Автор: Пользователь скрыл имя, 23 Декабря 2012 в 14:08, реферат
Описание работы
Вредоносная программа - компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.
Для
того чтобы эффективно бороться
со спамом , необходимо
четко определить, что именно подразумевается
под словом « спам ».
Нередко провайдеры и владельцы сетей
предпочитают руководствоваться «презумпцией
виновности», относя к спаму практически всю
почту, которую не запрашивал получатель.
За последние полтора года эксперты изучили
все существующие виды и категории спама и пришли к выводу,
что при огульном отнесении к спаму любого нежелательного
или рекламного письма возникает большая
опасность потерять деловую почту.
В подавляющем большинстве СПАМ используется для
рекламы. Обычно рекламируется какой-нибудь
товар или услуги, иногда для накручивания
счетчиков на сайте, реже для засылки вирусов
или троянов
Но есть общая цель - довести
свою информацию до максимально возможного
числа адресатов при минимальных издержках.
Причем "авторов" не волнует состав
аудитории, главное - количество
Платные звонки. Рекламируется товар и
указывается номер телефона. Позвонив,
Вы услышите только автоответчик, а потом
Вам придет счет за соединение. Реклама денежных
пирамид. Обещают баснословные барыши,
но сначала Вы должны выслать какую-то
небольшую сумму по указанному адресу. Сбор информации.
Под видом опроса или заказа предлагают
заполнить анкету и отослать Ваши данные
по указанному адресу.
Засылка троянов. Троян собирает необходимую
информацию с Вашего компьютера (пароли,
номера телефонов провайдера и пр.) и отсылает
ее обратно.
1.3.4 Сетевые черви
Сетевой
червь - разновидность
самовоспроизводящихся компьютерных
программ, распространяющихся в локальных
и глобальных компьютерных сетях. Червь
является самостоятельной программой.Одни
из первых экспериментов по использованию
компьютерных червей в распределённых
вычислениях были проведены в исследовательском
центре Xerox в Пало Альто Джоном Шочем (John
Shoch) и Йоном Хуппом (Jon Hupp) в 1978. Термин возник
под влиянием научно-фантастических романов
Дэвида Герролда "Когда ХАРЛИ исполнился
год" и Джона Браннера "На ударной
волне"
Одним
из наиболее известных компьютерных червей
является "Червь Морриса", написанный
Робертом Моррисом (Robert Morris) младшим, который
был в то время студентом Корнельского
Университета. Распространение червя
началось 2 ноября 1988, после чего червь
быстро заразил большое количество компьютеров,
подключённых к интернету.
Черви могут использовать различные механизмы
("векторы") распространения. Некоторые
черви требуют определенного действия
пользователя для распространения (например,
открытия инфицированного сообщения в
клиенте электронной почты). Другие черви
могут распространяться автономно, выбирая
и атакуя компьютеры в полностью автоматическом
режиме. Иногда встречаются черви с целым
набором различных векторов распространения,
стратегий выбора жертвы, и даже эксплойтов
под различные операционные системы.
Часто выделяют так называемые ОЗУ-резидентные
черви, которые могут инфицировать работающую
программу и находиться в ОЗУ, при этом
не затрагивая жёсткие диски. От таких
червей можно избавиться перезапуском
компьютера (и, соответственно, сбросом
ОЗУ). Такие черви состоят в основном из
"инфекционной" части: эксплойта
(шелл-кода) и небольшой полезной нагрузки
(самого тела червя), которая размещается
целиком в ОЗУ. Специфика таких червей
заключается в том, что они не загружаются
через загрузчик как все обычные исполняемые
файлы, а значит, могут рассчитывать только
на те динамические библиотеки, которые
уже были загружены в память другими программами.
Также
существуют черви, которые после успешного
инфицирования памяти сохраняют код на
жёстком диске и принимают меры для последующего
запуска этого кода (например, путём прописывания
соответствующих ключей в реестре Windows).
От таких червей можно избавиться только
при помощи антивируса или подобных инструментов.
Зачастую инфекционная часть таких червей
(эксплойт, шелл-код) содержит небольшую
полезную нагрузку, которая загружается
в ОЗУ и может "догрузить" по сети
непосредственно само тело червя в виде
отдельного файла. Для этого некоторые
черви могут содержать в инфекционной
части простой TFTP-клиент. Загружаемое
таким способом тело червя (обычно отдельный
исполняемый файл) теперь отвечает за
дальнейшее сканирование и распространение
уже с инфицированной системы, а также
может содержать более серьёзную, полноценную
полезную нагрузку, целью которой может
быть, например, нанесение какого-либо
вреда (например, DoS-атаки).
Большинство
почтовых червей распространяются как
один файл. Им не нужна отдельная "инфекционная"
часть, так как обычно пользователь-жертва
при помощи почтового клиента добровольно
скачивает и запускает червя целиком.
1.3.5 Руткиты
Руткит (Rootkit) - программа или набор
программ, использующих технологии сокрытия
системных объектов (файлов, процессов,
драйверов, сервисов, ключей реестра, открытых
портов, соединений и пр) посредством обхода
механизмов системы.Термин руткит исторически
пришел из мира Unix, где под этим термином
понимается набор утилит, которые хакер
устанавливает на взломанном им компьютере
после получения первоначального доступа.
Это, как правило, хакерский инструментарий
(снифферы, сканеры) и троянские программы,
замещающие основные утилиты Unix. Руткит
позволяет хакеру закрепиться во взломанной
системе и скрыть следы своей деятельности.
В системе
Windows под термином руткит принято считать
программу, которая внедряется в систему
и перехватывает системные функции, или
производит замену системных библиотек.
Перехват и модификация низкоуровневых
API функций в первую очередь позволяет
такой программе достаточно качественно
маскировать свое присутствие в системе,
защищая ее от обнаружения пользователем
и антивирусным ПО. Кроме того, многие
руткиты могут маскировать присутствие
в системе любых описанных в его конфигурации
процессов, папок и файлов на диске, ключей
в реестре. Многие руткиты устанавливают
в систему свои драйверы и сервисы (они
естественно также являются "невидимыми").
В последнее
время угроза руткитов становится все
более актуальной, т.к разработчики вирусов,
троянских программ и шпионского программного
обеспечения начинают встраивать руткит-технологии
в свои вредоносные программы. Одним из
классических примеров может служить
троянская программа Trojan-Spy. Win32. Qukart, которая
маскирует свое присутствие в системе
при помощи руткит-технологии. Ее RootKit-механизм
прекрасно работает в Windows 95, 98, ME, 2000 и XP.Условно
все руткит-технологии можно разделить
на две категории:Руткиты работающие в
режиме пользователя (user-mode)Руткиты работающие
в режиме ядра (kernel-mode)
Первая категория
основана на перехвате функций библиотек
пользовательского режима, вторая -
на установке в систему драйвера,
осуществляющего перехват функций уровня
ядра. Также, руткиты можно классифицировать
по принципу действия и по постоянству
существования.
Глава 2.Признаки заражения
компьютера вирусом.
2.1 Действия при обнаружении
заражения
Присутствие
вирусов на компьютере обнаружить сложно,
потому что они маскируются среди обычных
файлов. В данной статье наиболее подробно
описаны признаки заражения компьютера,
а также способы восстановления данных
после вирусной атаки и меры по предотвращению
их поражения вредоносными программами.
Признаки
заражения:
вывод на экран
непредусмотренных сообщений или
изображений;
подача непредусмотренных
звуковых сигналов; неожиданное открытие
и закрытие лотка CD-ROM-устройства;произвольный,
без вашего участия, запуск на компьютере
каких-либо программ;при наличии на вашем
компьютере межсетевого экрана, появление
предупреждений о попытке какой-либо из
программ вашего компьютера выйти в интернет,
хотя вы это никак не инициировали.
Если вы замечаете,
что с компьютером происходит
подобное то, с большой степенью
вероятности, можно предположить, что
ваш компьютер поражен вирусом.Кроме того,
есть некоторые характерные признаки
поражения вирусом через электронную
почту:друзья или знакомые говорят вам
о сообщениях от вас, которые вы не отправляли;в
вашем почтовом ящике находится большое
количество сообщений без обратного адреса
и заголовка.
Следует отметить,
что не всегда такие признаки вызываются
присутствием вирусов. Иногда они могут
быть следствием других причин. Например,
в случае с почтой зараженные сообщения
могут рассылаться с вашим
обратным адресом, но не с вашего компьютера.
Есть
также косвенные признаки заражения вашего
компьютера:
частые зависания
и сбои в работе компьютера;
медленная работа
компьютера при запуске программ;
невозможность загрузки
операционной системы;
исчезновение
файлов и каталогов или искажение
их содержимого;
частое обращение
к жесткому диску (часто мигает лампочка
на системном блоке);
интернет-браузер
"зависает" или ведет себя неожиданным
образом (например, окно программы невозможно
закрыть).
В 90% случаев наличие
косвенных симптомов вызвано
сбоем в аппаратном или программном
обеспечении. Несмотря на то, что подобные
симптомы с малой вероятностью свидетельствуют
о заражении, при их появлении
рекомендуется провести полную проверку
вашего компьютера установленной на
нем антивирусной программой
Действия при обнаружении заражения:
Отключите компьютер
от интернета (от локальной сети).
Если симптом
заражения состоит в том, что
вы не можете загрузиться с жесткого
диска компьютера (компьютер выдает
ошибку, когда вы его включаете),
попробуйте загрузиться в режиме
защиты от сбоев или с диска
аварийной загрузки Windows, который вы
создавали при установке операционной
системы на компьютер.
Прежде
чем предпринимать какие-либо действия,
сохраните результаты вашей работы на
внешний носитель (дискету, CD-диск, флэш-накопитель
и т.д.).
Установите антивирус,
если на вашем компьютере не установлено
никаких антивирусных программ.
Получите
последние обновления антивирусных баз.
Если это возможно, для их получения выходите
в интернет не со своего компьютера, а
с незараженного компьютера друзей, интернет-кафе,
с работы. Лучше воспользоваться другим
компьютером, поскольку при подключении
к интернету с зараженного компьютера
есть вероятность отправки вирусом важной
информации злоумышленникам или распространения
вируса по адресам вашей адресной книги.
Именно поэтому при подозрении на заражение
лучше всего сразу отключиться от интернета.
Запустите полную
проверку компьютера.
2.2 Методы защиты от вредоносных
программ
Стопроцентной
защиты от всех вредоносных программ не
существует: от эксплойтов наподобие Sasser
или Conficker не застрахован никто. Чтобы
снизить риск потерь от воздействия вредоносных
программ, рекомендуется:
использовать
современные операционные системы,
имеющие серьёзный уровень защиты
от вредоносных программ;своевременно
устанавливать патчи; если существует
режим автоматического обновления, включить
его;постоянно работать на персональном
компьютере исключительно под правами
пользователя, а не администратора, что
не позволит большинству вредоносных
программ инсталлироваться на персональном
компьютере;использовать специализированные
программные продукты, которые для противодействия
вредоносным программам используют так
называемые эвристические (поведенческие)
анализаторы, то есть не требующие наличия
сигнатурной базы;
использовать
антивирусные программные продукты
известных производителей, с автоматическим
обновлением сигнатурных баз;
использовать
персональный Firewall, контролирующий выход
в сеть Интернет с персонального компьютера
на основании политик, которые устанавливает
сам пользователь;ограничить физический
доступ к компьютеру посторонних лиц;
использовать
внешние носители информации только
от проверенных источников;не открывать
компьютерные файлы, полученные от ненадёжных
источников;отключить автозапуск со сменных
носителей, что не позволит запускаться
кодам, которые находятся на нем без ведома
пользователя (для Windows необходимо gpedit.
msc->Административные шаблоны (Конфигурация
пользователя) - >Система->Отключить
автозапуск->Включен "на всех дисководах").
Современные
средства защиты от различных форм вредоносных
программ включают в себя множество программных
компонентов и методов обнаружения "хороших"
и "плохих" приложений. Сегодня поставщики
антивирусных продуктов встраивают в
свои программы сканеры для обнаружения
"шпионов" и другого вредоносного
кода, таким образом, всё делается для
защиты конечного пользователя. Тем не
менее, ни один пакет против шпионских
программ не идеален. Один продукт может
чересчур пристально относиться к программам,
блокируя их при малейшем подозрении,
в том числе "вычищая" и полезные
утилиты, которыми вы регулярно пользуетесь.
Другой продукт более лоялен к программам,
но может пропускать некоторый шпионский
код. Так что панацеи, увы, нет.
В
отличие от антивирусных пакетов, которые
регулярно показывают 100% эффективности
по обнаружению вирусов в профессиональном
тестировании, проводящемся такими экспертами,
как "Virus Bulletin", ни один пакет против
рекламных программ не набирает более
90%, а эффективность многих других продуктов
определяется между 70% и 80%.
Это объясняет, почему
одновременное использование, например,
антивируса и антишпионской программы,
наилучшим образом обеспечивает
всестороннюю защиту системы от опасностей,
которые могут прийти неожиданно.
Практика показывает, что один пакет
следует использовать в качестве
постоянного "блокировщика", который
загружается всякий раз при включении
компьютера (например, AVP 6.0), в то время
как ещё один пакет (или более) должен запускаться,
по крайней мере, раз в неделю, чтобы обеспечить
дополнительное сканирование (например,
Ad-Aware). Таким образом, то, что пропустит
один пакет, другой сможет обнаружить.