Защита от вредоносных программ является в настоящее время важнейшей задачей обеспечения информационной безопасности. Среди набора программ, используемого большинством пользователей персональных компьютеров каждый день, антивирусные программы традиционно занимают особое место. Необходимость постоянного совершенствования методов борьбы с вирусами обусловлена развитием последних, которые становятся все более изощренными.
Антивирусное программное обеспечение – единственный продукт информационной безопасности, используемый практически в 100% компаний. Таким образом, все «околоантивирусные» решения со временем будут интегрированы в технологии ведущих антивирусных вендоров, чтобы обеспечить конечным заказчикам возможность более качественной защиты от данного спектра угроз и единое управление для этих продуктов. Конечно, антивирусные компании не в состоянии в сжатые сроки представить на рынок собственные разработки дополнительных средств обнаружения вредоносного ПО, которые бы конкурировали с независимыми разработками. Игроки рынка должны серьезно заняться собственными разработками в области дополняющих решений, чтобы обеспечить компании едиными инструментами управления этими средствами защиты.
Данная курсовая работа обладает высокой степенью актуальности и практической направленности, поскольку развитие информационного общества, породившее уязвимость компьютерных систем, требует постоянного совершенствования системы защиты программ.
Целью данной работы является исследование и сравнительный анализ компьютерных вирусов и антивирусных программ.
Задачами данной работы, направленными на достижение ее целей, являются следующие:
- рассмотрение понятия и классификации компьютерных вирусов;
- сравнительный анализ ряда компьютерных вирусов;
- исследование направлений развития антивирусных программ.
Объектом исследования в данной работе являются существующие компьютерные вирусы и антивирусные программы, предметом исследования выступают тенденции их развития и противостояния.
Глава 1. Сравнительный анализ компьютерных вирусов
1.1. Понятие компьютерного вируса
Для определения понятия «компьютерный вирус» существуют различные формулировки. Согласно одной из них, вирус – это программный код, встроенный в программу или документ, который проникает на компьютер для несанкционированного уничтожения, блокирования, искажения, копирования данных и сбора информации, или для заражения компьютеров через Интернет[1].
Главная особенность вируса – это способность различными путями распространяться из одного файла в другой на одном компьютере или с одного компьютера на другой без ведома и согласия пользователя компьютера. Часто действия вирусов приводят к значительным нарушениям в работе компьютера или компьютерных сетей.
Вирусы принято классифицировать по следующим признакам: среда обитания, поражаемая операционная система, особенности алгоритма работы, деструктивные возможности.
По среде обитания, иначе говоря, по поражаемым объектам вирусы делятся на файловые, загрузочные, сетевые вирусы и макровирусы.
Файловые вирусы являются одними из самых распространенных типов компьютерных вирусов. Их характерной чертой является то, что они инициируются при запуске заражённой программы. Код вируса обычно содержится в исполняемом файле этой программы (файл с расширением .exe или .bat), либо в динамической библиотеке (расширение .dll), используемой программой. В настоящее время такие вирусы, как правило, представляют собой скрипты, написаны с использованием скриптового языка программирования (JavaScript, к примеру) и могут входить в состав веб-страниц. Они внедряются в исполняемые файлы, создают дубликаты файлов или используют особенности организации файловой системы для выполнения несанкционированных действий.
Загрузочные вирусы записываются в загрузочный сектор диска и запускаются при запуске операционной системы, становясь ее частью.
Сетевые вирусы, которые ещё называют сетевыми червями, имеют своим основным местом «проживания» и функционирования локальную сеть. Сетевой вирус, попадая на компьютер пользователя, самостоятельно копирует себя и распространяется по другим компьютерам, входящим в сеть. Они используют для своего распространения электронную почту, системы обмена мгновенными сообщениями (например, ICQ), сети обмена данными, а также недостатки в конфигурации сети и ошибки в работе сетевых протоколов.
Макровирусы поражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд[2]. К таким документам относятся файлы, созданные с помощью пакета программ Microsoft Office, который поддерживает создание макросов на языке программирования Visual Basic for Application. Весьма полезно перед открытием незнакомого файла, созданного в таких программах, как Word или Excel, удостовериться, что поддержка макросов отключена (Сервис – Параметры – Безопасность макросов).
Однако, можно сказать, что современный вирус зачастую можно отнести сразу к нескольким группам вирусов. Такими сочетаниями являются, например, файловые загрузочные вирусы или файловые сетевые черви. Пример последнего: сетевой макровирус, который не только заражает документы, созданные в программах Word или Excel, но и рассылает свои копии по электронной почте.
Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе.
По алгоритмам работы выделяют резидентные вирусы и вирусы, использующие стелс-алгоритмы или полиморфичность.
Резидентные вирусы при заражении компьютера постоянно остаются в оперативной памяти, перехватывая обращения операционной системы к объектам заражения, чтобы выполнить несанкционированные действия. Такие вирусы являются активными до полного выключения компьютера.
Применение стелс-алгоритмов базируется на перехвате запросов ОС на чтение или запись зараженных объектов. При этом происходит временное лечение этих объектов, либо замена их незараженными участками информации. Это позволяет вирусам скрыть себя в системе[3].
Также очень сложно обнаружить в системе вирусы, основанные на применении алгоритмов полиморфичности. Такие вирусы не содержат ни одного постоянного участка кода, что достигается за счет шифрования кода вируса и модификации программы-расшифровщика. Как правило, два образца одного и того же вируса не будут иметь ни одного совпадения в коде.
По деструктивным, то есть разрушительным возможностям выделяют опасные и неопасные вирусы.
Опасные вирусы выводят из строя операционную систему, портят или уничтожают информацию, хранящуюся на диске.
Неопасные вирусы практически не влияют на работоспособность компьютера и не понижают эффективность работы операционной системы, кроме увеличения дискового пространства, которое они занимают и уменьшения объёма свободной памяти компьютера.
Разработчики антивирусных программ обычно создают собственные классификации детектируемых вирусов. Например, «Лаборатория Касперского» использует классификацию, основанную на разделении вирусов по типу совершаемых ими на компьютере пользователей действий[4].
Основные типы вредоносных объектов: virus, worm (net-worm и email-worm), packer, utility, trojan (trojan-downloader, backdoor и trojan-dropper), adware.
Среди сетевых вирусов (worm) выделяют вредоносные программы, которые используют для своего распространения электронную почту (email- worm) и сети обмена данными (net-worm).
Упаковщики (packer) различными способами архивируют содержимое файла, в том числе с помощью шифрования, для того, чтобы исключить корректное разархивирование информации.
