Klassifizierung von Computerviren und Antivirenprogrammen. Antivirus-Klassifizierung Antivirus-Klassifizierung

Antivirenprogramm (Antivirus) - ein Programm zum Erkennen und Entfernen von Computerviren und anderen bösartigen Programmen, zum Verhindern ihrer Verbreitung sowie zum Wiederherstellen von damit infizierten Programmen.

Die Hauptaufgaben moderner Antivirenprogramme:

- Scannen Sie Dateien und Programme in Echtzeit.
- Scannen Sie Ihren Computer bei Bedarf.
- Scannen des Internetverkehrs.
- E-Mail-Scannen.
- Schutz vor Angriffen von gefährlichen Websites.
- Wiederherstellung beschädigter Dateien (Behandlung).

Klassifizierung von Antivirenprogrammen:

· Detektorprogramme bieten die Suche und Erkennung von Viren im RAM und auf externen Medien und geben bei Entdeckung eine entsprechende Meldung aus. Es gibt Detektoren:
- 1.universal - in ihrer Arbeit verwenden, um die Unveränderlichkeit von Dateien durch Zählen und Vergleichen mit der Standardprüfsumme zu überprüfen
- 2. spezialisiert- eine Suche nach bekannten Viren anhand ihrer Signatur (ein wiederholter Codeabschnitt) durchführen. Der Nachteil solcher Detektoren besteht darin, dass sie nicht alle bekannten Viren erkennen können.

Ein Detektor, der mehrere Viren erkennt, wird als Polydetektor bezeichnet. Der Nachteil solcher Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

· Doktorprogramme (Phagen) mit Viren infizierte Dateien nicht nur finden, sondern auch "heilen", d.h. Entfernen Sie den Hauptteil des Virenprogramms aus der Datei und versetzen Sie die Dateien in ihren ursprünglichen Zustand zurück. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann fort, Dateien zu "heilen". Unter den Phagen werden Polyphagen unterschieden, d.h. Arztprogramme, die entwickelt wurden, um eine große Anzahl von Viren zu suchen und zu zerstören. Da ständig neue Viren auftauchen, veralten Detektor- und Arztprogramme schnell und ihre Versionen müssen regelmäßig aktualisiert werden.
· Auditorenprogramme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Auditoren merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Anfrage des Benutzers den aktuellen Zustand mit dem Anfangszustand. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. In der Regel werden Zustände unmittelbar nach dem Laden des Betriebssystems verglichen. Beim Vergleich werden Dateilänge, zyklischer Kontrollcode (Dateiprüfsumme), Änderungsdatum und -uhrzeit und andere Parameter überprüft.
· Filter (Wächter) sind kleine residente Programme, die entwickelt wurden, um verdächtige Aktionen während des Computerbetriebs zu erkennen, die typisch für Viren sind. Solche Aktionen können sein:
- 1. versucht, Dateien mit COM- und EXE-Erweiterungen zu korrigieren;
- 2. Ändern der Dateiattribute;
- 3. direktes Schreiben auf die Platte an einer absoluten Adresse;
- 4. Schreiben in die Bootsektoren der Platte;

Impfprogramme (Impfprogramme) sind TSR-Programme, die Dateiinfektionen verhindern. Impfstoffe kommen zum Einsatz, wenn es keine Arztprogramme gibt, die dieses Virus „heilen“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Diskette so, dass sie ihre Arbeit nicht beeinträchtigt und der Virus sie als infiziert wahrnimmt und daher nicht eingeführt wird. Ein wesentlicher Nachteil solcher Programme ist ihre begrenzte Fähigkeit, eine Infektion durch eine Vielzahl von Viren zu verhindern.

Funktionen von Antivirenprogrammen

Echtzeit-Virenschutz

Die meisten Antivirenprogramme bieten Echtzeitschutz. Das bedeutet, dass das Antivirenprogramm Ihren Computer jede Sekunde vor allen eingehenden Bedrohungen schützt. Auch wenn Ihr Computer nicht von einem Virus infiziert wurde, sollten Sie daher in Erwägung ziehen, ein Antivirenprogramm mit Echtzeitschutz zu installieren, um eine weitere Ausbreitung der Infektion zu verhindern.

Bedrohungserkennung

Antivirenprogramme können Ihren gesamten Computer auf Viren scannen. Zunächst werden die anfälligsten Bereiche, Systemordner und der Arbeitsspeicher gescannt. Sie können die Scansektoren auch selbst auswählen oder beispielsweise eine bestimmte Festplatte scannen. Allerdings sind nicht alle Antivirenprogramme gleich in ihren Algorithmen, und einige Antivirenprogramme haben eine höhere Erkennungsrate als andere.

Automatische Updates

Neue Viren werden erstellt und erscheinen jeden Tag. Daher ist es für Antivirenprogramme äußerst wichtig, die Antiviren-Datenbanken (eine Liste aller bekannten Viren, alte und neue) aktualisieren zu können. Automatische Updates sind erforderlich, da veraltete Antivirenprogramme keine neuen Viren und Bedrohungen erkennen können. Wenn Ihr Antivirenprogramm nur manuelle Updates anbietet, vergessen Sie möglicherweise, die Antivirendefinitionen zu aktualisieren, und Ihr Computer kann mit einem neuen Virus infiziert werden. Versuchen Sie, ein Antivirenprogramm mit automatischen Updates auszuwählen.

Benachrichtigungen

Antivirus warnt Sie, wenn ein Programm versucht, auf Ihren Computer zuzugreifen. Ein Beispiel sind Internetanwendungen. Viele Programme, die versuchen, sich Zugang zu Ihrem PC zu verschaffen, sind harmlos oder Sie haben sie freiwillig heruntergeladen, und daher geben Ihnen Antivirenprogramme die Möglichkeit, selbst zu entscheiden, ob Sie ihre Installation oder ihren Betrieb zulassen oder blockieren.

Der Virenschutz ist die häufigste Maßnahme zur Gewährleistung der Informationssicherheit der IT-Infrastruktur im Unternehmensbereich. Laut einer Studie von Kaspersky Lab in Zusammenarbeit mit dem Analyseunternehmen B2B International (Herbst 2013) verwenden jedoch nur 74 % der russischen Unternehmen Antivirenlösungen zum Schutz.

Der Bericht besagt auch, dass russische Unternehmen inmitten des explosionsartigen Anstiegs von Cyber-Bedrohungen, vor denen Unternehmen durch einfache Antivirenprogramme geschützt werden, zunehmend komplexe Schutztools verwenden. Vor allem aus diesem Grund stieg die Nutzung von Datenverschlüsselungstools auf Wechselmedien um 7 % (24 %). Darüber hinaus sind Unternehmen eher bereit, Sicherheitsrichtlinien für Wechseldatenträger festzulegen. Auch die Differenzierung der Zugriffsebene auf verschiedene Teile der IT-Infrastruktur nahm zu (49%). Gleichzeitig achten kleine und mittlere Unternehmen stärker auf die Kontrolle von Wechseldatenträgern (35%) und die Kontrolle von Anwendungen (31%).

Die Forscher fanden auch heraus, dass russische Unternehmen trotz der ständigen Entdeckung neuer Schwachstellen in Software den regelmäßigen Software-Updates immer noch nicht genügend Aufmerksamkeit schenken. Darüber hinaus ist die Zahl der Organisationen, die Patches bereitstellen, gegenüber dem Vorjahr auf nur noch 59 % gesunken.

Moderne Antivirenprogramme sind in der Lage, schädliche Objekte in Programm- und Dokumentdateien effizient zu erkennen. In einigen Fällen kann das Antivirenprogramm den Körper des schädlichen Objekts aus der infizierten Datei entfernen, indem es die Datei selbst wiederherstellt. In den meisten Fällen kann ein Antivirus ein schädliches Programmobjekt nicht nur aus einer Programmdatei, sondern auch aus einer Office-Dokumentdatei entfernen, ohne deren Integrität zu verletzen. Die Verwendung von Antivirenprogrammen erfordert keine hohen Qualifikationen und steht fast jedem Computerbenutzer zur Verfügung.

Die meisten Antivirenprogramme kombinieren Echtzeit-Schutzfunktionen (Antivirus-Monitor) und On-Demand-Schutzfunktionen (Antivirus-Scanner).

Antivirus-Bewertung

2019: Zwei Drittel der Antivirenprogramme für Android erwiesen sich als nutzlos

Im März 2019 veröffentlichte das österreichische Antiviren-Software-Testlabor AV-Comparatives eine Studie, die zeigte, dass die meisten dieser Programme für Android unbrauchbar sind.

Nur 23 Antivirenprogramme, die sich im offiziellen Google Play Store befinden, erkennen Schadprogramme in 100 % der Fälle genau. Der Rest der Software reagiert entweder nicht auf mobile Bedrohungen oder verwendet dafür absolut sichere Anwendungen.

Experten untersuchten 250 Antivirenprogramme und berichteten, dass nur 80 % von ihnen mehr als 30 % der Malware erkennen können. Damit haben 170 Bewerbungen den Test nicht bestanden. Zu den Produkten, die die Tests bestanden, zählten hauptsächlich Lösungen großer Hersteller, darunter Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro und Trustwave.

Als Teil des Experiments installierten die Forscher jede Antivirenanwendung auf einem separaten Gerät (ohne Emulator) und automatisierten die Geräte, um einen Browser zu starten, Malware herunterzuladen und dann zu installieren. Jedes Gerät wurde 2018 mit 2.000 der gängigsten Android-Viren getestet.

Laut AV-Comparatives sind die meisten Android-Antivirenlösungen gefälscht. Dutzende von Anwendungen haben eine fast identische Oberfläche, und ihre Entwickler sind eindeutig mehr daran interessiert, Anzeigen anzuzeigen, als einen funktionierenden Antiviren-Scanner zu schreiben.

Einige Antivirenprogramme „sehen“ eine Bedrohung in jeder Anwendung, die nicht in ihrer „weißen Liste“ enthalten ist. Aus diesem Grund haben sie in einer Reihe sehr anekdotischer Fälle wegen ihrer eigenen Dateien Alarm geschlagen, da die Entwickler vergessen haben, sie in der "White List" zu erwähnen.

2017: Microsoft Security Essentials als eines der schlechtesten Antivirenprogramme anerkannt

Im Oktober 2017 veröffentlichte das deutsche Antiviren-Labor AV-Test die Ergebnisse umfassender Tests von Antiviren. Laut der Studie erfüllt Microsofts proprietäre Software zum Schutz vor böswilligen Aktivitäten ihre Aufgaben fast am schlechtesten.

Laut den Ergebnissen von Tests, die im Juli-August 2017 durchgeführt wurden, haben die Experten von AV-Test Kaspersky Internet Security zum besten Antivirenprogramm für Windows 7 gekürt, das 18 Punkte in der Bewertung des Schutzniveaus, der Leistung und der Benutzerfreundlichkeit erhielt.

Zu den ersten drei zählten Trend Micro Internet Security und Bitdefender Internet Security, die jeweils 17,5 Punkte erhielten. Den Status von Produkten anderer Antivirus-Unternehmen, die in die Studie aufgenommen wurden, können Sie den folgenden Abbildungen entnehmen:

Viele Scanner verwenden auch heuristische Scan-Algorithmen, d.h. Analysieren der Befehlsfolge in dem geprüften Objekt, Sammeln einiger Statistiken und Treffen einer Entscheidung für jedes geprüfte Objekt.

Scanner können auch in zwei Kategorien unterteilt werden – allgemeine und spezialisierte. Universelle Scanner wurden entwickelt, um alle Arten von Viren zu suchen und zu neutralisieren, unabhängig vom Betriebssystem, für das der Scanner entwickelt wurde. Spezialisierte Scanner sind darauf ausgelegt, eine begrenzte Anzahl von Viren oder nur eine Klasse davon zu neutralisieren, beispielsweise Makroviren.

Scanner werden auch in residente (Monitore), die im laufenden Betrieb scannen, und nicht residente, die nur bei Bedarf einen Systemscan durchführen, unterteilt. In der Regel bieten residente Scanner einen zuverlässigeren Systemschutz, da sie sofort auf einen Virus reagieren, während ein nicht-residenter Scanner einen Virus erst beim nächsten Start erkennt.

CRC-Scanner

Das Funktionsprinzip von CRC-Scannern basiert auf der Berechnung von CRC-Summen (Prüfsummen) für auf der Platte vorhandene Dateien / Systemsektoren. Diese CRC-Summen werden dann zusammen mit einigen anderen Informationen in der Antiviren-Datenbank gespeichert: Dateilängen, Datum der letzten Änderung usw. Beim anschließenden Start vergleichen die CRC-Scanner die in der Datenbank enthaltenen Daten mit den tatsächlich berechneten Werten. Stimmen die in der Datenbank erfassten Informationen zu einer Datei nicht mit den tatsächlichen Werten überein, signalisieren CRC-Scanner, dass die Datei verändert oder mit einem Virus infiziert wurde.

CRC-Scanner können einen Virus nicht in dem Moment abfangen, in dem er im System auftaucht, sondern erst nach einiger Zeit, nachdem sich der Virus im Computer ausgebreitet hat. CRC-Scanner können einen Virus in neuen Dateien (in E-Mail, auf Disketten, in Dateien, die aus einem Backup wiederhergestellt wurden oder beim Entpacken von Dateien aus einem Archiv) nicht erkennen, da ihre Datenbanken keine Informationen über diese Dateien haben. Darüber hinaus gibt es periodisch Viren, die diese Schwäche von CRC-Scannern ausnutzen, nur neu erstellte Dateien infizieren und damit für diese unsichtbar bleiben.

Blocker

Antivirus-Blocker sind speicherresidente Programme, die gefährliche Situationen abfangen und den Benutzer darüber informieren. Zu den virenbedrohenden Anrufen zählen Aufrufe zum Öffnen zum Schreiben in ausführbare Dateien, Schreiben in Bootsektoren von Festplatten oder in den MBR der Festplatte, Versuche von Programmen, resident zu bleiben usw Reproduzieren.

Zu den Vorteilen von Blockern gehört ihre Fähigkeit, ein Virus im frühesten Stadium seiner Vermehrung zu erkennen und zu stoppen. Zu den Nachteilen zählen die Möglichkeit, den Schutz durch Blocker zu umgehen, und eine große Anzahl von Fehlalarmen.

Immunisatoren

Immunisatoren werden in zwei Typen unterteilt: Immunisatoren, die eine Infektion melden, und Immunisatoren, die eine Infektion blockieren. Erstere werden normalerweise an das Ende von Dateien geschrieben (wie ein Dateivirus) und jedes Mal, wenn die Datei gestartet wird, wird sie auf Änderungen überprüft. Solche Immunisatoren haben nur einen Nachteil, der jedoch tödlich ist: die absolute Unfähigkeit, eine Infektion mit dem Stealth-Virus zu melden. Daher werden solche Immunisierungsmittel sowie Blocker derzeit praktisch nicht verwendet.

Die zweite Art der Immunisierung schützt das System vor einer Infektion mit einem bestimmten Virustyp. Dateien auf Datenträgern werden so modifiziert, dass der Virus sie als bereits infiziert betrachtet. Zum Schutz vor einem residenten Virus wird ein Programm, das eine Kopie des Virus imitiert, in den Arbeitsspeicher des Computers geschrieben. Beim Start stolpert der Virus darüber und glaubt, dass das System bereits infiziert ist.

Diese Art der Immunisierung kann nicht universell sein, da Dateien nicht gegen alle bekannten Viren immunisiert werden können.

Klassifizierung von Antivirenprogrammen basierend auf ihrer Variabilität im Laufe der Zeit

Laut Valery Konyavsky lassen sich Antiviren-Tools in zwei große Gruppen einteilen – die Analyse von Daten und die Analyse von Prozessen.

Datenanalyse

Die Datenanalyse umfasst Auditoren und Polyphagen. Auditoren analysieren die Folgen der Aktivitäten von Computerviren und anderen Schadprogrammen. Die Folgen manifestieren sich in Datenänderungen, die nicht verändert werden sollten. Die Tatsache, dass sich die Daten verändert haben, ist aus Sicht des Prüfers ein Zeichen für die Aktivität von Schadprogrammen. Mit anderen Worten, Auditoren kontrollieren die Integrität der Daten und treffen bei Verletzung der Integrität eine Entscheidung über das Vorhandensein von Schadprogrammen in der Computerumgebung.

Polyphagen wirken anders. Anhand von Datenanalysen isolieren sie Fragmente von Schadcode (zum Beispiel durch dessen Signatur) und ziehen auf dieser Grundlage Rückschlüsse auf das Vorhandensein von Schadprogrammen. Das Entfernen oder Desinfizieren von mit einem Virus infizierten Daten trägt dazu bei, die negativen Folgen der Ausführung bösartiger Programme zu vermeiden. Somit werden aufgrund der Analyse in der Statik die Konsequenzen aus der Dynamik vermieden.

Das Arbeitsschema von Auditoren und Polyphagen ist praktisch gleich - die Daten (oder ihre Prüfsumme) mit einer oder mehreren Referenzproben zu vergleichen. Die Daten werden mit den Daten verglichen. Um einen Virus auf Ihrem Computer zu finden, müssen Sie ihn also funktionieren lassen, damit die Folgen seiner Aktivität sichtbar werden. Dieses Verfahren kann nur bekannte Viren finden, für die zuvor Codefragmente oder Signaturen beschrieben wurden. Es ist unwahrscheinlich, dass ein solcher Schutz als zuverlässig bezeichnet werden kann.

Prozessanalyse

Auf Prozessanalyse basierende Antiviren-Tools funktionieren etwas anders. Heuristische Analysatoren, wie die oben beschriebenen, analysieren Daten (auf der Platte, in einem Kanal, im Speicher usw.). Der grundlegende Unterschied besteht darin, dass die Analyse unter der Annahme durchgeführt wird, dass es sich bei dem analysierten Code nicht um Daten, sondern um Befehle handelt (bei Computern mit von Neumann-Architektur sind Daten und Befehle nicht zu unterscheiden, insofern hat während der Analyse die eine oder andere Annahme vorgetragen werden.)

Der heuristische Analysator identifiziert eine Abfolge von Operationen, ordnet ihnen jeweils eine bestimmte Gefahreneinstufung zu und entscheidet anhand der Gesamtheit der Gefahr, ob diese Abfolge Teil des Schadcodes ist. Der Code selbst wird nicht ausgeführt.

Eine andere Art von prozessbasiertem Antivirus sind Verhaltensblocker. In diesem Fall wird der verdächtige Code schrittweise ausgeführt, bis die durch den Code initiierten Aktionen als gefährliches (oder sicheres) Verhalten bewertet werden. In diesem Fall wird der Code teilweise ausgeführt, da die Vervollständigung des Schadcodes durch einfachere Methoden der Datenanalyse erkannt werden kann.

Technologien zur Virenerkennung

Antivirus-Technologien können in zwei Gruppen unterteilt werden:

Technologien zur Signaturanalyse
Probabilistische Analysetechnologien

Technologien zur Signaturanalyse

Die Signaturanalyse ist eine Methode zur Virenerkennung, die Dateien auf Virensignaturen prüft. Die Signaturanalyse ist die bekannteste Methode zur Erkennung von Viren und wird in fast allen modernen Antivirenprogrammen verwendet. Um einen Scan durchzuführen, benötigt das Antivirenprogramm eine Reihe von Virensignaturen, die in der Antivirendatenbank gespeichert werden.

Da die Signaturanalyse das Scannen von Dateien auf Virensignaturen umfasst, muss die Antivirendatenbank regelmäßig aktualisiert werden, um die Antivirensoftware auf dem neuesten Stand zu halten. Das eigentliche Funktionsprinzip der Signaturanalyse definiert auch die Grenzen ihrer Funktionalität - die Fähigkeit, nur bereits bekannte Viren zu erkennen - ein Signaturscanner ist gegen neue Viren machtlos.

Andererseits impliziert das Vorhandensein von Virensignaturen die Möglichkeit, infizierte Dateien zu heilen, die mithilfe der Signaturanalyse erkannt wurden. Allerdings können nicht alle Viren geheilt werden – Trojaner und die meisten Würmer können aufgrund ihrer Konstruktionsmerkmale nicht geheilt werden, da sie integrale Module sind, die Schaden anrichten sollen.

Durch eine kompetente Implementierung der Virensignatur können Sie bekannte Viren mit hundertprozentiger Wahrscheinlichkeit erkennen.

Probabilistische Analysetechnologien

Probabilistische Analysetechnologien wiederum werden in drei Kategorien unterteilt:

Heuristische Analyse
Verhaltensanalyse
Prüfsummenanalyse

Heuristische Analyse

Die heuristische Analyse ist eine auf probabilistischen Algorithmen basierende Technologie, deren Ergebnis die Identifizierung verdächtiger Objekte ist. Bei der heuristischen Analyse wird die Dateistruktur und deren Übereinstimmung mit Virenmustern überprüft. Die gängigste heuristische Technologie besteht darin, den Inhalt einer Datei auf Veränderungen bereits bekannter Virensignaturen und deren Kombinationen zu überprüfen. Dies hilft, Hybriden und neue Versionen bereits bekannter Viren zu erkennen, ohne die Antiviren-Datenbank zusätzlich aktualisieren zu müssen.

Die heuristische Analyse wird verwendet, um unbekannte Viren zu erkennen und beinhaltet daher keine Heilung. Diese Technologie ist nicht zu 100 % in der Lage, festzustellen, ob sich das Virus vor ihr befindet oder nicht, und wie jeder probabilistische Algorithmus leidet sie unter falsch positiven Ergebnissen.

Verhaltensanalyse

Verhaltensanalyse ist eine Technologie, bei der eine Entscheidung über die Art des zu prüfenden Objekts auf der Grundlage einer Analyse der von ihm durchgeführten Operationen getroffen wird. Die Verhaltensanalyse ist in der Praxis sehr eng anwendbar, da die meisten der für Viren typischen Aktionen von gewöhnlichen Anwendungen ausgeführt werden können. Die bekanntesten Verhaltensanalysatoren für Skripte und Makros, da die entsprechenden Viren fast immer eine Reihe ähnlicher Aktionen ausführen.

Die im BIOS integrierten Schutzfunktionen können auch als Verhaltensanalysatoren klassifiziert werden. Wenn versucht wird, den MBR eines Computers zu ändern, blockiert der Analysator die Aktion und zeigt dem Benutzer eine entsprechende Benachrichtigung an.

Darüber hinaus können Verhaltensanalysatoren Versuche verfolgen, direkt auf Dateien zuzugreifen, Änderungen am Boot-Record von Disketten, Formatierungen von Festplatten usw.

Verhaltensanalysatoren verwenden keine zusätzlichen Objekte wie Virendatenbanken zum Betrieb und können daher nicht zwischen bekannten und unbekannten Viren unterscheiden - alle verdächtigen Programme gelten als a priori unbekannte Viren. Ebenso beinhaltet das Verhalten von Tools, die Verhaltensanalysetechnologien implementieren, keine Behandlung.

Prüfsummenanalyse

Die Prüfsummenanalyse ist eine Möglichkeit, Änderungen an Objekten in einem Computersystem zu verfolgen. Aufgrund der Analyse der Art der Änderungen - Gleichzeitigkeit, Massivität, identische Änderungen der Dateilängen - können wir auf eine Infektion des Systems schließen. Prüfsummen-Analysatoren (auch Change-Auditoren genannt) verwenden wie Verhaltensanalysatoren keine zusätzlichen Objekte in ihrer Arbeit und fällen ein Urteil über das Vorhandensein eines Virus im System allein durch die Methode der Expertenbeurteilung. Ähnliche Technologien werden in Scannern beim Zugriff verwendet - bei der ersten Prüfung wird die Prüfsumme aus der Datei entfernt und in den Cache gelegt, vor der nächsten Prüfung derselben Datei wird die Summe wieder entfernt, verglichen und wenn keine Änderungen vorliegen , gilt die Datei als nicht infiziert.

Antivirus-Komplexe

Der Antivirus-Komplex ist eine Reihe von Antivirenprogrammen, die denselben oder dieselben Antivirenkernel verwenden, um praktische Probleme bei der Gewährleistung der Antivirensicherheit von Computersystemen zu lösen. Der Antivirenkomplex umfasst auch notwendigerweise Tools zum Aktualisieren der Antivirendatenbanken.

Darüber hinaus kann die Antiviren-Suite zusätzlich Verhaltensanalysatoren und Änderungsprüfer enthalten, die die Antiviren-Engine nicht verwenden.

Es gibt die folgenden Arten von Antivirus-Komplexen:

Antivirus-Komplex zum Schutz von Workstations
Antivirus-Komplex zum Schutz von Dateiservern
Antivirus-Komplex zum Schutz von Mailsystemen
Antivirus-Komplex zum Schutz von Gateways.

Cloud-Antivirus im Vergleich zu herkömmlichem Desktop-Antivirus: Was sollten Sie wählen?

(Basierend auf Materialien aus der Ressource Webroot.com)

Der moderne Markt für Antiviren-Tools sind vor allem traditionelle Lösungen für Desktop-Systeme, bei denen Schutzmechanismen auf Basis signaturbasierter Verfahren aufgebaut sind. Eine alternative Methode des Virenschutzes ist die Verwendung der heuristischen Analyse.

Probleme mit herkömmlicher Antivirensoftware

In letzter Zeit sind traditionelle Antiviren-Technologien immer weniger effektiv und veralten schnell, was auf eine Reihe von Faktoren zurückzuführen ist. Die Anzahl der von Signaturen erkannten Virenbedrohungen ist bereits so groß, dass es oft eine unrealistische Aufgabe ist, eine zeitgerechte 100%ige Aktualisierung der Signaturdatenbanken auf den Computern der Benutzer sicherzustellen. Hacker und Cyberkriminelle nutzen zunehmend Botnets und andere Technologien, um die Verbreitung von Zero-Day-Virenbedrohungen zu beschleunigen. Zudem generieren gezielte Angriffe keine Signaturen für die entsprechenden Viren. Schließlich werden neue Technologien gegen die Antiviren-Erkennung eingesetzt: Malware-Verschlüsselung, Erzeugung polymorpher Viren auf der Serverseite, Vorprüfung der Qualität eines Virenangriffs.

Herkömmlicher Virenschutz basiert meistens auf der „Thick Client“-Architektur. Dies bedeutet, dass eine große Menge Code auf dem Computer des Clients installiert wird. Es überprüft eingehende Daten und erkennt das Vorhandensein von Virenbedrohungen.

Dieser Ansatz hat mehrere Nachteile. Erstens erfordert das Scannen nach Malware und das Vergleichen von Signaturen eine erhebliche Rechenlast, die dem Benutzer abgenommen wird. Infolgedessen nimmt die Produktivität des Computers ab und die Arbeit des Antivirenprogramms beeinträchtigt manchmal die Ausführung paralleler Anwendungsaufgaben. Manchmal ist die Belastung des Systems des Benutzers so spürbar, dass Benutzer Antivirenprogramme deaktivieren und damit die Barriere gegen einen möglichen Virenangriff beseitigen.

Zweitens erfordert jedes Update auf dem Computer des Benutzers das Senden Tausender neuer Signaturen. Die übertragene Datenmenge liegt in der Regel in der Größenordnung von 5 MB pro Tag und Maschine. Die Datenübertragung verlangsamt das Netzwerk, lenkt zusätzliche Systemressourcen um und erfordert die Beteiligung von Systemadministratoren, um den Verkehr zu kontrollieren.

Drittens sind Benutzer im Roaming oder außerhalb eines festen Arbeitsplatzes anfällig für Zero-Day-Angriffe. Um den aktualisierten Teil der Signaturen zu erhalten, müssen sie sich mit einem VPN-Netzwerk verbinden, auf das sie nicht aus der Ferne zugreifen können.

Virenschutz aus der Cloud

Beim Wechsel zum Virenschutz aus der Cloud ändert sich die Architektur der Lösung deutlich. Auf dem Computer des Benutzers wird ein „leichter“ Client installiert, dessen Hauptfunktion darin besteht, nach neuen Dateien zu suchen, Hash-Werte zu berechnen und Daten an den Cloud-Server zu senden. Ein umfassender Vergleich wird in der Cloud über eine große Datenbank gesammelter Signaturen durchgeführt. Diese Datenbank wird aufgrund der von Antiviren-Unternehmen übermittelten Daten ständig und zeitnah aktualisiert. Der Auftraggeber erhält einen Bericht mit den Ergebnissen der Prüfung.

Somit bietet die Cloud-Architektur des Virenschutzes eine Reihe von Vorteilen:

die Anzahl der Berechnungen auf dem Computer des Benutzers ist im Vergleich zu einem dicken Client vernachlässigbar, daher nimmt die Produktivität des Benutzers nicht ab;
es gibt keine katastrophalen Auswirkungen des Antiviren-Verkehrs auf die Netzwerkbandbreite: Es soll ein kompaktes Stück Daten gesendet werden, das nur einige Dutzend Hash-Werte enthält, das durchschnittliche tägliche Verkehrsaufkommen überschreitet 120 KByte nicht;
Cloud-Speicher enthält riesige Sammlungen von Signaturen, die viel größer sind als die, die auf Benutzercomputern gespeichert sind;
In der Cloud verwendete Signaturvergleichsalgorithmen sind deutlich intelligenter als vereinfachte Modelle, die auf lokaler Stationsebene verwendet werden, und aufgrund der höheren Leistung dauert der Datenvergleich weniger Zeit;
Cloud-Antivirendienste arbeiten mit echten Daten, die von Antivirenlabors, Sicherheitsentwicklern, Unternehmens- und Privatbenutzern empfangen wurden; Zero-Day-Bedrohungen werden gleichzeitig mit ihrer Erkennung blockiert, ohne die Verzögerung, die durch die Notwendigkeit des Zugriffs auf die Computer der Benutzer entsteht;
Benutzer, die roaming sind oder keinen Zugang zu ihrem Hauptarbeitsplatz haben, werden gleichzeitig mit dem Zugang zum Internet vor Zero-Day-Angriffen geschützt;
Die Arbeitsbelastung der Systemadministratoren wird reduziert: Sie müssen keine Zeit damit verbringen, Antivirensoftware auf den Computern der Benutzer zu installieren und Signaturdatenbanken zu aktualisieren.

Warum herkömmliche Antivirenprogramme versagen

Moderner Schadcode kann:

Umgehen Sie die Fallen von Antivirenprogrammen, indem Sie einen speziellen Zielvirus für das Unternehmen erstellen
Bevor das Antivirenprogramm eine Signatur erstellt, wird es mithilfe von Polymorphismus und Transcodierung mithilfe von dynamischem DNS und URLs umgangen

Gezielte Kreation für ein Unternehmen
Polymorphismus
Code noch niemandem unbekannt - keine Signatur

Schwer zu verteidigen

Hochgeschwindigkeits-Antiviren von 2011

Das unabhängige russische Informations- und Analysezentrum Anti-Malware.ru veröffentlichte im Mai 2011 die Ergebnisse des nächsten Vergleichstests der 20 beliebtesten Antivirenprogramme für Leistung und Verbrauch von Systemressourcen.

Der Zweck dieses Tests besteht darin, zu zeigen, welche persönlichen Antivirenprogramme die geringsten Auswirkungen auf den Benutzer haben, der typische Operationen auf dem Computer ausführt, seine Arbeit weniger verlangsamt und die minimalen Systemressourcen verbrauchen.

Unter den Antivirenmonitoren (Scanner in Echtzeit) hat eine ganze Gruppe von Produkten eine sehr hohe Leistung gezeigt, darunter Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro und Dr.Web. Mit diesen Antivirenprogrammen an Bord betrug die Verlangsamung beim Kopieren der Testsammlung weniger als 20 % im Vergleich zur Referenz. Auch die Antivirus-Monitore BitDefender, PC Tools, Outpost, F-Secure, Norton und Emsisoft schnitten in Bezug auf die Leistung gut ab und bewegten sich im Bereich von 30-50%. Auch die Antivirus-Monitore BitDefender, PC Tools, Outpost, F-Secure, Norton und Emsisoft schnitten in Bezug auf die Leistung gut ab und bewegten sich im Bereich von 30-50%.

Gleichzeitig können Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost und PC Tools unter realen Bedingungen aufgrund der Optimierung der nachfolgenden Scans viel schneller sein.

Avira Antivirus zeigte bei Bedarf die beste Scangeschwindigkeit. Etwas hinter ihm waren Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus und Outpost. In Bezug auf die Geschwindigkeit des ersten Scans sind diese Antivirenprogramme dem Spitzenreiter nur geringfügig unterlegen, gleichzeitig verfügen sie alle über leistungsstarke Technologien zur Optimierung wiederholter Scans in ihrem Arsenal.

Ein weiteres wichtiges Merkmal der Geschwindigkeit des Antivirenprogramms ist seine Auswirkung auf den Betrieb von Anwendungsprogrammen, mit denen der Benutzer häufig arbeitet. Fünf wurden für den Test ausgewählt: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader und Adobe Photoshop. Die Antivirenprogramme Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost und G Data zeigten die geringste Verlangsamung beim Start dieser Office-Programme.

Der Benutzer eines modernen Personalcomputers hat freien Zugriff auf alle Ressourcen der Maschine. Dies eröffnete die Möglichkeit der Existenz einer Gefahr, die als Computervirus bezeichnet wurde.

Ein Computervirus ist ein speziell geschriebenes Programm, das sich spontan an andere Programme anhängen, Kopien von sich selbst erstellen und diese in Dateien, Systembereiche eines Computers und Computernetzwerke einfügen kann, um den Betrieb von Programmen zu stören, Dateien und Verzeichnisse zu beschädigen und alle Arten von Störungen des Computers. Je nach Umgebung können Viren in Netzwerk-, Datei-, Boot-, Datei-Boot-, Makroviren und Trojaner unterteilt werden.

Netzwerkvirenüber verschiedene Computernetzwerke verteilt.
Dateiviren sind hauptsächlich in ausführbare Module eingebettet. Dateiviren können in andere Dateitypen eindringen, aber in der Regel in solchen Dateien aufgezeichnet, erlangen sie nie die Kontrolle und verlieren daher ihre Replikationsfähigkeit.
Boot-Viren werden in den Bootsektor der Festplatte (Bootsektor) oder in den Sektor eingebettet, der das Bootprogramm der Systemfestplatte enthält (Master Boot Record).
Datei-Boot-Viren infizieren sowohl Dateien als auch Bootsektoren von Festplatten.
Makroviren sind in Hochsprachen geschrieben und infizieren Dokumentdateien von Anwendungen, die über integrierte Automatisierungssprachen (Makrosprachen) verfügen, wie z. B. Anwendungen der Microsoft Office-Familie.
Trojaner Als nützliche Programme getarnt, sind sie eine Quelle für Computerinfektionen mit Viren.

Um Computerviren zu erkennen, zu entfernen und vor ihnen zu schützen, wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme werden als Antivirenprogramme bezeichnet. Es gibt folgende Typen Antiviren Software:

- Detektorprogramme;
- Programme-Ärzte oder Phagen;
- Auditorenprogramme;
- Filterprogramme;
- Impfprogramme oder Immunisierungsmittel.

Detektorprogramme Sie suchen im RAM und in Dateien nach einer Signatur, die für einen bestimmten Virus charakteristisch ist, und geben bei Entdeckung eine entsprechende Meldung aus. Der Nachteil solcher Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Doktorprogramme, oder Phagen, und Impfprogramme finden nicht nur mit Viren infizierte Dateien, sondern „heilen“ sie auch, dh sie löschen den Körper des Virenprogramms aus der Datei und versetzen die Dateien in ihren ursprünglichen Zustand zurück. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann fort, Dateien zu "heilen". Unter den Phagen gibt es Polyphagen, d. h. Arztprogramme, die eine große Anzahl von Viren durchsuchen und zerstören. Die bekanntesten von ihnen: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Da ständig neue Viren auftauchen, veralten Detektor- und Arztprogramme schnell und es sind regelmäßige Versions-Updates erforderlich.

Auditorenprogramme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Auditoren merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Anfrage des Benutzers den aktuellen Zustand mit dem Anfangszustand. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. In der Regel werden Zustände unmittelbar nach dem Laden des Betriebssystems verglichen. Beim Vergleich werden Dateilänge, zyklischer Kontrollcode (Dateiprüfsumme), Änderungsdatum und -uhrzeit und andere Parameter überprüft. Auditor-Programme verfügen über ziemlich fortschrittliche Algorithmen, erkennen Tarnkappenviren und können sogar Änderungen in der Version des gescannten Programms von Änderungen unterscheiden, die von einem Virus vorgenommen wurden. Das weit verbreitete Programm Kaspersky Monitor gehört zu den Prüfprogrammen.

Filter oder "Wächter" sind kleine residente Programme, die entwickelt wurden, um verdächtige Aktionen während des Computerbetriebs zu erkennen, die typisch für Viren sind. Solche Aktionen können sein:

- versucht, Dateien mit COM-Erweiterungen zu korrigieren. EXE;
- Ändern der Attribute der Datei;
- Direktes Schreiben auf die Platte an einer absoluten Adresse;
- Schreiben in die Bootsektoren der Festplatte;

Um Viren zu zerstören, müssen Sie andere Programme wie Phagen verwenden. Zu den Nachteilen von Watchdog-Programmen zählen ihre "Aufdringlichkeit" (sie warnen beispielsweise ständig vor jedem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software.

Impfstoffe oder Immunisierungen Sind residente Programme. Dateiinfektion verhindern. Impfstoffe kommen zum Einsatz, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Diskette so, dass sie ihre Arbeit nicht beeinträchtigt und der Virus sie als infiziert wahrnimmt und daher nicht eingeführt wird. Impfprogramme sind derzeit von begrenztem Nutzen.

Die rechtzeitige Erkennung von mit Viren infizierten Dateien und Datenträgern sowie die vollständige Beseitigung erkannter Viren auf jedem Computer tragen dazu bei, die Ausbreitung eines Virusausbruchs auf andere Computer zu verhindern.

Virusklassifizierung

Computer Virus Ist ein kleines Programm, das sich auf die Existenz und Reproduktion in einer Datei aufgrund ihrer nicht autorisierten Modifikation konzentriert, d.h. Befall , sowie das Ausführen unerwünschter Aktionen auf dem Computer. Die Anzeichen einer Infektion sind: Unfähigkeit, das Betriebssystem zu booten; einige Programme funktionieren nicht mehr oder fangen an, falsch zu arbeiten; überflüssige Zeichen und Nachrichten werden auf dem Bildschirm angezeigt; die Arbeit am Computer verlangsamt sich erheblich; einige Dateien sind beschädigt oder verschwinden; Änderungen der Dateigröße; Datum und Uhrzeit ihrer Änderung; die Anzahl der Dateien auf der Festplatte steigt usw.

Die Hauptinfektionsquellen sind E-Mail, Internet, lokales Netzwerk, Wechseldatenträger (Disketten und CD-ROMs). Sie sollten keine Ausführungsdateien ausführen, die aus einer zweifelhaften Quelle stammen und nicht zuvor von Antivirenprogrammen gescannt wurden, und einen gemeinsamen Zugriff auf Ordner und Dateien eines Computers einrichten, der im Netzwerk arbeitet.

Die Hauptbereiche der Prävention einer Infektion mit Viren:

1. Regelmäßige Virenprüfung mit den neuesten Versionen von Antivirenprogrammen;

2. Überprüfung von Daten, die von außen kommen;

3. Kopieren von Informationen und strenge Zugriffskontrolle.

Die Ziele eines Virenangriffs sind der OS Loader, der Disk Master Boot Record, Gerätetreiber, Programme und Dokumente.

Nach ihrem „Lebensraum“ werden Viren unterteilt in Datei, systemisch, Stiefel, Datei-Boot, Makroviren und Netzwerk.

Dateiviren infizieren hauptsächlich ausführbare Dateien mit den Erweiterungen .com und.exe; Systemviren - Betriebssystemmodule, Gerätetreiber, Dateizuordnungstabellen und Partitionstabellen; Bootloader sind in den Bootsektor eingebettet. Multifunktionale Viren - Datei-Boot - beschädigen die Boot-Sektoren und -Dateien der Festplatte.

Der Lebensraum von Netzwerkviren sind Computernetzwerke. Derzeit ist dies die am weitesten verbreitete Art von Viren, die am häufigsten in Form von angehängten E-Mail-Nachrichtendateien übertragen werden.

Die sogenannte Makroviren die die Fähigkeiten von Makrosprachen nutzen, die in Office-Suiten integriert sind.

Nach dem „Auswirkungsgrad“ werden Viren unterteilt in: harmlos, ungefährlich, gefährlich und zerstörerisch.

Die Manifestation und Funktionsweise des Virus wird stark durch das im Virenprogramm implementierte „Merkmal des Algorithmus“ beeinflusst. Zum Beispiel die sogenannten Viren Replikatoren vermehren sich sehr schnell und füllen den Arbeitsspeicher mit ihren Kopien, und in der Regel entspricht die Kopie nicht vollständig dem Original, was das Auffinden und Vernichten des Virus erschwert. Ähnlich handeln Wurmviren die in Computernetzwerken leben und Kopien von sich selbst über die Computer des Netzwerks senden. Wenn ein Virus auf einem Computer zerstört wird, wird er erneut infiziert.

Einige Viren tarnen sich als nützliche Programme, führen aber zusätzlich destruktive Aktionen durch (z. B. das Sammeln vertraulicher Informationen - Passwörter, Namen) bis hin zur Zerstörung des Systems. Solche Viren heißen " trojanische Pferde ».

Virenprogramme können in Softwaresysteme eingebettet werden. Normalerweise sind sie inaktiv, bis ein bestimmtes Ereignis eintritt, danach werden ihre Funktionen implementiert. Solche Viren heißen logische Bomben.

Viren unsichtbar (Stealth-Viren ) ist sehr schwer zu erkennen und zu neutralisieren, da sie die Aufrufe des Betriebssystems an infizierte Dateien und Festplattensektoren abfangen und nicht infizierte Objekte anstelle ihrer Körper ersetzen.

Nach der Infektionsmethode des Lebensraums werden Viren unterteilt in Bewohner und nicht ansässige ... Erstere zeichnen sich dadurch aus, dass sich der Virus ständig im RAM befindet, die OS-Aufrufe an andere Objekte abfängt und diese infiziert. Die zweite - sind für eine begrenzte Zeit aktiv und infizieren den Speicher nicht.

Die weite Verbreitung von Computerviren und Virenangriffen auf das globale Internet haben zur Entwicklung einer Richtung in der Softwareentwicklung wie der Erstellung von Antivirenprogrammen geführt.

Klassifizierung von Antivirenprogrammen

Antivirenprogramme sollen Infektionen verhindern und die Folgen einer Virusinfektion beseitigen. Sie können den Zugriff auf die Festplatte überwachen, den Benutzer vor verdächtigen Aktivitäten warnen und E-Mail-Nachrichten zuverlässig vor Viren schützen.

Antivirenprogramme werden nach ihren Funktionen in folgende Typen eingeteilt: Detektoren; die Ärzte; Wirtschaftsprüfer; Filter oder Wächter; Impfstoffe oder Immunisatoren.

Programme- Wirtschaftsprüfer erinnern sich an den Ausgangszustand von Programmen, Verzeichnissen und Systembereichen vor der Infektion des Computers und vergleichen ihn regelmäßig mit dem aktuellen Zustand. Wenn eine Nichtübereinstimmung gefunden wird, wird eine Warnung an den Benutzer ausgegeben.

Programme- Filter sind residente Programme, die verdächtige Aktionen während des Computerbetriebs erkennen, z. B. Versuche, ausführbare Dateien zu ändern, Dateiattribute zu ändern, in den Bootsektor der Festplatte zu schreiben usw.

Programme- Detektoren konfiguriert, um eine Infektion mit einem oder mehreren bekannten Viren zu erkennen. Die meisten Detektorprogramme erfüllen auch die Funktion eines "Arztes", d.h. Wenn sie versuchen, infizierte Dateien und Bereiche der Festplatte in ihren ursprünglichen Zustand zurückzusetzen, werden Dateien, die nicht wiederhergestellt werden konnten, normalerweise funktionsunfähig gemacht und gelöscht.

Programme- die Ärzte erkennen und behandeln infizierte Objekte durch „Ausbeißen“ des Viruskörpers. Programme dieser Art sind unterteilt in Phagen und Polyphagen (Nachweis und Zerstörung verschiedenster Viren).

Programme- Impfungen Ändern Sie eine Datei oder einen Datenträger so, dass ihre Arbeit nicht beeinträchtigt wird, der Virus sie jedoch als bereits infiziert betrachtet. Geimpft wird nur gegen bekannte Viren.

Polyphagenprogramm Doktor Web(Entwickler: I. Danilov) sucht und entfernt bekannte Viren aus dem Speicher und von Computerlaufwerken. Das Vorhandensein eines intelligenten heuristischen Analysators ermöglicht es, neue, bisher unbekannte Viren und Modifikationen bekannter zu erkennen. Dr.Web Antivirus scannt E-Mails, die über das POP3-Protokoll empfangen werden, bevor sie vom E-Mail-Client verarbeitet werden, und überprüft auch E-Mails, die über das SMTP-Protokoll gesendet werden. Antivirus-Watchdog ( Monitor ), die automatisch arbeitet, Dateien "on the fly" scannt, wenn auf sie von einem beliebigen Programm aus zugegriffen wird, benachrichtigt den Benutzer, wenn infizierte und verdächtige Dateien gefunden werden. Das Programm verwendet eine intelligente Technologie zur Kontrolle der viralen Aktivität, die darin besteht, die Aktionen zu analysieren, die Programme ausführen. Die Analyse ist so aufgebaut, dass sie „Fehlalarme“ nahezu vollständig ausschließt und gleichzeitig alle Aktionen eines Schadprogramms unterdrücken kann. Antivirus Scanner ermöglicht es Ihnen, infizierte Objekte auf allen Medien und im Arbeitsspeicher des Computers zu erkennen sowie Viren zu neutralisieren.

AVP(AntiVirus Protect, Entwickler - Kaspersky Lab) können Sie gepackte und archivierte Dateien und Netzlaufwerke desinfizieren und scannen. Dank seiner einzigartigen Scantechnologie erkennt und entfernt es Viren in archivierten und komprimierten Dateien in über 700 verschiedenen Formaten. Darüber hinaus kann Kaspersky Anti-Virus in ZIP-Archiven schädliche Codes aus einer infizierten komprimierten Datei entfernen und Dateien desinfizieren. Das integrierte Office Guard™-Modul schafft den sichersten Raum für Microsoft Office-Anwendungen. Dadurch bietet Kaspersky Anti-Virus Personal Pro die volle Kontrolle über alle Office-Dokumente und garantiert einen hundertprozentigen Schutz auch vor unbekannten Makroviren.

Norton Antivirus schützt automatisch vor Viren, schädlichen ActiveX-Programmen, Java-Applets bei der Nutzung des Internets und der Arbeit mit Disketten, CDs oder dem Netzwerk, überprüft eingehende Anwendungen in den gängigsten E-Mail-Programmen, erkennt Viren und desinfiziert komprimierte Dateien. Lässt saubere Dateien ungehindert passieren, behält aber Dateien mit Viren, noch bevor sie in Ihr System eindringen und es beschädigen können. Norton AntiVirus 2003 entfernt automatisch gefährliche Programmcodes und schützt auch Anhänge in Nachrichten und E-Mails vor Viren, garantiert ein Höchstmaß an Sicherheit durch die Möglichkeit der ständigen automatischen Aktualisierung der Antiviren-Datenbanken und Schaffung eines umfassenden Schutzes der Benutzer vor dem Eindringen gefährlicher Programmcodes . Die einzigartige heuristische Technologie ist in der Lage, Mail-„Würmer“ wie Nimda und Badtrans zu erkennen und zu stoppen, noch bevor sie sich mit ausgehender Mail weiter verbreiten können.

Professionelle Version ( Profi) Zusätzlich zu allen Funktionen der Standard-Edition enthält sie auch Tools zur Datenwiederherstellung und Systembereinigung, die speziell für IT-Experten und kleine Unternehmen entwickelt wurden. Diese Tools ermöglichen es Benutzern, kritische Dateien zu schützen und wiederherzustellen sowie ein angemessenes Maß an Datenschutz zu wahren, indem unnötige Dateien fragmentiert werden.

Panda Titanium Antivirus 2004(Entwickler Panda-Software) - ein Antivirenprogramm der neuesten Generation mit verbesserter Technologie zum Erkennen und Entfernen von Viren aller Art, bietet Schutz vor allen Programmen, Dokumenten oder E-Mails, die das Computersystem beschädigen können. Dank effektiver heuristischer Technologien ist die Panda-Software besonders effektiv im Kampf gegen neue unbekannte Viren, die in der Zukunft auftreten können, erkennt und entfernt automatisch alle Arten von Viren beim Empfang / Senden von E-Mails, Herunterladen von Dateien oder beim Surfen im Internet, schützt vor Dialern - Programme, die das Modem heimlich mit gebührenpflichtigen Nummern verbinden, versteckte Verwaltungsprogramme, gefährliche versteckte Dateien, Programme mit gefährlichen versteckten Dateien und andere Sicherheitsbedrohungen. Das Programm erkennt und behebt Fehler in der auf dem Computer installierten Software und führt eine Selbstdiagnose durch, um einen unterbrechungsfreien und produktiven Betrieb des Antivirenprogramms zu gewährleisten.

Betrachten Sie die Arbeit des Programms Kaspersky Anti-Virus bei der Virensuche eine persönliche Diskette und einen Ordner Meine Dokumente.

1. Laden Sie das Programm herunter Kaspersky Anti-Virus-Scanner Mannschaft Starten Sie Programme Kaspersky Anti-Virus Kaspersky Anti-Virus Scanner.

2. Um die gescannten Objekte im Fenster anzuzeigen Kaspersky Anti-Virus-Scanner wähle links eine Kategorie aus Objekte, Klicken Sie auf die Schaltfläche [Experte] und aktivieren Sie die Kontrollkästchen für die Disc EIN: und Ordner Meine Dokumente(Unterordner können wie in geöffnet werden Forscher).

3. Geben Sie im rechten Fensterbereich die Reihenfolge der Programmaktionen bei einem Virenfund an. Es wird empfohlen, die folgenden Kontrollkästchen zu aktivieren:

· Desinfizieren Sie, und wenn eine Desinfektion nicht möglich ist, löschen Sie das Objekt.

· Scannen Sie Dateien der folgenden Typen: alle Dateien.

· Zusammengesetzte Dateien scannen:Überprüfen Sie alle Artikel hier .

4. Starten Sie das Scannen, indem Sie den Befehl auswählen Scannen Scan starten.

5. Klicken Sie auf die Schaltfläche [Statistik], um den Vorgang des Virenscannens und Bereinigens von Datenträgern zu überwachen.

Lassen Sie uns die persönliche Diskette und den Ordner auf Viren überprüfen Meine Dokumente mit Norton AntiVirus Professional Edition.

1. Laden Sie Norton AntiVirus Professional Edition mit dem Befehl . herunter Start Programme Norton Antivirus Norton AntiVirus 2003 Professional Edition

2. Stellen Sie die Scan-Parameter ein.

3. Gehen Sie zur Registerkarte Auf Viren scannen Scan-Objekte einstellen: Klicken Sie auf die Schaltfläche, um eine Diskette zu scannen.

4. Wählen Sie unten im Fenster im Bereich Aktionen.

5. Um den Ordner zu überprüfen Meine Dokumente Doppelklicken Sie auf die Schaltfläche und wählen Sie im sich öffnenden Fenster den gewünschten Ordner aus und klicken Sie auf die Schaltfläche.

Auf der Registerkarte Berichte die Testergebnisse in Form von Berichten anzeigen.

EINLEITUNG

Wir leben an der Wende von zwei Jahrtausenden, wenn die Menschheit in das Zeitalter einer neuen wissenschaftlichen und technologischen Revolution eingetreten ist.

Bis zum Ende des 20. Jahrhunderts haben die Menschen viele Geheimnisse der Umwandlung von Materie und Energie gemeistert und konnten dieses Wissen nutzen, um ihr Leben zu verbessern. Aber neben Materie und Energie spielt eine weitere Komponente im menschlichen Leben eine große Rolle – die Information. Dies ist eine Vielzahl von Informationen, Nachrichten, Nachrichten, Wissen, Fähigkeiten.

In der Mitte unseres Jahrhunderts tauchten spezielle Geräte auf - Computer, die sich auf die Speicherung und Umwandlung von Informationen konzentrierten, und eine Computerrevolution fand statt.

Heutzutage stellte sich leider heraus, dass der massive Einsatz von Personalcomputern mit dem Aufkommen selbstreplizierender Viren verbunden ist, die den normalen Betrieb des Computers stören, die Dateistruktur von Festplatten zerstören und die auf dem Computer gespeicherten Informationen beschädigen.

Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung von Computerkriminalität und der Entwicklung spezieller Software-Tools zum Schutz vor Viren wächst die Zahl neuer Softwareviren stetig. Dies erfordert, dass der Benutzer eines Personalcomputers über die Natur von Viren Bescheid weiß, wie sie infiziert und vor ihnen geschützt werden können. Dies diente als Ansporn, das Thema meiner Arbeit zu wählen.

Davon spreche ich in meinem Aufsatz. Ich zeige die wichtigsten Arten von Viren, betrachte die Schemata ihrer Funktionsweise, die Gründe für ihr Auftreten und die Art und Weise ihres Eindringens in den Computer und schlage auch Maßnahmen zum Schutz und zur Vorbeugung vor.

Ziel der Arbeit ist es, den Benutzer mit den Grundlagen der Computervirologie vertraut zu machen, Viren zu erkennen und zu bekämpfen. Arbeitsweise - Analyse gedruckter Veröffentlichungen zu einem bestimmten Thema. Ich stand vor einer schwierigen Aufgabe - zu erzählen, was sehr wenig untersucht wurde und wie es geworden ist - es liegt an Ihnen zu beurteilen.

1. COMPUTERVIREN, IHRE EIGENSCHAFTEN UND KLASSIFIZIERUNG

1.1. Eigenschaften von Computerviren

Heutzutage werden Personalcomputer verwendet, bei denen der Benutzer freien Zugriff auf alle Ressourcen der Maschine hat. Dies eröffnete die Möglichkeit für die Gefahr, die als Computervirus bezeichnet wird.

Was ist ein Computervirus? Eine formale Definition dieses Begriffs ist noch nicht erfunden und es bestehen ernsthafte Zweifel, dass er überhaupt gegeben werden kann. Zahlreiche Versuche, eine "moderne" Definition des Virus zu geben, waren nicht erfolgreich. Um ein Gefühl für die Komplexität des Problems zu bekommen, versuchen Sie beispielsweise, einen Editor zu definieren. Sie werden sich entweder etwas sehr Allgemeines einfallen lassen oder alle bekannten Arten von Editoren auflisten. Beides kann kaum als akzeptabel angesehen werden. Daher beschränken wir uns darauf, einige der Eigenschaften von Computerviren zu berücksichtigen, die es uns ermöglichen, von ihnen als einer bestimmten Klasse von Programmen zu sprechen.

Ein Virus ist zunächst einmal ein Programm. Solch eine einfache Aussage allein kann viele Legenden über die außergewöhnlichen Fähigkeiten von Computerviren zerstreuen. Der Virus kann das Bild auf Ihrem Monitor umdrehen, aber er kann den Monitor selbst nicht umdrehen. Nicht ernst zu nehmen sind auch die Legenden von Killerviren, die "Operatoren töten, indem sie eine tödliche Farbskala von 25 Bildern anzeigen". Leider veröffentlichen einige seriöse Publikationen von Zeit zu Zeit "die neuesten Nachrichten von der Computerfront", die sich bei näherer Betrachtung als Ergebnis eines nicht ganz klaren Verständnisses der Thematik herausstellen.

Ein Virus ist ein Programm mit der Fähigkeit, sich selbst zu reproduzieren. Diese Fähigkeit ist die einzige, die allen Arten von Viren gemeinsam ist. Aber nicht nur Viren sind in der Lage, sich selbst zu replizieren. Jedes Betriebssystem und viele weitere Programme können eigene Kopien erstellen. Kopien des Virus müssen nicht nur nicht vollständig mit dem Original übereinstimmen, sondern dürfen auch gar nicht mit diesem übereinstimmen!

Ein Virus kann nicht in "vollständiger Isolation" existieren: Heute ist ein Virus nicht mehr vorstellbar, der nicht den Code anderer Programme, Informationen über die Dateistruktur oder auch nur die Namen anderer Programme verwendet. Der Grund ist klar: Das Virus muss irgendwie die Übergabe der Kontrolle an sich selbst sicherstellen.

1.2. Virusklassifizierung

Derzeit sind mehr als 5000 Softwareviren bekannt, sie lassen sich nach folgenden Kriterien klassifizieren:

¨ Lebensraum

¨ der Weg, den Lebensraum zu kontaminieren

Exposition

¨ Merkmale des Algorithmus

Je nach Lebensraum lassen sich Viren in Netzwerk-, Datei-, Boot- und Datei-Boot-Viren einteilen. Netzwerkvirenüber verschiedene Computernetzwerke verteilt. Dateiviren werden hauptsächlich in ausführbare Module eingeführt, dh in Dateien mit den Erweiterungen COM und EXE. Dateiviren können in andere Dateitypen eingebettet werden, aber in der Regel in solchen Dateien aufgezeichnet, erlangen sie nie die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion. Boot-Viren eingebettet sind in den Bootsektor der Festplatte (Bootsektor) oder in den Sektor, der das Bootprogramm für die Systemfestplatte enthält (Master Boot Re-

Kabel). Dateiboot Viren infizieren sowohl Dateien als auch Bootsektoren von Festplatten.

Durch die Infektionsmethode werden Viren in residente und nicht residente unterteilt. Speicherresidenter Virus Wenn ein Computer infiziert (infiziert) wird, belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf die Infektionsobjekte (Dateien, Bootsektoren von Festplatten usw.) abfängt und in diese eingebettet wird. Residente Viren befinden sich im Speicher und bleiben aktiv, bis der Computer heruntergefahren oder neu gestartet wird. Nicht speicherresidente Viren Computerspeicher nicht infizieren und für eine begrenzte Zeit aktiv sind.

Je nach Ausmaß der Beeinflussung lassen sich Viren in folgende Typen einteilen:

¨ ungefährlich die den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Speicher auf den Festplatten reduzieren, manifestieren sich die Aktionen solcher Viren in irgendwelchen Grafik- oder Soundeffekten

¨ gefährlich Viren, die zu verschiedenen Störungen im Betrieb des Computers führen können

¨ sehr gefährlich, deren Auswirkungen zum Verlust von Programmen, zur Zerstörung von Daten, zum Löschen von Informationen in den Systembereichen der Festplatte führen können.

2. HAUPTTYPEN VON VIREN UND SCHEMEN IHRER FUNKTION

Unter der ganzen Vielfalt der Viren lassen sich folgende Hauptgruppen unterscheiden:

¨ bootfähig

Datei

¨ Datei-Boot

Nun ausführlicher über jede dieser Gruppen.

2.1. Boot-Viren

Werfen wir einen Blick auf die Funktionsweise eines sehr einfachen Bootvirus, der Disketten infiziert. Wir werden bewusst all die zahlreichen Feinheiten umgehen, die bei einer gründlichen Analyse des Algorithmus seiner Funktionsweise unweigerlich auftauchen würden.

Was passiert, wenn Sie Ihren Computer einschalten? Zunächst wird die Kontrolle übertragen Bootprogramm die im Festwertspeicher (ROM) gespeichert ist, d.h. PNZ-ROM.

Dieses Programm testet die Hardware und versucht bei Erfolg eine Diskette in Laufwerk A zu finden:

Jede Diskette ist mit einem sog. Sektoren und Spuren. Sektoren werden zu Clustern zusammengefasst, dies ist für uns jedoch unerheblich.

Unter den Sektoren gibt es mehrere Dienstsektoren, die das Betriebssystem für seine eigenen Bedürfnisse verwendet (diese Sektoren können Ihre Daten nicht aufnehmen). Unter den Dienstleistungssektoren interessieren wir uns noch immer für einen - den sogenannten. Bootsektor(Boot-Sektor).

Die Bootsektorspeicher Informationen zu Disketten- die Anzahl der Flächen, die Anzahl der Spuren, die Anzahl der Sektoren usw. Aber jetzt interessieren uns nicht diese Informationen, sondern kleine Bootstrap-Programm(PNZ), die das Betriebssystem selbst laden und ihm die Kontrolle übertragen muss.

Das normale Bootstrap-Schema sieht also wie folgt aus:

Schauen wir uns nun das Virus an. Bei Bootviren werden zwei Teile unterschieden - die sogenannten. Kopf und das sogenannte Schwanz... Der Schwanz kann im Allgemeinen leer sein.

Angenommen, Sie haben eine leere Diskette und einen infizierten Computer, also einen Computer mit einem aktiven residenten Virus. Sobald dieser Virus erkennt, dass ein geeignetes Opfer im Laufwerk aufgetaucht ist – in unserem Fall eine unbeschriebene und noch nicht infizierte Diskette, infiziert er sich. Beim Infizieren einer Diskette führt der Virus die folgenden Aktionen aus:

Weist einen bestimmten Bereich der Festplatte zu und markiert ihn als unzugänglich für das Betriebssystem. Dies kann auf unterschiedliche Weise erfolgen. Im einfachsten und traditionellen Fall werden die vom Virus belegten Sektoren als fehlerhaft markiert

Kopiert seinen Schwanz und den ursprünglichen (intakten) Bootsektor in den ausgewählten Bereich der Festplatte

Ersetzt das Bootprogramm im Bootsektor (vorhanden) durch seinen Kopf

Organisiert eine Kette der Kontrollübertragung nach dem Schema.

Damit der Kopf des Virus nun als erster die Kontrolle übernimmt, wird der Virus im Speicher installiert und übergibt die Kontrolle an den ursprünglichen Bootsektor. In einer Kette

PNZ (ROM) - PNZ (Festplatte) - SYSTEM

ein neuer Link erscheint:

PNZ (ROM) - VIRUS - PNZ (Festplatte) - SYSTEM

Die Moral ist klar: Lassen Sie niemals (versehentlich) Disketten in Laufwerk A.

Wir haben das Funktionsschema eines einfachen Schuttvirus untersucht, der in den Bootsektoren von Disketten lebt. Viren sind in der Regel in der Lage, nicht nur die Bootsektoren von Disketten, sondern auch die Bootsektoren von Festplatten zu infizieren. Im Gegensatz zu Disketten verfügt eine Festplatte jedoch über zwei Arten von Bootsektoren, die gesteuerte Bootprogramme enthalten. Wenn der Computer von der Festplatte gebootet wird, übernimmt zuerst das MBR-Bootprogramm (Master Boot Record) die Kontrolle. Wenn Ihre Festplatte in mehrere Partitionen unterteilt ist, wird nur eine davon als boot gekennzeichnet. Das Bootprogramm im MBR findet die Bootpartition der Festplatte und übergibt die Kontrolle an das Bootprogramm für diese Partition. Der Code des letzteren ist derselbe wie der Code des Bootstrap-Programms, das auf gewöhnlichen Disketten enthalten ist, und die entsprechenden Bootsektoren unterscheiden sich nur in den Parametertabellen. Somit gibt es auf der Festplatte zwei Angriffsobjekte für Bootviren - Bootprogramm in MBR und Anfangsprogramm Bootsektor-Downloads Boot-Diskette.

2.2. Dateiviren

Betrachten wir nun, wie ein einfacher Dateivirus funktioniert. Im Gegensatz zu Bootviren, die fast immer speicherresident sind, sind Dateiviren nicht unbedingt speicherresident. Betrachten wir das Operationsschema eines nicht speicherresidenten Dateivirus. Angenommen, wir haben eine infizierte ausführbare Datei. Wenn eine solche Datei gestartet wird, übernimmt der Virus die Kontrolle, führt einige Aktionen aus und übergibt die Kontrolle an den „Eigentümer“ (obwohl in einer solchen Situation noch unbekannt ist, wer der Eigentümer ist).

Was macht das Virus? Es sucht ein neues zu infizierendes Objekt - eine Datei geeigneten Typs, die noch nicht infiziert wurde (falls der Virus "anständig" ist, sonst gibt es solche, die sofort infizieren, ohne etwas zu überprüfen). Durch die Infektion einer Datei injiziert sich der Virus in ihren Code, um die Kontrolle über die Ausführung der Datei zu erlangen. Neben seiner Hauptfunktion - Reproduktion, das Virus kann durchaus etwas Kompliziertes tun (sagen, fragen, spielen) - hängt es bereits von der Vorstellungskraft des Autors des Virus ab. Wenn der Dateivirus speicherresident ist, wird er im Speicher installiert und kann Dateien infizieren und andere Fähigkeiten anzeigen, nicht nur während die infizierte Datei ausgeführt wird. Durch die Infektion einer ausführbaren Datei ändert ein Virus immer seinen Code - daher kann eine Infektion einer ausführbaren Datei immer erkannt werden. Durch das Ändern des Codes der Datei nimmt der Virus jedoch nicht unbedingt andere Änderungen vor:

à er ist nicht verpflichtet, die Dateilänge zu ändern

à ungenutzte Codeabschnitte

à ist nicht verpflichtet, den Anfang der Datei zu ändern

Schließlich werden Dateiviren oft als Viren bezeichnet, die „etwas mit Dateien zu tun haben“, aber nicht in ihren Code eingebettet werden müssen. Betrachten wir als Beispiel das Funktionsschema der Viren der bekannten Familie Dir-II. Es muss zugegeben werden, dass diese Viren nach ihrem Auftreten im Jahr 1991 zur Ursache einer echten Pestepidemie in Russland wurden. Betrachten Sie ein Modell, das die Hauptidee des Virus deutlich zeigt. Informationen über Dateien werden in Verzeichnissen gespeichert. Jeder Verzeichniseintrag enthält den Dateinamen, das Erstellungsdatum und die Uhrzeit, einige zusätzliche Informationen, erste Clusternummer Datei usw. freie Bytes... Letztere bleiben "in Reserve" und werden von MS-DOS selbst nicht verwendet.

Beim Starten von ausführenden Dateien liest das System den ersten Cluster der Datei aus dem Verzeichniseintrag und dann alle anderen Cluster. Dir-II-Viren führen die folgende "Reorganisation" des Dateisystems durch: Der Virus schreibt sich selbst in einige freie Festplattensektoren, die er als fehlerhaft markiert. Darüber hinaus speichert es Informationen über die ersten Cluster ausführbarer Dateien in Ersatzbits und schreibt anstelle dieser Informationen Verweise auf sich selbst.

Wenn also eine Datei gestartet wird, übernimmt der Virus die Kontrolle (das Betriebssystem startet ihn selbst), installiert sich im Speicher und überträgt die Kontrolle auf die aufgerufene Datei.

2.3. Boot-Datei-Viren

Wir werden das Modell eines Boot-File-Virus nicht berücksichtigen, da Sie keine neuen Informationen erfahren. Aber hier ist eine Gelegenheit, kurz auf den äußerst "populären" Boot-Datei-Virus OneHalf einzugehen, der den Master-Boot-Sektor (MBR) und ausführbare Dateien infiziert. Die wichtigste destruktive Aktion ist die Verschlüsselung von Festplattensektoren. Bei jedem Start verschlüsselt der Virus den nächsten Teil der Sektoren, und nachdem er die Hälfte der Festplatte verschlüsselt hat, informiert er glücklich darüber. Das Hauptproblem bei der Behandlung dieses Virus besteht darin, dass es nicht ausreicht, den Virus einfach aus dem MBR und den Dateien zu entfernen, sondern die damit verschlüsselten Informationen zu entschlüsseln. Die tödlichste Aktion besteht darin, einfach einen gesunden neuen MBR neu zu schreiben. Hauptsache keine Panik. Wiegen Sie alles in Ruhe ab, konsultieren Sie Experten.

2.4. Polymorphe Viren

Die meisten Fragen beziehen sich auf den Begriff "polymorphes Virus". Diese Art von Computerviren scheint heute die gefährlichste zu sein. Lassen Sie uns erklären, was es ist.

Polymorphe Viren sind Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Kopien desselben Virus möglicherweise nicht in einem einzigen Bit übereinstimmen.

Solche Viren verschlüsseln nicht nur ihren Code mit verschiedenen Verschlüsselungswegen, sondern enthalten auch den Code zur Generierung eines Ver- und Entschlüsselers, was sie von herkömmlichen Verschlüsselungsviren unterscheidet, die auch Teile ihres Codes verschlüsseln können, gleichzeitig aber über eine dauerhafte Verschlüsselung verfügen und Entschlüsselungscode.

Polymorphe Viren sind Viren mit selbstmodifizierenden Entschlüsselern. Der Zweck dieser Verschlüsselung: Wenn Sie infizierte und Originaldateien haben, können Sie ihren Code immer noch nicht mit normaler Demontage analysieren. Dieser Code ist verschlüsselt und ist ein bedeutungsloser Befehlssatz. Die Entschlüsselung erfolgt bereits zur Laufzeit durch den Virus selbst. In diesem Fall sind Optionen möglich: Er kann sich auf einmal selbst entschlüsseln oder er kann eine solche Entschlüsselung "unterwegs" durchführen, er kann die bereits verwendeten Abschnitte neu verschlüsseln. All dies geschieht, um die Analyse des Virencodes zu erschweren.

3. GESCHICHTE DER COMPUTERVIRUSOLOGIE UND URSACHEN DES AUFTRETENS VON VIREN

Die Geschichte der Computervirologie scheint heute ein ständiger "Wettlauf um den Marktführer" zu sein, und trotz aller Macht moderner Antivirenprogramme sind es Viren, die an der Spitze stehen. Unter den Tausenden von Viren sind nur einige Dutzend originelle Designs mit wirklich grundlegend neuen Ideen. Alles andere sind "Variationen eines Themas". Aber jede originelle Entwicklung zwingt die Entwickler von Antivirenprogrammen, sich an neue Bedingungen anzupassen, um mit der Virustechnologie Schritt zu halten. Letzteres kann bestritten werden. 1989 gelang es beispielsweise einem amerikanischen Studenten, einen Virus zu entwickeln, der etwa 6.000 Computer des US-Verteidigungsministeriums deaktivierte. Oder die Epidemie des berühmten Dir-II-Virus, die 1991 ausbrach. Der Virus nutzte eine wirklich originelle, grundlegend neue Technologie und konnte sich zunächst aufgrund der Unvollkommenheit traditioneller Antiviren-Tools weit verbreiten.

Oder der Ausbruch von Computerviren in Großbritannien: Christopher Pine gelang es, die Viren Pathogen und Queeq sowie den Smeg-Virus zu erschaffen. Es war der letzte, der am gefährlichsten war, er konnte auf die ersten beiden Viren angewendet werden, und aus diesem Grund änderten sie nach jedem Programmlauf die Konfiguration. Daher war es unmöglich, sie zu zerstören. Um Viren zu verbreiten, kopierte Pine Computerspiele und -programme, infizierte sie und schickte sie dann wieder online. Benutzer haben infizierte Programme auf ihre Computer und infizierten Datenträger heruntergeladen. Die Situation wurde dadurch verschärft, dass es Pine gelungen ist, Viren in das Programm einzuschleusen, das sie bekämpft. Durch den Start erhielten die Benutzer einen weiteren, anstatt Viren zu zerstören. In der Folge wurden Akten vieler Unternehmen vernichtet und Verluste in Millionenhöhe verursacht.

Der amerikanische Programmierer Morris ist weithin bekannt. Er gilt als Erfinder des Virus, der im November 1988 etwa 7.000 mit dem Internet verbundene PCs infizierte.

Die Gründe für die Entstehung und Verbreitung von Computerviren liegen zum einen in der Psychologie der menschlichen Persönlichkeit und ihren Schattenseiten (Neid, Rache, Eitelkeit unerkannter Schöpfer, Unfähigkeit, ihre Fähigkeiten konstruktiv einzusetzen), zum anderen Andererseits sind aufgrund des fehlenden Hardwareschutzes und Gegenmaßnahmen aus dem Operationssaal Personal Computer Systeme.

4. WEGE DES VIRUS-PENETRATION IN DEN COMPUTER UND DER VERTEILUNGSMECHANISMUS VON VIRUS-PROGRAMMEN

Die Hauptwege, über die Viren in einen Computer eindringen, sind Wechseldatenträger (Disketten und Laser) sowie Computernetzwerke. Wenn ein Programm von einer Diskette geladen wird, die einen Virus enthält, kann es zu einer Infektion der Festplatte mit Viren kommen. Eine solche Infektion kann auch versehentlich erfolgen, beispielsweise wenn die Diskette nicht aus Laufwerk A entfernt und der Computer neu gestartet wird, obwohl es sich bei der Diskette möglicherweise nicht um die Systemdiskette handelt. Eine Diskette zu infizieren ist viel einfacher. Ein Virus kann darauf eindringen, selbst wenn man einfach eine Diskette in das Diskettenlaufwerk eines infizierten Computers einlegt und beispielsweise dessen Inhaltsverzeichnis liest.

Ein Virus wird in der Regel so in ein Arbeitsprogramm eingebracht, dass ihm beim Start zunächst die Kontrolle übertragen wird und er erst nach Ausführung aller seiner Befehle wieder in das Arbeitsprogramm zurückkehrt. Nach dem Zugriff auf die Kontrolle überschreibt sich der Virus zunächst in ein anderes Arbeitsprogramm und infiziert es. Nach dem Starten eines Programms, das einen Virus enthält, ist es möglich, andere Dateien zu infizieren. Der häufigste Virus infiziert den Bootsektor der Festplatte und ausführbare Dateien mit den Erweiterungen EXE, COM, SYS, BAT. Textdateien sind selten infiziert.

Nach der Infektion des Programms kann der Virus eine Art Sabotage durchführen, die nicht zu schwerwiegend ist, um nicht aufzufallen. Und schließlich vergessen Sie nicht, die Kontrolle an das Programm zurückzugeben, von dem aus es gestartet wurde. Jede Ausführung eines infizierten Programms überträgt das Virus auf das nächste. Somit wird jede Software infiziert.

Um den Vorgang der Infektion eines Computerprogramms mit einem Virus zu veranschaulichen, ist es sinnvoll, den Plattenspeicher mit einem altmodischen Archiv mit Ordnern auf Band zu vergleichen. Die Ordner enthalten Programme, und der Ablauf zum Einbringen eines Virus sieht in diesem Fall so aus (siehe Anhang 1)

5. ANZEIGEN FÜR DAS AUFTRETEN VON VIREN

Wenn ein Computer mit einem Virus infiziert wird, ist es wichtig, diesen zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen für die Manifestation von Viren kennen. Dazu gehören die folgenden:

¨ Beendigung der Arbeit oder Fehlbedienung von zuvor erfolgreich funktionierenden Programmen

¨ langsame Computerleistung

¨ Unfähigkeit, das Betriebssystem zu booten

¨ Verschwinden von Dateien und Verzeichnissen oder Verzerrung ihres Inhalts

¨ Datum und Uhrzeit der Dateiänderung ändern

¨ Größenänderung von Dateien

¨ unerwarteter signifikanter Anstieg der Anzahl der Dateien auf der Festplatte

¨ deutliche Reduzierung der Größe des freien RAM

¨ Anzeigen unerwarteter Nachrichten oder Bilder

¨ unerwartete Tonsignale machen

¨ häufiges Einfrieren und Abstürzen des Computers

Es sollte beachtet werden, dass die oben genannten Phänomene nicht unbedingt durch das Vorhandensein eines Virus verursacht werden, sondern auf andere Ursachen zurückzuführen sein können. Daher ist es immer schwierig, den Zustand des Computers richtig zu diagnostizieren.

6. VIRUSERKENNUNG UND SCHUTZ- UND PRÄVENTIONSMASSNAHMEN

6.1. So erkennen Sie einen Virus ? Traditioneller Ansatz

Ein bestimmter Virenschreiber erstellt also einen Virus und startet ihn ins "Leben". Für einige Zeit mag er frei laufen, aber früher oder später wird "lafa" enden. Jemand wird vermuten, dass etwas nicht stimmt. In der Regel werden Viren von normalen Benutzern erkannt, die bestimmte Anomalien im Computerverhalten bemerken. Sie sind in den meisten Fällen nicht in der Lage, die Infektion alleine zu bewältigen, aber dies wird von ihnen nicht verlangt.

Es ist nur notwendig, dass das Virus so schnell wie möglich in die Hände von Spezialisten gelangt. Fachleute werden es studieren, herausfinden, "was es tut", "wie es es tut", "wann es tut" usw. Bei dieser Arbeit werden alle notwendigen Informationen zu einem bestimmten Virus gesammelt, insbesondere es wird eine Virensignatur vergeben - eine Bytefolge, die sie ganz eindeutig charakterisiert. Zur Erstellung einer Signatur werden in der Regel die wichtigsten und charakteristischsten Abschnitte des Virencodes genommen. Gleichzeitig werden die Wirkungsmechanismen des Virus deutlich, beispielsweise ist es bei einem Bootvirus wichtig zu wissen, wo er seinen Schwanz versteckt, wo sich der ursprüngliche Bootsektor befindet und in welchem Fall eines Dateivirus, die Methode zum Infizieren einer Datei. Anhand der erhaltenen Informationen können Sie Folgendes feststellen:

So erkennen Sie einen Virus, dazu die Methoden zur Suche nach Signaturen in potenziellen Objekten eines Virenangriffs - Dateien und / oder Bootsektoren

Um den Virus möglichst zu neutralisieren, werden Algorithmen zum Entfernen des Viruscodes von infizierten Objekten entwickelt

6.2. Virenerkennungs- und -schutzprogramme

Um Computerviren zu erkennen, zu entfernen und vor ihnen zu schützen, wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme heißen Antivirus . Es gibt die folgenden Arten von Antivirenprogrammen:

Detektorprogramme

· Programme-Ärzte oder Phagen

Auditorenprogramme

Filterprogramme

Impfprogramme oder Immunisierungen

Detektorprogramme Sie suchen im RAM und in Dateien nach einer Signatur, die für einen bestimmten Virus charakteristisch ist, und geben bei Entdeckung eine entsprechende Meldung aus. Der Nachteil solcher Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Doktorprogramme oder Phagen, und auch Impfprogramme mit Viren infizierte Dateien nicht nur finden, sondern auch "heilen", d.h. Entfernen Sie den Hauptteil des Virenprogramms aus der Datei und versetzen Sie die Dateien in ihren ursprünglichen Zustand zurück. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann fort, Dateien zu "heilen". Unter den Phagen werden Polyphagen unterschieden, d.h. Arztprogramme, die entwickelt wurden, um eine große Anzahl von Viren zu suchen und zu zerstören. Die bekanntesten von ihnen: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Da ständig neue Viren auftauchen, veralten Detektor- und Arztprogramme schnell und es sind regelmäßige Versions-Updates erforderlich.

Auditorenprogramme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Auditoren merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Anfrage des Benutzers den aktuellen Zustand mit dem Anfangszustand. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. In der Regel werden Zustände unmittelbar nach dem Laden des Betriebssystems verglichen. Beim Vergleich werden Dateilänge, zyklischer Kontrollcode (Dateiprüfsumme), Änderungsdatum und -uhrzeit und andere Parameter überprüft. Auditor-Programme verfügen über ziemlich fortschrittliche Algorithmen, erkennen Tarnkappenviren und können sogar die Änderungen in der zu scannenden Programmversion von den durch den Virus eingeführten Änderungen bereinigen. Das in Russland weit verbreitete Adinf-Programm gehört zu den Wirtschaftsprüferprogrammen.

Filter oder "Wächter" sind kleine residente Programme, die entwickelt wurden, um verdächtige Aktionen während des Computerbetriebs zu erkennen, die typisch für Viren sind. Solche Aktionen können sein:

Versuche, Dateien mit COM-, EXE-Erweiterungen zu korrigieren

Dateiattribute ändern

Direktes Schreiben auf die Festplatte an der absoluten Adresse

Schreiben in die Bootsektoren der Festplatte

Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der "Wächter" eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie einen Virus in einem sehr frühen Stadium seiner Existenz erkennen können, bevor er sich vermehrt. Sie "heilen" jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme wie Phagen verwenden. Zu den Nachteilen von Watchdog-Programmen zählen ihre "Aufdringlichkeit" (sie warnen beispielsweise ständig vor jedem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software. Ein Beispiel für ein Filterprogramm ist das Vsafe-Programm, das im MS-DOS-Dienstprogrammpaket enthalten ist.

Impfungen oder immunisatoren sind TSR-Programme, die Dateiinfektionen verhindern. Impfstoffe kommen zum Einsatz, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Diskette so, dass sie ihre Arbeit nicht beeinträchtigt und der Virus sie als infiziert wahrnimmt und daher nicht eingeführt wird. Impfprogramme sind derzeit von begrenztem Nutzen.

6.3. Grundlegende Virenschutzmaßnahmen

Um Ihren Computer keinem Virenbefall auszusetzen und eine zuverlässige Speicherung von Informationen auf Datenträgern zu gewährleisten, müssen Sie folgende Regeln beachten:

¨ statten Sie Ihren Computer mit modernen Antivirenprogrammen aus, zum Beispiel Aidstest, Doctor Web, und erneuern Sie deren Versionen ständig

¨ Bevor Sie auf anderen Computern aufgezeichnete Informationen von Disketten lesen, überprüfen Sie diese Disketten immer auf Viren, indem Sie Antivirenprogramme auf Ihrem Computer ausführen

¨ Wenn Sie gezippte Dateien auf Ihren Computer übertragen, überprüfen Sie diese sofort nach dem Entpacken auf der Festplatte und beschränken Sie den Scanbereich auf neu geschriebene Dateien

¨ Überprüfen Sie die Festplatten Ihres Computers regelmäßig auf Viren, indem Sie Antivirenprogramme ausführen, um Dateien, Speicher und Systembereiche von Festplatten von einer schreibgeschützten Diskette zu testen, nachdem Sie zuvor das Betriebssystem von einer schreibgeschützten Systemdiskette geladen haben

¨ Schützen Sie Ihre Disketten immer vor dem Schreiben, wenn Sie auf anderen Computern arbeiten, wenn diese keine Informationen schreiben

¨ Stellen Sie sicher, dass Sie auf Disketten archivierte Kopien von Informationen anfertigen, die für Sie wertvoll sind

¨ Lassen Sie beim Einschalten oder Neustarten des Betriebssystems keine Disketten in der Tasche von Laufwerk A, um eine Infektion des Computers mit Bootviren zu vermeiden

¨ Verwenden Sie Antivirenprogramme für die eingehende Kontrolle aller ausführbaren Dateien, die von Computernetzwerken empfangen werden

¨ um die Nutzung von Aidstest und Doctor Web sicherer zu machen, muss es mit der täglichen Nutzung des Adinf Disk Auditors kombiniert werden

FAZIT

Wir können also viele Fakten anführen, die darauf hindeuten, dass die Bedrohung der Informationsressource jeden Tag zunimmt und die Verantwortlichen in Banken, Unternehmen und Unternehmen weltweit in Panik geraten. Und diese Bedrohung geht von Computerviren aus, die wichtige, wertvolle Informationen verzerren oder zerstören, was nicht nur zu finanziellen Verlusten, sondern auch zu menschlichen Opfern führen kann.

Computer Virus - ein speziell geschriebenes Programm, das sich spontan an andere Programme anhängen, Kopien von sich selbst erstellen und diese in Dateien, Systembereiche eines Computers und Computernetzwerke einbetten kann, um den Betrieb von Programmen zu stören, Dateien und Verzeichnisse zu beschädigen, Störungen aller Art zu verursachen beim Betrieb eines Computers.

Derzeit sind mehr als 5000 Softwareviren bekannt, deren Zahl ständig wächst. Es gibt bekannte Fälle, in denen Tutorials erstellt wurden, um beim Schreiben von Viren zu helfen.

Die wichtigsten Arten von Viren: Boot, Datei, Datei-Boot. Die gefährlichste Art von Viren ist polymorph.

Aus der Geschichte der Computervirologie geht klar hervor, dass jede originelle Computerentwicklung die Entwickler von Antivirenprogrammen dazu zwingt, sich an neue Technologien anzupassen und Antivirenprogramme ständig zu verbessern.

Die Gründe für die Entstehung und Verbreitung von Viren verbergen sich einerseits in der Humanpsychologie, andererseits im fehlenden Schutz im Betriebssystem.

Die Hauptwege für das Eindringen von Viren sind Wechseldatenträger und Computernetzwerke. Um dies zu verhindern, befolgen Sie die Schutzmaßnahmen. Um Computerviren zu erkennen, zu entfernen und vor ihnen zu schützen, wurden verschiedene Arten von Spezialprogrammen entwickelt, die als Antivirenprogramme bezeichnet werden. Wenn Sie dennoch einen Virus in Ihrem Computer finden, ist es nach der traditionellen Vorgehensweise besser, einen Fachmann zu rufen, um dies genauer herauszufinden.

Aber einige der Eigenschaften von Viren verblüffen selbst Spezialisten. Bis vor kurzem war es schwer vorstellbar, dass ein Virus einen Kaltstart überleben oder sich über Dokumentdateien verbreiten könnte. Unter solchen Bedingungen kann man nur der anfänglichen Antiviren-Erziehung der Benutzer Bedeutung beimessen. Bei aller Ernsthaftigkeit des Problems kann kein Virus so viel Schaden anrichten wie ein weißer Benutzer mit zitternden Händen!

So, die Gesundheit Ihrer Computer, die Sicherheit Ihrer Daten liegt in Ihren Händen!

Bibliographische Liste

1. Informatik: Lehrbuch / hg. Prof N.V. Makarowa. - M.: Finanzen und Statistik, 1997.

2. Enzyklopädie der Geheimnisse und Empfindungen / Vorbereitet. Text von Yu.N. Petrow. - Minsk: Literatur, 1996.

3. Bezrukov N. N. Computer Virus. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Moderne Technologien zur Virenbekämpfung // World of PC. - Nr. 8. - 1993.