программы

Как видите, основным критерием  принадлежности вирусов к категории  известных является факт добавления его в вирусную базу данных антивирусной программы.

Если тот или иной вирус  содержится в базе данных антивирусной программы, то такой вирус будет  для этой программы известным, а  если нет — неизвестным.

Неизвестный вирус — компьютерный вирус, описание которого отсутствует в базе данных антивирусной программы

Что же касается распространенности сведений о вирусе среди компьютерной общественности, то в рамках нашего определения этот аспект не имеет  никакого значения.

Все антивирусные программы  в состоянии обнаружить и нейтрализовать известные вирусы. Поэтому для  успешной антивирусной защиты необходимо заботиться о постоянном обновлении вирусной базы данных.

Заключение.

    

  В данной курсовой  работе были рассмотрены основные  отечественные антивирусные программы,  и из этого можно сделать  вывод что ,антивирус является более эффективным при нахождении различного рода вирусов (процент нахождения здесь выше), но по производительности и по скорости обработки файлов лучшим является Антивирус NOD32. Другие же антивирусы имеют еще более низкие результаты. Мне кажется, в плане обеспечения безопасности компьютера лучшим является более эффективный антивирус .

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список литературы :

 

1.  http://ru.wikipedia.org/wiki/NOD32
2. http://www.linuxrsp.ru/information/internet/index57.html
3. http://www.drweb.com/
4. http://www.kaspersky.ru/