Цель: дать понятие “компьютерный вирус”, “антивирусная программа”; рассмотреть различные классификации вирусов; изучить методы защиты от компьютерных вирусов; познакомиться с различными антивирусными программами.
Задачи:
- Обучающие:
- познакомить учащихся с историей возникновения вирусов;
- сформировать знания о видах вирусов;
- способствовать овладению знаниями о способах защиты компьютера от вирусов.
- Развивающие:
- способствовать развитию логического мышления, культуры речи;
- развивать умение обобщать и синтезировать знания;
- планировать свою деятельность.
- Воспитательные:
- воспитывать внимание, бережливое отношение к компьютерной технике и программному обеспечению;
- воспитывать умение работать в группе – взаимодействовать для выработки общего решения в совместной деятельности, умение слушать партнера, формулировать и аргументировать свое мнение.
ХОД УРОКА
I. Организационный момент
Приветствие. Проверка отсутствующих.
II. История компьютерных вирусов
Теоретические основы создания компьютерных вирусов были заложены в 40-х годах прошлого столетия американским ученым Джоном фон Нейманом, который также известен как автор базовых принципов работы современного компьютера. Впервые же термин вирус в отношении компьютерных программ применил Фред Коэн. Это случилось 3 ноября 1983 года на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США), где был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом. Для ее отладки потребовалось 8 часов компьютерного времени на машине VAX 11/750 под управлением операционной системы Unix и ровно через неделю, 10 ноября состоялась первая демонстрация.
Первый известный вирус был написан для компьютера Univac 1108 (конец 1960-х – начало 1970-х годов). Он назывался Pervading Animal и фактически представлял собой игру, написанную с ошибкой – с помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Ошибка заключалась в том, что при добавлении новых вопросов модифицированная игра записывалась поверх старой версии плюс копировалась в другие директории. Следовательно через некоторое время диск становился переполненным. Поскольку Pervading Animal не был настоящим вирусом, он не содержал процедуры самораспространения и передавался исключительно через пользователей, желающих по собственной воле переписать программу.
В 1969 году в США была создана первая глобальная компьютерная сеть, прародитель современной Интернет, ARPANET (Advanced Research Projects Agency Network). Она объединяла четыре ведущие научные центра США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус, умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением "I'M THE CREEPER: CATCH ME IF YOU CAN". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.
В 1984 году вышли в свет первые антивирусные программы – CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс. Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование, выполняемые через BIOS На то время они были очень эффективны и быстро завоевали популярность.
Первую настоящую глобальную эпидемию вызвал в 1986 году вирус Brain. Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain – умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора (так называемая стелс-технология). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.
В 1987 году был написан первый по-настоящему вредоносный вирус – Lehigh. Он вызвал эпидемию в Лехайском университете (США), где в то время работал Фред Коэн. Lehigh заражал только системные файлы COMMAND.COM и был запрограммирован на удаление всей информации на инфицированном диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.
OneHalf, очень сложный вирус, обнаруженный в июне 1994 года, вызвал глобальную эпидемию во всем мире, в том числе в России. Он заражал загрузочные сектора дисков и COM/EXE-файлы, увеличивая их размер на 3544, 3577 или 3518 байта, в зависимости от модификации. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету – следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение "Dis is one half. Press any key to continue...", выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. Популярности этого вируса в России поспособствовала компания Доктор Веб, которая выпустила новую версию своего антивируса, анонсировав его как средство от OneHalf. Однако на практике после лечения загрузочных секторов от этого вируса, Dr.Web забывал расшифровать информацию на диске и восстановить ее было уже невозможно.
В августе 1995 появился Concept – первый вирус, поражавший документы Microsoft Word.
В современном Интернет в среднем каждое тридцатое письмо заражено почтовым червем, около 70% всей корреспонденции – нежелательна. С ростом сети Интернет увеличивается количество потенциальных жертв вирусописателей, выход новых операционных систем влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов. Современный пользователь компьютера не может чувствовать себя в безопасности перед угрозой стать объектом чей-то злой шутки – например, уничтожения информации на винчестере – результатов долгой и кропотливой работы, или кражи пароля на почтовую систему. Точно так же неприятно обнаружить себя жертвой массовой рассылки конфиденциальных файлов или ссылки на порно-сайт. Поэтому при выявлении антивирусным комплексом вируса можно однозначно сказать, что это – вредоносная программа.
Цель данной темы состоит в изложении основ антивирусной защиты, которая за последние десятилетия не отставала в развитии от эволюции вредоносных программ. За это время были разработаны эффективные методики построения комплексов антивирусной безопасности, позволяющие снизить вероятность заражения компьютера каким-либо вирусом или другой вредоносной программой практически до нуля. Однако стопроцентную безопасность не может гарантировать никто. Поэтому для сведения возможности заражения к минимуму необходимо четко понимать принципы работы антивирусного программного обеспечения и неукоснительно следовать всем правилам и рекомендациям.
III. Компьютерные вирусы
Компью?терный ви?рус — вид
вредоносного программного обеспечения,
способный создавать копии самого себя и
внедряться в код других программ, системные
области памяти, загрузочные секторы, а так же
распространять свои копии по разнообразным
каналам связи, с целью нарушения работы
программно-аппаратных комплексов, удаления
файлов, приведения в негодность структур
размещения данных, блокирования работы
пользователей или же приведение в негодность
аппаратных комплексов компьютера.
или
Компьютерный вирус – это небольшая
программа, написанная программистом высокой
квалификации, способная к саморазмножению и
выполнению разных деструктивных действий.
Существует очень много разных вирусов. Условно
их можно классифицировать следующим образом:
1) загрузочные вирусы или BOOT-вирусы
заражают boot-секторы дисков. Очень опасные, могут
привести к полной потере всей информации,
хранящейся на диске;
2) файловые вирусы заражают файлы.
Делятся на:
- вирусы, заражающие программы (файлы с расширением .EXE и .COM);
- макровирусы вирусы, заражающие файлы данных, например, документы Word или рабочие книги Excel;
- вирусы-спутники используют имена других файлов;
- вирусы семейства DIR искажают системную информацию о файловых структурах;
3) загрузочно-файловые вирусы
способные поражать как код boot-секторов, так и код
файлов;
4) вирусы-невидимки или STEALTH-вирусы
фальсифицируют информацию прочитанную из диска
так, что программа, какой предназначена эта
информация получает неверные данные. Эта
технология, которую, иногда, так и называют
Stealth-технологией, может использоваться как в
BOOT-вирусах, так и в файловых вирусах;
5) ретровирусы заражают антивирусные
программы, стараясь уничтожить их или сделать
нетрудоспособными;
6) вирусы-черви снабжают небольшие
сообщения электронной почты, так называемым
заголовком, который по своей сути есть Web-адресом
местонахождения самого вируса. При попытке
прочитать такое сообщение вирус начинает
считывать через глобальную сеть Internet свое 'тело'
и после загрузки начинает деструктивное
действие. Очень опасные, так как обнаружить их
очень тяжело, в связи с тем, что зараженный файл
фактически не содержит кода вируса.
7) скрипт-вирусы заражают локальный
компьютер при их передаче по Всемирной паутине с
серверов Интернета в браузер локального
компьютера.
Практически все загрузочные и файловые вирусы резидентны, т.е. они находятся в оперативной памяти компьютера, и в процессе работы пользователя могут осуществлять опасные действия. Макро-вирусы являются ограниченно резидентными, т.е. они находятся в оперативной памяти и заражают документы, пока открыто приложение.
Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.
Основные ранние признаки заражения компьютера вирусом:
- уменьшение объема свободной оперативной памяти;
- замедление загрузки и работы компьютера;
- непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов;
- ошибки при загрузке операционной системы;
- невозможность сохранять файлы в нужных каталогах;
- непонятные системные сообщения, музыкальные и визуальные эффекты и т.д.
Признаки активной фазы вируса:
- исчезновение файлов;
- форматирование жесткого диска;
- невозможность загрузки файлов или операционной системы.
К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус – это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус. Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.
Различают такие типы антивирусных программ:
1) программы-детекторы: предназначены
для нахождения зараженных файлов одним из
известных вирусов. Некоторые
программы-детекторы могут также лечить файлы от
вирусов или уничтожать зараженные файлы.
Существуют специализированные, то есть
предназначенные для борьбы с одним вирусом
детекторы и полифаги, которые могут бороться с
многими вирусами;
2) программы-лекари: предназначены для
лечения зараженных дисков и программ. Лечение
программы состоит в изъятии из зараженной
программы тела вируса. Также могут быть как
полифагами, так и специализированными;
3) программы-ревизоры: предназначены для
выявления заражения вирусом файлов, а также
нахождение поврежденных файлов. Эти программы
запоминают данные о состоянии программы и
системных областей дисков в нормальном
состоянии (до заражения) и сравнивают эти данные
в процессе работы компьютера. В случае
несоответствия данных выводится сообщение о
возможности заражения;
4) лекари-ревизоры: предназначены для
выявления изменений в файлах и системных
областях дисков и, в случае изменений, возвращают
их в начальное состояние.
5) программы-фильтры: предназначены для
перехвата обращений к операционной системе,
которые используются вирусами для размножения и
сообщают об этом пользователя. Пользователь
может разрешить или запретить выполнение
соответствующей операции. Такие программы
являются резидентными, то есть они находятся в
оперативной памяти компьютера.
6) программы-вакцины: используются для
обработки файлов и boot-секторов с целью
предупреждения заражения известными вирусами (в
последнее время этот метод используется все
чаще).
IV. Физминутка
1. И.п.: о.в., руки вперед. Одновременные движения
рук вперед-назад.
2. И.п.: о.с., правую руку вперед, левую назад.
Попеременная смена положения рук.
3. И.п.: стойка ноги врозь, руки в стороны. Слегка
приседая, правую руку вперед, левую назад, затем
наоборот. Каждое упражнение комплекса выполнить
4 раза в медленном темпе в течение 1 мин.
4. И.п.: сидя за партой, руки на пояс. 1-4 –
одновременные круговые движения плечами назад.
Выполнить 1-2 раза.
V. Практическая часть «Защита от компьютерных вирусов»
С помощью антивирусной программы,
установленной на вашем компьютере, проверить
компьютер на наличие вирусов и при их
обнаружении вылечить зараженные файлы.
Прежде всего, необходимо через Интернет обновить
антивирусную программу и вирусную базу данных:
Чтобы запустить проверку компьютера и удалить
вредоносные программы с вашего компьютера,
выполните следующие действия:
1. Загрузите компьютер с Kaspersky Rescue Disk 10 в
графическом режиме.
2. В левом нижнем углу экрана нажмите на кнопку в
виде буквы К. В меню выберите Kaspersky Rescue Disk.
3. Обновите антивирусные базы Kaspersky Rescue Disk. Для
этого на закладке Обновление нажмите на кнопку Выполнить
обновление (рис.1).
4. Дождитесь завершения обновления
антивирусных баз программы.
5. На закладке Проверка объектов установите
флажки напротив объектов, которые должна
проверить программа. По умолчанию Kaspersky Rescue Disk
проверяет загрузочные секторы жестких дисков, а
также скрытые объекты автозапуска операционной
системы.
6. Нажмите на кнопку Выполнить проверку
объектов (Рис. 2).
7. После окончания проверки в случае обнаружения угроз программа запросит вас, какое действие произвести над вредоносными объектами:
- Лечить. После лечения с объектом можно продолжить работу.
- Поместить на Карантин, если в результате проверки не удалось определить, заражен объект или нет. Если у вас установлена необходимая опция проверки файлов на карантине после каждого обновления баз, то после получения новой сигнатуры лечения объект на Карантине будет вылечен и вновь доступен для пользователя.
- Удалить. Если объекту присвоен статус вируса, но его лечение невозможно, вы можете удалить его. Информация об объекте сохранится в Рис. 2 отчете об обнаруженных угрозах.
VI. Подведение итогов. Выставление оценок