Организация защиты образовательного учреждения от компьютерных вирусов. (+проект)

БЕЗ ТИТУЛЬНОГО ЛИСТА! Работа заключается в описании вирусов и антивирусов + создание проекта. Защитила работу на отлично. Цена вместе с практической частью (проектом). ...

Оглавление

I Часть. Теоретическая……………………………………………………… 3
Введение……………………………………………………………………... 3
1.1. Понятие компьютерного вируса ………………………………………. 4
2.1. История появления……………………………………………………... 5
3.1. Вирусы…………………………………………………………………... 7
3.1.1. Виды компьютерных вирусов…………………………………… 7
3.1.2.Классификация компьютерных вирусов…………………………. 12
3.1.3. Жизненный цикл компьютерного вируса……………………….. 14
3.1.4. Способы распространения вредоносных программ …………… 19
3.1.5. Вредоносное воздействие компьютерных вирусов…………… 26
3.1.6. Признаки заражения компьютера вирусами …………………… 30
4.1. Антивирус……………………………………………………………….. 31
4.1.1. Понятие антивируса……………………………………………….. 31
4.1.2. Характеристика антивирусных программ ……………………… 31
4.1.3. Задачи антивируса…………………………………………………. 33
4.2. Популярные антивирусные программы…………………………… 33
4.2.1. Немного подробнее… …………………………………………… 34
5.1. Личный опыт……………………………………………………………. 42
6.1. Защита ОУ от компьютерных вирусов………………………………. 43
II Часть. Практическая…………………………………………………….. 45
Заключение…………………………………………………………………. 49
Список литературы………………………………………………………… 51

XXI век… Современный мир.… С каждым новым днём в мире происходят всё новые и новые открытия, совершенствуются информационные технологии, человечеству предоставлена огромная возможность пользоваться Интернетом в любой точке мира, пользоваться компьютерами, ноутбуками, телефонами, планшетами и различными гаджетами. Людей уже мало, чем можно удивить. Компьютеризированы не только дома и квартиры, но и рабочие места, заводы и предприятия, магазины и офисы, практически все образовательные учреждения, включая школы и детские сады.
Как известно, компьютеры очень удобны и могут выполнять множество задач одновременно. Не выходя из дома, можно без проблем найти нужную информацию, новости, узнать прогноз погоды, скачать книгу, посмотреть фильм, пообщаться с друзьями и коллегами. Сегодня компьютер ст ал незаменимой и необходимой вещью в доме и на работе. Никаких печатных машинок, огромных вычислительных приборов, не нужен уже даже и телевизор, ведь в компьютере есть всё это. С каждым годом компьютеры модернизируются, уменьшаются в размерах, энергопотреблении, увеличиваются в мощности, в долгосрочности

Основной проблемой является ограниченный размер этих объектов. В связи с этим вирусам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригинальный код инфицированного загрузчика.
Существуют различные способы решения этой задачи. Ниже приводится классификация, предложенная Е. Касперским:
1) Используются псевдосбойные сектора. Вирус переносит необходимый код в свободные сектора диска и помечает их как сбойные, защищая тем самым, себя и загрузчик от перезаписи.
2) Используются редко применяемые сектора в конце раздела. Вирус переносит необходимый код в эти свободные сектора в конце диска. С точки зрения операционной системы эти сектора выглядят как свободные.
3) Используются зарезервированные области разделов. Вирус переносит необходимый код в области диска, зарезервированные под нужды операционной системы, а потому - неиспользуемые.
4) Короткие вирусы могут уместиться в один сектор загрузчика и полностью взять на себя функции MBR или загрузочного сектора.
Выполнение деструктивных функций.
Вирусы могут выполнять помимо самокопирования деструктивные функции.
По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные.
На степень опасности вирусов оказывает существенное влияния та среда, под управлением которой вирусы работают. Так, вирусы, созданные для работы в МS-DOS, обладают практически неограниченными потенциальными возможностями.
Распространение вирусов под управлением Windows NТ/2000 ограничивается развитой системой разграничения доступа. Возможности макровирусов напрямую определяются возможностями макроязыков, на которых они написаны. В частности, язык Word Ваsic позволяет создать мощные макровирусы, способные доставить пользователям серьезные неприятности.
Дополняя эту классификацию, можно отметить также деление вирусов на наносящие вред системе вообще и предназначенные для целенаправленных атак на определенные объекты.
Передача управления программе-носителю вируса.
Здесь следует указать на деление вирусов на разрушающие и неразрушающие.
Разрушающие вирусы не заботятся о том, чтобы при инфицировании программ сохранять их работоспособность, поэтому для них этот этап функционирования отсутствует.
Для неразрушающих вирусов этот этап связан с восстановлением в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программе-носителю вируса.
3.1.4. Способы распространения вредоносных программ
Первые компьютерные вирусы распространялись главным образом через файлы и дискеты. Потом, после появления пакета Microsoft Office и других офисных приложений с макрокомандами вирусы стали распространяться через файлы офисных документов, строго говоря, не являющихся программами.
Сегодня наиболее опасными каналами распространения вирусов и других вредоносных программ является Интернет и электронная почта. Именно по этим каналам распространяется подавляющее большинство современных вредоносных программ.
Для распространения вредоносные программы используют следующие объекты и каналы:
файлы исполняемых программ;
файлы офисных документов;
файлы интерпретируемых программ;
загрузочные секторы дисков и дискет;
сообщения электронной почты;
пиринговые (файлообменные) сети;
интрасеть или Интернет;
драйверы ОС
Не исключено, что со временем по мере совершенствования информационных технологий и разработки нового компьютерного оборудования этот список будет расширен.
Файлы исполняемых программ
Файлы программ состоят из двоичных команд, предназначенных для непосредственного выполнения центральным процессором. Изменяя этот файл, можно изменять действия, выполняемые программой.
Как правило, программа, зараженная компьютерным вирусом, внешне ведет себя как обычно, поэтому пользователь не подозревает, что на его компьютере «живет» вирус.
Некоторые вирусы внедряются в тело программного файла таким образом, что размер файла-жертвы остается неизменным, что служит дополнительным средством маскировки.
Программные файлы служат одним из широко используемых каналов распространения компьютерных вирусов и других вредоносных объектов
В качестве вредоносных действий вирус, прежде всего, записывает свой код в другие, еще не зараженные файлы. Таким образом, через некоторое время все файлы, хранящиеся на диске компьютера, будут заражены файловым вирусом.
Заметим, что если файловый вирус появился на одной рабочей станции сети, то он может заразить все рабочие станции и сервер этой сети. При этом вирус попадет только в такие сетевые каталоги, к которым есть доступ на запись у пользователя рабочей станции.
Т.е. вирус имеет те же права доступа к сетевым ресурсам, что и пользователь, на компьютере которого находится вирус. Именно поэтому не рекомендуется без крайней на то необходимости подключаться к сети с правами администратора, т.к. при этом, если на рабочей станции появится вирус, он будет иметь неограниченный доступ к ресурсам сети.
Файлы офисных документов
Простейшие текстовые редакторы, такие как Microsoft Notepad, сохраняют документы в виде текстовых файлов. Эти файлы содержат только коды символов, и не могут быть выполнены центральным процессором компьютера.
Текстовые файлы не могут быть использованы для распространения компьютерных вирусов, так как в них нет программного кода.
Современные текстовые и табличные процессоры, такие как Microsoft Word и Excel, записывают в файлы документов не только текстовую, числовую и графическую информацию, но и программные объекты — так называемые макрокоманды.
Этой возможностью обладают и другие приложения пакета Microsoft Office, а также некоторые другие аналогичные пакеты, содержащие текстовый и табличный процессор, программу подготовки презентаций, базу данных и другие программы.
Документы, создаваемые пакетом Microsoft Office и аналогичными по назначению пакетами, созданными другими компаниями, мы будем называть офисными документами.
Компьютерные вирусы умеют модифицировать существующие макрокоманды, расположенные внутри документов, а также добавлять в документы новые макрокоманды.
Попытка избавиться от макрокомандных вирусов путем удаления с диска всех файлов офисных документов не будет иметь успеха, т.к. такие вирусы могут записать себя и в файлы шаблонов офисных документов.
Кроме того, макрокомандные вирусы могут оставить в системе вирусы или вредоносные объекты любых других типов.
Файлы интерпретируемых программ
Все компьютерные программы можно разделить на исполняемые и интерпретируемые программы.
Исполняемые программы содержат код, который предназначен для непосредственного выполнения центральным процессором компьютера. Что же касается интерпретируемых программ, то они представляют собой текстовые файлы (или фрагменты текста, встроенные в офисные документы), которые исполняются, а точнее говоря, интерпретируются при помощи специальной программы. Такая программа называется интерпретатором.
Если интерпретируемая программа записана в файле, то этот файл может стать объектом атаки компьютерного вируса или вредоносной программы другого типа.
Вирус может записать свой код внутрь такого файла, в результате чего он получит управление при запуске интерпретируемой программы.
Пользователь обычно сам запускает интерпретируемые программы явным или неявным образом. Неявный запуск макрокоманд происходит при загрузке для редактирования офисных документов. Макрокоманды документов Microsoft Office есть не что иное, как интерпретируемые программы на языке Microsoft Visual Basic for Application.
Загрузочные секторы дисков и дискет
Прежде всего, на первом этапе программа загрузки, записанная в постоянной памяти компьютера BIOS, считывает содержимое первого сектора дискеты или диска (в зависимости от способа загрузки), где находится загрузочный сектор.
В загрузочном секторе тоже имеется программа загрузки, которая выполняется на втором этапе. Эта программа предназначена для загрузки ОС.
Программа загрузки из первого сектора диска или дискеты загружает и запускает загрузчик ОС, который включается в работу на третьем этапе.
Модифицируя содержимое первых секторов дискет и дисков, загрузочные и комбинированные файлово-загрузочные вирусы могут перехватить управление на втором или третьем этапе загрузки ОС. Если это произойдет, вирус получит управление до момента загрузки ОС и сможет контролировать как процесс загрузки, так и операции, выполняемые системными модулями ОС.
Сообщения электронной почты
Каналы электронной почты с успехом могут быть использованы для распространения вирусов.
По этим каналам распространяются обычные вирусы, черви, троянские программы, программы Backdoor, а также почтовые вирусы, созданные специально для распространения через системы электронной почты.
Вредоносные объекты могут внедряться в почтовые сообщения следующими способами:
в виде присоединенных файлов (файлов вложений);
в виде ссылок на вредоносные объекты ActiveX или аплеты Java,
расположенные на троянских Web-сайтах или на Web-сайтах злоумышленников;
в виде конструкций, встраиваемых непосредственно в тело сообщения электронной почты, имеющего формат HTML
Если вирус попал на компьютер пользователя в виде присоединенного файла, то для его активизации пользователь должен извлечь и запустить такой файл на выполнение.
Многие пользователи запускают присоединенные файлы, не задумываясь о последствиях. Если в качестве присоединенного файла выступает зараженный программный (исполняемый или интерпретируемый) файл, троянская программа или вредоносная программа другого типа, такие действия обычно приводят к инфицированию компьютера.
Отправители почтовых вирусов часто маскируют истинное назначение присоединенных файлов, выбирая для них такое имя, которое потенциально может вызвать у пользователя интерес. Такие почтовые сообщения называются троянскими почтовыми сообщениями.
Особенности настройки и ошибки в программном обеспечении почтового клиента, а также ошибки в ОС приводят к тому, что некоторые вредоносные объекты, внедренные в почтовые сообщения, активизируются сразу после просмотра сообщения.
Почтовые вирусы могут сами рассылать себя по адресам, извлеченным из адресной книги почтовой программы клиента.
Файлообменные (пиринговые) сети
Существуют вирусы или другие вредоносные программы, специально предназначенные для сетей обмена файлами (называемыми также файлообменными и пиринговыми сетями) между компьютерами пользователей Интернета, такими как Kazaa, Windows Messenger, ICQ и т.д.
Эти вирусы создают ситуацию, при которой пользователь сети копирует с зараженного узла файл вредоносной программы. При этом система поиска файлов модифицируется таким образом, чтобы вместо нужных ему файлов пользователь находил и загружал файлы с вирусом.
Самостоятельная активация вируса для пиринговых сетей невозможна
Заметим, что для распространения вируса, заражающего файлообменные сети, на компьютерах сети должен быть установлен клиент соответствующей сети. В противном случае распространение будет невозможно.
Внедрение по сети
Вредоносные программы могут распространяться через Интернет или интрасеть компании.
Такие программы могут проникать на инфицируемые узлы, преодолевая защиту от несанкционированного доступа, а также используя открытые порты системы и ресурсы, выделенные на компьютере в совместное пользование.
Вредоносная программа может подобрать пароль доступа к узлу сети или перехватить пароль, передаваемый по сети. Если пароль зашифрован, то на его расшифровку, возможно, придется потратить определенное время.
Даже если вредоносной программе не известен пароль доступа к ресурсам узла сети, она может получить к ним доступ, если будет использовать известные ошибки в прикладном и системном обеспечении.
Одна из наиболее известных ошибок подобного рода — ошибка переполнения буфера в прикладной или системной программе.
Вредоносная программа может получить доступ к ресурсам сети, если на одном из узлов сети работает червь или троянская программа.
Кроме того, вредоносная программа может использовать для получения несанкционированного доступа к ресурсам узла или всей сети, если разработчик случайно или намеренно оставил возможность получения такого доступа в обход штатной системы разграничения доступа или защиты от несанкционированного доступа.
Драйверы ОС
Вредоносные программы могут распространяться и через драйверы ОС, хотя этот канал распространения вирусов используется достаточно редко.
Вирус может внедриться в программный файл драйвера операционной системы (например, в драйвер диска) и выполнять системные операции под своим контролем.
Следует заметить, что в среде ОС Microsoft Windows NT/2000/XP/2003 для такого внедрения программный код вредоносной программы должен работать с привилегиями администратора.
Вирус или другая вредоносная программа может внедриться в драйвер операционной системы Linux/FreeBSD и других Unix-подобных операционных систем, если программный код вируса работает с привилегиями администратора (пользователя root).
Создавая систему защиты от вирусов и вредоносных программ, системный администратор должен четко представлять себе, откуда может возникнуть угроза безопасности. Эти знания также необходимы и пользователю, особенно если его компьютер подключен к интрасети или Интернету.
3.1.5. Вредоносное воздействие компьютерных вирусов
Большинство вирусов и вредоносных программ не только размножаются, они еще выполняют вредоносные действия, предусмотренные их автором.
У разных вирусов эти дополнительные действия могут быть опасными или неопасными, бросающимися в глаза или скрытыми, трудно обнаружимыми. Рассказать обо всех проявлениях вирусов невозможно, так как для этого придется описать каждый вирус.
Мы будем классифицировать вредоносные действия по их воздействию и эффектам:
визуальные и звуковые эффекты;
воздействие на файлы;
изменение содержимого секторов диска;
воздействие на базы данных;
воздействие на аппаратное обеспечение компьютера;
воздействие на систему в целом;
получение несанкционированного доступа и похищение информации.
Визуальные и звуковые эффекты
Среди известных эффектов можно перечислить опадание букв, искажение внешнего вида элементов управления программ (кнопок, меню и пр.), а также появление дефектов при отображении содержимого окон программ и окон ОС.
Заметим, что некоторые из этих эффектов могут проявляться и при неисправности видеоадаптера, а также при наличии ошибок в работе ПО и драйверов видеоадаптера.
Поэтому если на экране все кнопки в диалоговых окнах вдруг изменили свой цвет, это еще не означает, что компьютер инфицирован вирусом. Однако дополнительная антивирусная проверка в этом случае не помешает.
Компьютерные вирусы и вредоносные программы могут исполнять музыкальные произведения, издавать странные и неожиданные звуки, а также шум.
Наличие посторонних звуков может служить косвенным признаком инфицирования компьютера. Однако точный «диагноз» можно поставить только с помощью антивирусной программы.
Воздействие на файлы
Вредоносные программы могут изменять содержимое информации, хранящейся в файле, а также атрибуты файла (имя, дата создания, размер, режим доступа и т.д.). Файлы могут быть удалены или переименованы.
Помимо файлов, вирусы и вредоносные программы могут выполнять действия и над каталогами. Это изменение содержимого каталога, а также атрибуты каталога (имя, дата создания, режим доступа и т.д.). Каталог может быть удален или переименован.
Изменение содержимого секторов диска
Опытные пользователи и администраторы знают, что информация на дисках хранится порциями. Фактически диск компьютера можно представить себе в виде набора блоков размером 512 байт, называемых секторами диска.
Секторы диска образуют кластеры, причем в зависимости от различных обстоятельств кластер может состоять из одного или из десятков расположенных рядом секторов.
В некоторых случаях вирусы или вредоносные программы могут читать и изменять содержимое секторов и кластеров диска, разрушая содержимое каталогов, файлов и внутренних структур файловой системы. Это может привести к частичной или полной потере информации, хранящейся на диске.
Для выполнения низкоуровневого форматирования в среде ОС Microsoft Windows 2000/XP/2003 вредоносная программа должна иметь административный уровень доступа.
Воздействие на базы данных
Некоторые вирусы и вредоносные программы нацелены на изменение содержимого компьютерных баз данных. Такие вредоносные объекты наиболее опасны, так как их действие зачастую очень трудно обнаружить.
Получив доступ к базе данных, вредоносная программа может выполнить над ней следующие операции:
изменение содержимого информации, хранящейся в базе данных;
удаление таблиц;
изменение атрибутов таблиц;
изменение сценариев обработки информации, хранящихся в базе
данных;
удаление баз данных;
удаление файлов баз данных
Заметим, что обычно для выполнения всех этих операций вредоносной программе нужно знать пароль доступа к базе данных, имеющий соответствующие привилегии.
Если вредоносная программа получила доступ к программам или сценариям обработки данных, хранящимся в базе данных, то она сможет использовать это для своего распространения.
Воздействие на систему в целом
В некоторых случаях вирусы и вредоносные программы способны воздействовать на работоспособность всей компьютерной системы в целом, замедляя или полностью блокируя ее работу.
При этом вредоносная программа может захватить все системные ресурсы (такие как дисковая и оперативная память), а также загрузить центральный процессор компьютера интенсивной, но бесполезной работой.
Иногда атакам со стороны вредоносных программ подвергаются так называемые серверы доменных имен DNS, являющиеся важнейшими ресурсами Интернета. Серверы имен отвечают за преобразование доменных имен (таких, например, как www.microsoft.com) в адреса IP соответствующих им узлов.
Компьютерный вирус или другая вредоносная программа может изменить настройки сервера доменных имен DNS таким образом, чтобы вместо одних Web-сайтов посетители попадали на другие.
Такое изменение возможно, если в ПО сервера DNS или ОС, установленной на сервере, имеются ошибки, или если администратор неправильно настроил сервер DNS. Изменение возможно и в том случае, если оказалась «взломана» защита сервера DNS.
Получение несанкционированного доступа и похищение информации
Проникнув в компьютерную систему, компьютерный вирус или другая вредоносная программа может предоставить злоумышленнику полный удаленный доступ к отдельным пораженным компьютерам и даже ко всей системе в целом.
Вредоносная программа может установить для этого программу Backdoor («потайной вход»), предоставляющий злоумышленнику скрытый доступ к системе.
К сожалению, компьютерные программы и ОС настолько сложны, что в них всегда присутствуют программные ошибки. Некоторые из этих ошибок могут привести к возникновению брешей в защите систем от несанкционированного доступа.
Когда такие бреши становятся известны злоумышленникам (а это происходит с завидной регулярностью), то получение несанкционированного доступа и похищение информации становятся лишь делом времени.
3.1.6. Признаки заражения компьютера вирусами
Несмотря на то, что многие вирусы разрабатываются таким образом, чтобы их невозможно было обнаружить, все-таки существуют некоторые признаки, по которым можно определить, существует ли угроза системе:
Компьютер «разговаривает»: появляется множество всплывающих окон и сообщений о том, что компьютер заражён, находится в опасности и нуждается в защите... Это верный признак того, что компьютер заражён, возможно, даже лже-антивирусом (иногда его называют «rogueware»).
Компьютер работает слишком медленно: это может быть признаком многих проблем, включая инфицирование компьютера вирусом. Если система заражена вирусом (например, Трояном), то компьютер автоматически запускает много лишних программ. Из-за этого система работает значительно медленнее, чем обычно.