Оглавление:
- 1 Урок: Защита информации от вредоносных программ
- 1.1 Вредоносные программы и антивирусные программы
- 1.2 Компьютерные вирусы и защита от них
- 1.2.1 Загрузочные вирусы
- 1.2.2 Файловые вирусы
- 1.2.3 Макро-вирусы
- 1.2.4 Скрипт-вирусы
- 1.2.5 Почтовые черви
- 1.2.6 Троянские утилиты удалённого администрирования
- 1.2.7 Троянские программы, ворующие информацию
- 1.2.8 Троянские программы-шпионы
- 1.2.9 Рекламные программы
- 1.2.10 Шпионские программы
- 1.2.11 Куки
- 1.2.12 Рекламный спам
- 1.2.13 «Нигерийские письма»
- 1.2.14 Фишинг
- 1.2.15 Защита от спама
- 1.2.16 Сетевые атаки
- 1.2.17 Утилиты «взлома» удалённых компьютеров
- 1.2.18 Руткиты
- 1.2.19 Защита от хакерских атак и сетевых червей
Want create site? Find Free WordPress Themes and plugins.
Урок: Защита информации от вредоносных программ
Вредоносные программы и антивирусные программы
Вредоносными программами являются программы, наносящие вред данным и программам, хранящимся на компьютере.
Основными типами вредоносных программ являются:
1. компьютерные вирусы;
2. сетевые черви;
3. троянские программы;
4. программы показа рекламы и программы-шпионы, занимающиеся сбором персональной информации о компьютере и пользователе;
5. хакерские утилиты.
Прообразом вредоносных программ была компьютерная игра «Дарвин», созданная в 1961 году в научно-исследовательских целях.
За создание, использование и распространение вредоносных программ в России и большинстве стран предусмотрена уголовная ответственность.
Антивирусные программы
Принцип антивирусных программ основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов.
Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для этого конкретного вируса. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается заражённым вирусом и подлежит лечению.
Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то антивирусная программа выдаёт сообщение о возможном заражении объекта.
Большинство антивирусных программ сочетает в себе функции постоянной защиты и функции защиты по требованию пользователя.
Антивирусный монитор запускается автоматически при старте операционной системы и работает в качестве фонового системного процесса, проверяя на вредоносность совершаемые другими программами действия. Основная задача антивирусного монитора состоит в обеспечении максимальной защиты от вредоносных программ при минимальном замедлении работы компьютера.
Антивирусный сканер запускается по заранее выбранному расписанию или в произвольный момент пользователем. Антивирусный сканер производит поиск вредоносных программ в оперативной памяти, а также на жёстких и сетевых дисках компьютера.
К недостаткам антивирусных программ можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.
Признаки заражения компьютера
Есть ряд признаков, свидетельствующих о проникновении на компьютер вредоносных программ:
1. вывод на экран непредусмотренных сообщений или изображений;
2. подача непредусмотренных звуковых сигналов;
3. неожиданное открытие и закрытие лотка CD/DVD дисковода;
4. произвольный запуск на компьютере каких-либо программ;
5. частые «зависания» и сбои в работе компьютера;
6. медленная работа компьютера при запуске программ;
7. исчезновение или изменение файлов и папок;
8. частое обращение к жёсткому диску;
9. «зависание» или неожиданное поведение браузера.
Кроме того, есть некоторые характерные признаки поражения сетевым вирусом через электронную почту:
1) друзья или знакомые говорят о полученных от тебя сообщениях, которые ты не отправлял;
2) в твоём почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Действия при наличии признаков заражения компьютера
Прежде чем предпринимать какие-либо действия, необходимо сохранить результаты работы на внешнем носителе информации. Далее необходимо:
1) отключить компьютер от локальной сети и Интернета, если он был к ним подключён;
2) если симптом заражения состоит в том, что невозможно загрузиться с жёсткого диска компьютера, попробовать загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows;
3) запустить антивирусную программу.
Компьютерные вирусы и защита от них
Загрузочные вирусы
Загрузочные вирусы заражают загрузочный сектор гибкого или жёсткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера.
После необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного файла и передаёт на него управление.
При заражении дисков загрузочные диски «подставляют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинальному коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригинальный загрузочный сектор в какой-либо другой сектор диска.
Профилактическая защита от таких вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS твоего компьютера защиты загрузочного сектора от изменений. С помощью программы BIOS Setup можно провести настройку таким образом, что будет запрещена любая запись в загрузочный сектор диска и компьютер будет защищён от заражения загрузочными вирусами.
Файловые вирусы
Файловые вирусы различными способами внедряются в исполнимые файлы и обычно активизируются при их запуске. После запуска заражённого файла вирус находится в оперативной памяти компьютера и является активным вплоть до момента выключения компьютера или перезагрузки операционной системы.
По способу заражения файловые вирусы разделяют на:
- перезаписывающие вирусы, которые записывают свой код вместо кода программы, не изменяя названия исполнимого файла. При запуске программы выполняется код вируса, а не сама программа.
- вирусы — компаньоны, которые, как и перезаписывающие вирусы, создают свою копию на месте заражённой программы, но в отличии от перезаписывающих не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.
- паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. Код может внедряться в начало, середину или конец программы и выполняется перед, вместе или после программы. При этом заражённая программа сохраняет полную или частичную работоспособность.
Практически все файловые и загрузочные вирусы-резиденты, т.е. они находятся в оперативной памяти компьютера, и в процессе работы пользователя могут совершать опасные действия.
Профилактическая защита от таких вирусов состоит в том, что не рекомендуется запускать на исполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами.
Макро-вирусы
Наибольшее распространение получили макро-вирусы для интегрированного офисного приложения Microsoft Office.
Макро-вирусы являются ограниченно резидентными, т.е. они находятся в оперативной памяти и заражают документы, пока открыто приложение. Кроме того, макро-вирусы заражают шаблоны документов и поэтому активизируются уже при запуске заражённого приложения.
Профилактическая защита от макро-вирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Microsoft Office сообщается о присутствии в них макросов и предлагается запретить их загрузку.
Скрипт-вирусы
Особой разновидностью вирусов являются активные элементы на языках JavaScript или VBScript, которые могут содержаться в файлах Web-страниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера.
Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.
Почтовые черви
Почтовые черви для своего распространения используют электронную почту.
Червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе.
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на зараженный файл.
В обоих случаях эффект одинаков: активизируется код червя.
Лавинообразная цепная реакция распространения почтового червя базируется на том, что червь после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя.
Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.
Черви, использующие «уязвимости» программного обеспечения
Червь ищет в сети компьютеры, на которых используются операционная система и приложения, содержащие критические уязвимости.
Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос, в результате чего код (или часть кода) червя проникает на компьютер-жертву.
Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение на зараженном компьютере.
Профилактическая защита от таких червей состоит в том, что рекомендуется своевременно скачивать из Интернета и устанавливать обновления системы безопасности операционной системы и приложений.
Черви, использующие файлообменные сети
Механизм работы подобных червей достаточно прост: для внедрения в файлообменную сеть червю достаточно скопировать себя в папку обмена файлами на одном из компьютеров.
Всю остальную работу по распространению червя файлообменная сеть берёт на себя: при поиске файлов в сети она сообщит удалённым пользователям о данном файле-черве и предоставит его для скачивания.
В сентябре 2001 года началась стремительное «расползание» сетевого червя «Nimda», который мог атаковать компьютеры сразу несколькими способами: через сообщения электронной почты, через открытые ресурсы локальных сетей, а также, используя уязвимости в системе безопасности операционной системы серверов Интернета. Сетевые черви кроме вредоносных действий, которыми обладают и классические компьютерные вирусы, могут выполнять шпионскую функцию троянских программ.
Троянские утилиты удалённого администрирования
Троянские программы этого класса являются утилитами удалённого администрирования компьютеров в сети. Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдаётся никаких сообщений о действиях троянской программы в системе. В результате «пользователь» этой троянской программы может и не знать о её присутствии в системе, в то время как его компьютер открыт для удалённого управления.
Троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, в том числе они могут быть использованы для обнаружения и передачи конфиденциальной информации.
В 2003 году широкое распространение получила троянская программа Backdoor. Win32.ВО, которая осуществляет следующие действия:
- высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версию системы, информацию об установленных устройствах;
- посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл;
- отключает пользователя от сети;
- «завешивает» компьютер;
- читает или модифицирует системный реестр.
Троянские программы, ворующие информацию
Такие троянские программы воруют различную информацию с заражённого компьютера. При запуске они ищут файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа к Интернету и др.) и отсылают её по указанному в коде троянца электронному адресу или адресам.
Троянцы данного типа также сообщают информацию о заражённом компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п.). Некоторые троянцы воруют регистрационную информацию к программному обеспечению.
Троянские программы-инсталляторы вредоносных программ
Троянские программы этого класса скрытно инсталлируют другие вредоносные программы и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ. Загруженные без ведома пользователя из Интернета программы затем либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.
Троянские программы-шпионы
Данные троянцы осуществляют электронный шпионаж за пользователем заражённого компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Троянские программы часто изменяют записи системного реестра операционной системы, поэтому для их удаления необходимо в том числе восстановление системного реестра.
Рекламные программы
Рекламные программы (от англ. Adware: Advertisement — реклама и Software — программное обеспечение) встраивают рекламу в основную полезную программу.
Часто рекламные программы входят в состав официально поставляемых условно бесплатных версий программного обеспечения.
Реклама демонстрируется пользователю в процессе работы основной программы в виде графических баннеров или бегущей строки. Обычно после покупки и/или регистрации основной программы рекламная вставка удаляется и показ рекламы прекращается.
Шпионские программы
Шпионские программы (от англ. Spyware: Spy — шпион и Software — программное обеспечение) скрытно собирают различную информацию о пользователе компьютера, а затем отправляют её злоумышленнику.
Эти программы иногда проникают на компьютер под видом рекламных программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей их программы.
Иногда шпионские программы обнаруживаются в распространённых программных продуктах известных на рынке производителей.
В марте 2005 года под видом поисковой панели для браузера Internet Explorer начала распространяться рекламно-шпионская программа «mwsbar».
Программа регистрирует себя в системном реестре и добавляет в автозагрузку, что приводит к изменению настроек браузера и перенаправлению результатов поиска в Интернете на сайт злоумышленника.
Куки
Куки (от англ. cookies — домашнее печенье) — небольшой текстовый файл, помещаемый Web-сервером на локальный компьютер пользователя.
Файлы cookies могут храниться в оперативной памяти или записываться на жёсткий диск. Файлы cookies не могут быть использованы для запуска программного кода (запуска программ) или для заражения компьютера вирусами.
Cookies применяются для сохранения данных, специфичных для данного пользователя. При вводе регистрационных данных файлы cookies помогают серверу упростить процесс сохранения персональных данных, связанных с текущим пользователем. Если пользователь Интернет-магазина ранее указывал адрес для доставки счетов или товара, вместо повторного ввода этих данных можно указать пароль, позволяющий автоматически заполнить соответствующие поля в форме заказа.
Браузеры позволяют включать и отключать использование файлов cookies, а также выполнять прием файлов cookies только после подтверждения со стороны пользователя.
Спам (от англ. spam) — это массовая автоматическая рассылка рекламных электронных сообщений, со скрытым или фальсифицированным обратным адресом.
Спам распространяется по компьютерным сетям с использованием электронной почты и систем интерактивного общения, а также по мобильным сетям с использованием службы SMS-сообщений.
Спам приходит потому, что электронный адрес получателя стал известен спамерам (рассыльщикам спама). Чаще всего владелец почтового ящика сам указывает электронный почтовый адрес при регистрации на каком-либо сайте и его обнаруживает специальный робот, «бродящий» по сайтам наподобие индексирующего робота поисковых систем.
Спамеры стремятся получить подтверждение, что почтовый адрес действительно используется (в этом случае поток спама может увеличиться многократно).
Чтобы убедиться, что спамовое сообщение получено и прочитано, спамеры применяют различные уловки:
- требуется подтверждение о получении сообщения;
- предлагается активизировать ссылку на Web-страницу, на которой предлагается получить дополнительную информацию;
- предлагается отменить подписку на эту рассылку, послав письмо по указанному адресу.
Рекламный спам
Некоторые компании, занимающиеся легальным бизнесом, рекламируют свои товары или услуги с помощью спама. Они могут осуществлять его рассылку самостоятельно, но чаще заказывают её тем компаниям (или лицам), которые на этом специализируются.
Привлекательность такой рекламы заключается в её сравнительно низкой стоимости и большом охвате потенциальных клиентов.
Обрати внимание!
С помощью спама часто рекламируют продукцию, о которой нельзя сообщить другими способами, например оружие, порнографию, лекарственные средства с ограничениями по обороту, ворованную информацию (базы данных), контрафактное программное обеспечение и т. п.
«Нигерийские письма»
Иногда спам используется для того, чтобы выманить деньги у получателя письма. Наиболее распространенный способ получил название «нигерийские письма», потому что большое количество таких писем приходило из Нигерии. Такое письмо содержит сообщение о том, что получатель письма может получить большую сумму денег, а отправитель может ему в этом помочь. Затем отправитель письма просит перевести ему немного денег под предлогом, например, оформления документов или открытия счета. Выманивание этой суммы и является целью мошенников.
Фишинг
Фишинг (от англ. fishing — рыбалка) — ещё один способ мошенничества путем обмана пользователей. Он представляет собой попытку выманить у получателя письма данные, которые можно использовать для получения выгоды: номера его кредитных карточек или пароли доступа к системам онлайновых платежей. Такое письмо обычно маскируется под официальное сообщение от администрации банка. В нем говорится, что получатель должен подтвердить сведения о себе, иначе его счет будет заблокирован, и приводится адрес сайта (принадлежащего спамерам) с формой, которую надо заполнить.
Среди данных, которые требуется сообщить, присутствуют и те, которые нужны мошенникам. Для того чтобы жертва не догадалась об обмане, оформление этого сайта имитирует оформление официального сайта банка.
Защита от спама
В силу массового характера спамовые почтовые рассылки затрудняют работу информационных систем и ресурсов, создавая для них бесполезную нагрузку.
Пользователи сети вынуждены ежедневно тратить время на обработку бесполезных рекламных сообщений, а провайдерам спам приносит неудобства вследствие повышения нагрузки на почтовые серверы и каналы связи.
Для борьбы со спамом используются антиспамовые фильтры, которые могут быть установлены как на локальных компьютерах пользователей, так и на почтовых серверах провайдеров.
Антиспамовые фильтры анализируют содержание письма или пытаются опознать спамера по электронному адресу.
Если письмо классифицировано как спам, оно может быть помечено, перемещено в другую папку или даже удалено.
Для затруднения автоматической фильтрации спамовые сообщения часто искажаются, вместо букв используются похожие по начертанию цифры, русские буквы заменяются на латинские, а в случайных местах добавляются пробелы.
Сетевые атаки
Сетевые атаки на удалённые серверы реализуются с помощью специальных программ, которые посылают на них специфические запросы. Это приводит к отказу в обслуживании («зависанию» сервера), если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов.
DoS-программы (от англ. Denial of Service — отказ в обслуживании) реализуют атаку с одного компьютера с ведома пользователя.
DoS-программы обычно наносят ущерб удалённым компьютерам и сетям, не нарушая работоспособность заражённого компьютера.
DDoS-программы (от англ. Distributed DoS — распределённый DoS) реализуют распределённые атаки с разных компьютеров, причём без ведома пользователей заражённых компьютеров.
Для этого DDoS-программа засылается на компьютеры «жертв-посредников» и после запуска, в зависимости от текущей даты или по команде от хакера, начинает сетевую атаку на указанный сервер в сети.
Некоторые сетевые черви содержат в себе DoS-процедуры, атакующие сайты, которые по каким-либо причинам «невзлюбил» автор червя.
Обрати внимание!
Червь «Codered» 20 августа 2001 года организовал успешную атаку на официальный сайт президента США, а червь «Mydoom» 1 февраля 2004 года «выключил» сайт компании-производителя дистрибутивов UNIX.
Некоторые хакерские утилиты реализуют фатальные сетевые атаки. Такие утилиты используют уязвимости в операционных системах и приложениях и отправляют специально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении, и система прекращает работу.
Утилиты «взлома» удалённых компьютеров
Утилиты «взлома» удалённых компьютеров предназначены для проникновения в удалённые компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удалённого администрирования) или для внедрения во «взломанную» систему других вредоносных программ.
Утилиты «взлома» удалённых компьютеров обычно используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере.
Профилактическая защита от таких хакерских утилит состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений.
Руткиты
Руткит — программа или набор программ для скрытного взятия под контроль «взломанной» системы.
Термин «rootkit» исторически пришёл из мира операционной системы UNIX, и под этим термином понимается набор утилит, которые хакер устанавливает на «взломанном» им компьютере после получения первоначального доступа.
В операционной системе Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции. Перехват и модификация низкоуровневых функций, в первую очередь, позволяет такой программе достаточно качественно маскировать своё присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).
Защита от хакерских атак и сетевых червей
Защита компьютерных сетей или отдельных компьютеров от несанкционированного доступа может осуществляться с помощью межсетевого экрана, или брандмауэра (от англ. firewall). Межсетевой экран может быть реализован как аппаратно, так и программно.
Межсетевой экран позволяет:
Межсетевой экран позволяет:
1) блокировать хакерские DoS-атаки, не пропуская на защищаемый компьютер сетевые пакеты с определенных серверов;
2) не допускать проникновение на защищаемый компьютер сетевых червей (почтовых, Web и др.);
3) препятствовать троянским программам отправлять конфиденциальную информацию о пользователе и компьютере.
Did you find apk for android? You can find new Free Android Games and apps.
