Ответьте на следующие вопросы.
1. Какие существуют угрозы для информации?
2. Какие мероприятия применяются для устранения возможности возникновения угроз и их последствий?
3. Что такое компьютерный вирус? Какими свойствами обладают компьютерные вирусы?
4. Опишите схему функционирования файлового вируса.
5. Каковы пути проникновения вирусов в компьютер и признаки заражения компьютера вирусом?
Компьютерный вирус – это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может “ приписывать” себя к другим программам (“заражать” их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется “зараженной” Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т.д.).
Классификация вирусов.
По среде обитания
сетевые
распространяются по компьютерной сети
файловые
внедряются в выполняемые файлы
загрузочные
внедряются в загрузочный сектор диска (Boot-сектор)
файлово-загрузочые
внедряются в выполняемые файлы и в загрузочный сектор диска
системные
проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы
По способу заражения
резидентные
находятся в памяти, активны до выключения компьютера
нерезидентные
не заражают память, являются активными ограниченное время
По деструктивным возможностям (по способам воздействия)
безвредные
практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
неопасные
уменьшают свободную память; создают звуковые, графические и прочие эффекты
опасные
могут привести к серьёзным сбоям в работе
очень опасные
могут привести к потере программ или системных данных
По особенностям алгоритма вируса
вирусы-«спутники»
вирусы, не изменяющие файлы, создают для EXE-файлов файлы-спутники с расширением COM
простейшие вирусы
паразитические программы, которые изменяют содержимое файлов и секторов диска и могут быть легко обнаружены
Ретро-вирусы
обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их, или делая неработоспособными
репликаторные, вирусы-«черви»
распространяются по сети, рассылают свои копии, вычисляя сетевые адреса. Это самые распространенные в виртуальной сети вирусы. Они очень быстро «размножаются». Иногда дают своим копиям отдельные имена. Например, «install.exe».
«паразитические»
изменяют содержимое дисковых секторов или файлов
«студенческие»
примитив, содержат большое количество ошибок
«стелс»-вирусы (невидимки)
это файловые вирусы, которых антивирусные программы не находят, потому что во время проверки они фальсифицируют ответ. Они перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
вирусы-призраки
не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
макровирусы
пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в шаблон Normal.dot
квазивирусные, или «троянские»
это вирусы, не способные к «размножению».
Троянская программа маскируется, как правило, под коммерческий продукт. Её другое название «троянский конь».Троянская программа маскируется под полезную или интересную программу, выполняя во время своего функционирования ещё и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере не подлежащую разглашению информацию. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
логические бомбы
программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных)
мутанты
это один из видов вирусов, способных к самовоспроизведению. Однако их копия явно отличается от оригинала.
Основными путями проникновения вирусов в компьютер являются съёмные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заражение дискеты происходит, даже если её просто вставили в дисковод зараженного компьютера или, например, прочитали её оглавление.
Признаки заражения
· вывод на экран непредусмотренных сообщений или изображений;
· подача непредусмотренных звуковых сигналов;
· неожиданное открытие и закрытие лотка CD-ROM-устройства;
· произвольный, без вашего участия, запуск на компьютере каких-либо программ;
Есть также косвенные признаки заражения вашего компьютера:
· частые зависания и сбои в работе компьютера;
· прекращение работы или неправильная работа ранее успешно работавших программ;
· медленная работа компьютера при запуске программ;
· невозможность загрузки операционной системы;
· исчезновение файлов и каталогов или искажение их содержимого;
· изменение размеров файлов;
· неожиданное значительное увеличение количества файлов на диске;
· существенное уменьшение размеров свободной оперативной памяти;
· частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
· Microsoft Internet Explorer "зависает" или ведет себя неожиданным образом.
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуем вам провести полную проверку вашего компьютера.
Антивирусные программы.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные антивирусные программы. Различают следующие виды антивирусных программ:
· Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатки: могут находить только те вирусы, которые известны разработчикам этой программы, поэтому быстро устаревают и требуют регулярного обновления.
· Программы-доктора или фаги не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файл в исходное состояние. Полифаги – программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Недостатки те же, что и у программ-детекторов.
· Программы-ревизоры относятся к самым надежным средствам защиты. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.
· Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов (попытки коррекции файлов с расширением EXE или COM, изменение атрибутов файла, запись в загрузочные сектора и т.п.). При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Эти программы способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файла и диски. Для уничтожения вируса требуется применить другие программы.
· Вакцины или иммунизаторы это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, лечащие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Имеют ограниченное применение.
Назначение и основные функции Антивируса Касперского Personal
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционной системы Windows.
Антивирус Касперского Personal выполняет следующие функции:
· Защита от вирусов и вредоносных программ - обнаружение и уничтожение вредоносных программ, проникающих через съемные и постоянные файловые носители, электронную почту и протоколы интернета. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
o Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
o Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
· Восстановление работоспособности после вирусной атаки. Полная проверка и лечение позволяет вам удалить все вирусы, поразившие ваши данные при вирусной атаке.
· Проверка и лечение входящей/исходящей почты - анализ на присутствие вирусов и лечение входящей почты до ее поступления в почтовый ящик и исходящей почты в режиме реального времени. Кроме того, программа позволяет проверять и лечить почтовые базы различных почтовых клиентов по требованию.
· Обновление антивирусных баз и программных модулей - пополнение антивирусных баз информацией о новых вирусах и способах лечения зараженных ими объектов, а также обновление собственных модулей программы. Обновление выполняется с серверов обновлений Лаборатории Касперского или из локального каталога.
· Рекомендации по настройке программы и работе с ней - советы от экспертов Лаборатории Касперского, сопровождающие вас в процессе работы с Антивирусом Касперского Personal, и рекомендуемые настройки, соответствующие оптимальной антивирусной защите.
· Карантин - помещение объектов, возможно зараженных вирусами или их модификациями, в специальное безопасное хранилище, где вы можете их лечить, удалять, восстанавливать в исходный каталог, а также отправлять экспертам Лаборатории Касперского на исследование. Файлы на карантине хранятся в специальном формате и не представляют опасности.
· Формирование отчета - фиксирование всех результатов работы Антивируса Касперского Personal в отчете. Подробный отчет о результатах проверки включает общую статистику по проверенным объектам, хранит настройки, с которыми была выполнена та или иная задача, а также последовательность проверки и обработки каждого объекта в
Выполнить сканирование и лечение локального диска, содержащего зараженные вирусами файлы с помощью не менее чем двух антивирусных программ.
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 30.10.2020 13:52:52
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 30.10.2020 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1156163
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate", дата инсталляции 13.11.2016 11:31:52 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=176B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82E06000
SDT = 82F7CB00
KiST = 82E72414 (401)
Функция NtAdjustPrivilegesToken (0C) перехвачена (8309B153->9061B370), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtAllocateVirtualMemory (13) перехвачена (8303F04E->9061B210), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtAlpcAcceptConnectPort (14) перехвачена (8308C340->9061B2A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtAlpcConnectPort (16) перехвачена (8308B74D->9061B250), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtAlpcSendWaitReceivePort (27) перехвачена (83067C38->9061B260), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtClose (32) перехвачена (83059F23->9061B3C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtConnectPort (3B) перехвачена (8308E25D->9061B270), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtCreateSection (54) перехвачена (8303849A->9061B1E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtCreateSymbolicLinkObject (56) перехвачена (830162BC->9061B390), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtCreateThread (57) перехвачена (830F4346->9061B2B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtCreateThreadEx (58) перехвачена (83086699->9061B2C0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtDebugActiveProcess (60) перехвачена (830C42B6->9061B350), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtDeviceIoControlFile (6B) перехвачена (83089900->9061B380), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtLoadDriver (9B) перехвачена (82FDA0F7->9061B3F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtMapViewOfSection (A8) перехвачена (8305BF71->9061B220), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtPlugPlayControl (CC) перехвачена (82FF7D70->9061B3A0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtProtectVirtualMemory (D7) перехвачена (83057F59->9061B1F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtQueryIntervalProfile (F2) перехвачена (83125BE7->9061B680), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtQueueApcThread (10D) перехвачена (83010702->9061B360), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtRequestWaitReplyPort (12B) перехвачена (830533DD->9061B290), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtResumeProcess (12F) перехвачена (830F60F3->9061B310), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtResumeThread (130) перехвачена (830868C0->9061B330), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSecureConnectPort (138) перехвачена (83073FDC->9061B280), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSetContextThread (13C) перехвачена (830F5C01->9061B2F0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSetInformationObject (14C) перехвачена (8301CF41->9061B3D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSetInformationToken (150) перехвачена (83018268->9061B240), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSetSystemInformation (15E) перехвачена (83063D72->9061B3E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSuspendProcess (16E) перехвачена (830F6093->9061B300), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSuspendThread (16F) перехвачена (830AB4A5->9061B320), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtSystemDebugControl (170) перехвачена (8309BA82->9061B340), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtTerminateProcess (172) перехвачена (83070B82->9061B2D0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtTerminateThread (173) перехвачена (8308E888->9061B2E0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtTraceControl (177) перехвачена (8306563F->9061B3B0), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtUnmapViewOfSection (181) перехвачена (83079F44->9061B230), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Функция NtWriteVirtualMemory (18F) перехвачена (83075943->9061B200), перехватчик C:\Windows\system32\DRIVERS\klhk.sys
Проверено функций: 401, перехвачено: 35, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=82E46730 C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].SYSENTER=82E46730 C:\Windows\system32\ntkrnlpa.exe, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 61
Количество загруженных модулей: 563
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\Надежда\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка настройки поиска IE через Policies HKCU\Software\Microsoft\Internet Explorer\SearchScopes\71492e2e-e027-11e9-8f70-002522359d22, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={searchTerms}"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 82921, извлечено из архивов: 54656, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 30.10.2020 13:58:49
Сканирование длилось 00:06:00
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
Надежда-ПК\Надежда Задача завершена Задача завершена Активный пользователь Сегодня, 30.10.2020 14:27
Надежда-ПК\Надежда C:\Users\Надежда\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\f_005ee3 Объект не обработан Не обработано not-a-virus:HEUR:Downloader.Win32.Softrary.gen C:\Users\Надежда\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\ f_005ee3 Файл Активный пользователь Файл не найден Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя Низкая Эвристический анализ Не обработано Сегодня, 30.10.2020 14:27
Надежда-ПК\Надежда J:\ Объект не обработан Не обработано Файл Активный пользователь Не обработано Сегодня, 30.10.2020 14:27
Надежда-ПК\Надежда I:\ Объект не обработан Не обработано Файл Активный пользователь Не обработано Сегодня, 30.10.2020 14:27
Надежда-ПК\Надежда H:\ Объект не обработан Не обработано Файл Активный пользователь Не обработано Сегодня, 30.10.2020 14:27
Надежда-ПК\Надежда G:\ Объект не обработан Не обработано Файл Активный пользователь Не обработано Сегодня, 30.10.2020 14:27
Надежда-ПК\Надежда C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\intel-clear-web-bold[1].eot Объект поврежден Повреждено C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ intel-clear-web-bold[1].eot Файл Активный пользователь Повреждено Сегодня, 30.10.2020 14:17
Надежда-ПК\Надежда C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\intel-clear-web-bold[1].eot//EOT Объект поврежден Повреждено C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\intel-clear-web-bold[1].eot//EOT C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\intel-clear-web-bold[1].eot//EOT Файл Активный пользователь Повреждено Сегодня, 30.10.2020 14:17
Надежда-ПК\Надежда C:\Users\Надежда\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\f_005ee3 Объект не обработан Не обработано not-a-virus:HEUR:Downloader.Win32.Softrary.gen C:\Users\Надежда\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\ f_005ee3 Файл Активный пользователь Объект заблокирован Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя Низкая Эвристический анализ Не обработано Сегодня, 30.10.2020 14:07
Надежда-ПК\Надежда C:\Users\Надежда\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\f_005ee3 Обнаружена легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя. Обнаружено not-a-virus:HEUR:Downloader.Win32.Softrary.gen C:\Users\Надежда\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\ f_005ee3 Файл Активный пользователь Машинное обучение Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя Низкая Эвристический анализ Обнаружено Сегодня, 30.10.2020 14:07
Надежда-ПК\Надежда Задача запущена Задача запущена Активный пользователь Сегодня, 30.10.2020 14:01