Menú
Está libre
registrarse
el principal  /  Problemas / Clasificación de programas antivirus. Clasificación de virus informáticos y programas antivirus.

Clasificación de los programas antivirus. Clasificación de virus informáticos y programas antivirus.

Introducción

Vivimos en el cruce de dos milenios, cuando la humanidad entró en la era de la nueva revolución científica y técnica.

A finales del siglo XX, las personas capturaron muchos secretos de la transformación de la sustancia y la energía y lograron utilizar estos conocimientos para mejorar sus vidas. Pero además de la sustancia y la energía en la vida de una persona, otro componente desempeña una gran cantidad de información. Estas son una amplia variedad de información, mensajes, noticias, conocimientos, habilidades.

A mediados de nuestro siglo, aparecieron dispositivos especiales: las computadoras orientadas al almacenamiento y la conversión de información y una revolución de la computadora ocurrió.

Hoy, el uso masivo de las computadoras personales, desafortunadamente, resultó estar asociado con el advenimiento de los virus autoexplicativos, lo que impide el funcionamiento normal de la computadora que destruye la estructura de archivos de los discos y daña la información almacenada en la computadora.

A pesar de las leyes de combatir los delitos informáticos adoptados en muchos países y el desarrollo de la protección especial del programa contra virus, el número de nuevos virus de software está creciendo constantemente. Esto requiere una computadora personal de conocimiento sobre la naturaleza de los virus, formas de infectar virus y protección de ellos. Sirvió como incentivo para seleccionar el tema de mi trabajo.

Se trata de esto que le digo en mi resumen. Muestro los principales tipos de virus, considerando los esquemas de su funcionamiento, las razones de su apariencia y el camino de la penetración en la computadora, así como la oferta de medidas para proteger y prevenir.

El propósito del trabajo es familiarizar al usuario con los conceptos básicos del virus informático, para enseñar a detectar virus y tratar con ellos. Método de trabajo: análisis de impresiones sobre este tema. Delante de mí, hubo una tarea difícil, para hablar sobre lo que todavía estaba muy estudiado, y cómo sucedió, para juzgarte.

1. Virus informáticos, sus propiedades. Y clasificación

1.1. Propiedades de los virus informáticos.

Las computadoras personales ahora se utilizan en las que el usuario tiene acceso gratuito a todos los recursos de la máquina. Esta es exactamente la oportunidad del peligro que recibió el nombre del virus de la computadora.

¿Qué es un virus de computadora? La definición formal de este concepto todavía no se inventa, y hay serias dudas que se puede dar en absoluto. Numerosos intentos de dar una definición "moderna" del virus no llevaron al éxito. Para sentir la complejidad del problema, intente, por ejemplo, para definir el concepto de "editor". O se le ocurre algo muy general, o comience a listar a todos los editores conocidos. Tanto casi no pueden considerarse aceptables. Por lo tanto, nos limitamos a la consideración de algunas propiedades de los virus informáticos que nos permiten hablar sobre ellos como una cierta clase de programa específica.

En primer lugar, el virus es un programa. Dicha declaración simple en sí misma es capaz de disipar muchas leyendas sobre las capacidades extraordinarias de los virus informáticos. El virus puede girar la imagen en su monitor, pero el monitor en sí no puede dar la vuelta. Las leyendas de los virus asesinos, "destruyendo a los operadores a través del retiro de la gama de colores mortales de las 25º escena", también no se tratan en serio. Desafortunadamente, algunas ediciones autorizadas de vez en cuando publican "las últimas noticias de los frentes de la computadora", que, que más se acercan, resultan ser una consecuencia de la comprensión no clara del sujeto.

El virus es un programa que tiene una capacidad de auto-reproducción. Dicha capacidad es la única herramienta inherente en todo tipo de virus. Pero no solo los virus son capaces de auto-reproducción. Cualquier sistema operativo y muchos más programas son capaces de crear sus propias copias. Las copias del virus no solo no están obligadas a coincidir por completo con el original, ¡pero generalmente no pueden coincidir con él!

El virus no puede existir en "aislamiento completo": hoy es imposible imaginar un virus que no usa el código de otros programas, información sobre la estructura de archivos o incluso solo los nombres de otros programas. La razón es comprensible: el virus debe garantizar la transferencia de control.

1.2. Clasificación de virus

Actualmente, se conocen más de 5000 virus de software, se pueden clasificar de acuerdo con las siguientes características:

¨ HABITAT

¨ Método de infección de hábitat.

exposición

¨ Características del algoritmo.

Dependiendo del entorno del hábitat, los virus se pueden dividir en red, archivo, arranque y arranque de archivos. Virus de red Distribuir a través de varias redes informáticas. Los virus de los archivos se implementan principalmente en los módulos ejecutables, es decir, en los archivos que tienen las extensiones de COM y EXE. Virus de archivos Se pueden implementar otros tipos de archivos, pero generalmente se registran en dichos archivos, nunca reciben control y, por lo tanto, pierden la capacidad de reproducirse. Virus de arranque se introducen en el sector de arranque del disco (sector de arranque) o al sector que contiene el programa de carga de disco del sistema (arranque maestro

cABLE). Carga de archivos Los virus infectan ambos archivos y sectores de inicio de los discos.

Por el método de infección, los virus se dividen en residentes y no residentes. Virus residente Cuando se infecta (infección), la computadora deja su parte residente en RAM, que luego intercepta el acceso del sistema operativo a los objetos de infección (archivos, sectores de inicio, etc.) y se introduce en ellos. Los virus residentes están en la memoria y están activos para apagar o reiniciar la computadora. Virus no residentes No infectas la memoria de la computadora y que estén activas de tiempo limitado.

De acuerdo con el grado de impacto, los virus se pueden dividir en los siguientes tipos:

¨ no peligrosoNo interfiriendo con el trabajo de la computadora, sino que reduce la cantidad de RAM libre y la memoria en los discos, las acciones de tales virus se manifiestan en cualquier efecto gráfico o de audio.

¨ peligroso Virus que pueden llevar a varios trastornos en la computadora.

¨ muy peligrosa, cuyo impacto puede llevar a la pérdida de programas, la destrucción de datos, borrar información en las regiones del sistema del disco.

2. Principales tipos de virus y esquemas para su operación.

Entre toda la variedad de virus, los siguientes grupos principales se pueden distinguir:

cargando

archivo

¨ arranque de archivos

Ahora con más detalle sobre cada uno de estos grupos.

2.1. Virus de arranque

Considere el esquema de funcionamiento de un virus de arranque muy simple, infectando disquete. Consideramos conscientemente todas las numerosas sutilezas que inevitablemente se reunirían con un estricto análisis del algoritmo de su funcionamiento.

¿Qué pasa cuando enciendes la computadora? En primer lugar se transmite el control. programa de descarga elementalque se almacena en un dispositivo de almacenamiento constantemente (ROM) I.E. PNZ ROM.

Este programa prueba el equipo y mientras completó con éxito los cheques intenta encontrar un disquete en la unidad A:

Todos los disquetes se publican en el llamado. Sectores y pistas. Los sectores se combinan en clusters, pero es insignificante para nosotros.

Entre los sectores hay varias utilidades utilizadas por el sistema operativo para sus propias necesidades (sus datos no se pueden colocar en estos sectores). Entre los sectores de servicio, todavía estamos interesados \u200b\u200ben uno, el llamado Sector inicial (Sector de arranque).

En el sector inicial se mantiene. información de distensión - Número de superficies, número de pistas, número de sectores, etc. Pero no estamos interesados \u200b\u200ben esta información, sino un pequeño programa de descarga primaria (PNZ), que debe cargar el propio sistema operativo y transferirlo a control.

Por lo tanto, el diagrama de inicio normal es el siguiente:

PNZ (ROM) - PNZ (disco) - Sistema

Ahora considera el virus. En los virus de carga, se aíslan dos partes, las llamadas. cabeza y así llamado cola. La cola, en general, puede estar vacía.

Permita que tenga un disquete limpio y una computadora infectada bajo la cual entendemos una computadora con un virus residente activo. Tan pronto como este virus detecte que apareció una víctima adecuada en la unidad, en nuestro caso, no un disquete no protegido o infectado, procede a la infección. Infectando un disquete, el virus produce las siguientes acciones:

Destaca algún área de disco y lo marca como un sistema operativo inaccesible, se puede hacer de diferentes maneras, en el caso más simple y tradicional, los sectores que participan en el virus están marcados como fallidos (mal)

Copia su sector de arranque de cola y original (saludable) al área de disco dedicada

programa de infección contra virus malicioso

Para su trabajo exitoso, los virus deben verificarse si el archivo ya está infectado (el mismo virus). Así que evitan la autodestrucción. Para esto, los virus usan la firma. La mayoría de los virus habituales (incluidos los macrovirus) utilizan firmas simbólicas. Los virus más complejos (polimórficos) utilizan firmas de algoritmos. Independientemente del tipo de firma de virus, los programas antivirus usanlos para detectar "infecciones por computadora". Después de eso, el programa antivirus está tratando de destruir el virus detectado. Sin embargo, este proceso depende de la complejidad del virus y la calidad del programa antivirus. Como ya se mencionó, es más difícil descubrir caballos de troyanos y virus polimórficos. El primero de ellos no agrega su cuerpo al programa, sino que se introducen dentro de él. Por otro lado, los programas antivirus deberían pasar mucho tiempo para determinar la firma de virus polimórficos. El hecho es que sus firmas cambian con cada nueva copia.

Para detectar, eliminar y proteger contra virus informáticos, hay programas especiales que se denominan antiviral. Los programas modernos antivirus son productos multifuncionales que combinan ambas medidas y herramientas preventivas para tratar virus y recuperación de datos.

El número y la variedad de virus son grandes, y para detectarlos de manera rápida y eficiente, el programa antivirus debe responder a algunos parámetros:

1. Estabilidad y confiabilidad del trabajo.

2. El tamaño de la base de datos viral del programa (el número de virus que están determinados correctamente por el programa): teniendo en cuenta la apariencia constante de nuevos virus, la base de datos debe actualizarse regularmente.

3. La capacidad de definir una variedad de tipos de virus, y la capacidad de trabajar con archivos de varios tipos (archivos, documentos).

4. La presencia de un monitor de residencia que verifica todos los archivos nuevos "en la marcha" (es decir, automáticamente, a medida que escriben al disco).

5. La velocidad del programa, la presencia de características adicionales del tipo de algoritmos para determinar incluso programas de virus desconocidos (escaneo heurístico).

6. La capacidad de restaurar archivos infectados sin borrarlos de un disco duro, pero solo quitando los virus de ellos.

7. El porcentaje de respuesta falsa del programa (definición errónea del virus en el archivo "limpio").

8. Plataforma cruzada (disponibilidad de versiones del programa para varios sistemas operativos).

Clasificación de los programas antivirus:

1. Los detectores de programas proporcionan la búsqueda y detección de virus en RAM y en medios externos, y cuando se detecta, se discute por el mensaje apropiado. Distinguir detectores:

Universal: se usa en su trabajo para verificar la invalimiento de los archivos contando y comparando con la referencia de la suma de comprobación;

Especializado: realice la búsqueda de virus conocidos por su firma (código de código repetido).

2. Los programas de doctor (fagos) no solo encuentran archivos infectados con virus, sino que también los "tratados", es decir, " Elimine el cuerpo del programa de virus del archivo, devolviendo los archivos a su estado original. Al comienzo de su trabajo, los fagos están buscando virus en RAM, destruyéndolos, y solo luego vaya al "tratamiento" de los archivos. Entre los fagospes, los polifags están aislados, es decir,. Programas de documentos diseñados para buscar y destruir una gran cantidad de virus.

3. Los programas de auditoría pertenecen a los medios de protección más confiables contra virus. Los auditores recuerdan el estado original de los programas, directorios y regiones del sistema del disco cuando la computadora no está infectada con el virus, y luego periódicamente o a solicitud del usuario comparar el estado actual con la fuente. Los cambios detectados se muestran en la pantalla del monitor.

4. Los programas de filtro (Storam) son pequeños programas de residentes diseñados para detectar acciones sospechosas cuando se trabaja en una computadora característica de los virus. Tales acciones pueden ser:

Intentos de corregir archivos con extensiones COM y EXE;

Cambio de atributos de archivo;

Registro directo al disco en una dirección absoluta;

Grabando al sector de arranque del disco;

5. Los programas de vacunación (inmunizadores) son programas residentes que impiden la infección de archivos. Se utilizan vacunas si no hay programas de médicos, "asistiendo" a este virus. La vacunación es posible solo de virus famosos de Bezrukov N. Virología de la computadora: libro de texto [Recursos electrónicos]: http://vx.netlux.org/lib/anb00.html ..

De hecho, la arquitectura de los programas antivirus es mucho más complicada y depende del desarrollador específico. Pero un hecho es indiscutible: todas las tecnologías a las que conté, tan estrechamente entrelazadas, que a veces es imposible entender cuando otros comienzan a trabajar en el curso. Dicha interacción de las tecnologías antivirus permite que se utilicen de manera más efectiva en la lucha contra los virus. Pero no olvide que no hay una protección perfecta, y la única forma de advertir a sí misma de tales problemas son las actualizaciones constantes del sistema operativo, un firewall bien ajustado, a menudo actualizado antivirus, y lo principal, no para iniciar / descargar sospechoso Archivos de internet.

La protección contra virus es la medida más común para garantizar la seguridad de la información de la infraestructura en el sector corporativo. Sin embargo, solo el 74% de las compañías rusas aplican soluciones de protección contra virus, mostraron un estudio realizado por el Laboratorio de Kaspersky conjuntamente con la compañía analítica B2B International (Otoño 2013).

El informe también dice que contra los antecedentes del crecimiento explosivo de los ciberósticos, de los cuales las empresas están protegidas por antivirus simples, el negocio ruso comienza a usar cada vez más herramientas de protección integrales. De muchas maneras, por esta razón, el uso del cifrado de datos para medios extraíbles (24%) aumentó en un 7%. Además, las empresas se han vuelto más dispuestas a distinguir entre las políticas de seguridad para los dispositivos removibles. La diferencia entre el nivel de acceso a varios sitios de infraestructura de TI (49%) ha aumentado (49%). Con estas pequeñas y medianas empresas prestan más atención al control de dispositivos removibles (35%) y el control de las aplicaciones (31%).

Los investigadores también encontraron que a pesar de la detección constante de nuevas vulnerabilidades en el software, las compañías rusas aún no prestan la debida atención a las actualizaciones de software regulares. Además, el número de organizaciones de fijación fijas ha disminuido en comparación con el año pasado, y ascendió a solo el 59%.

Los modernos programas antivirus pueden detectar efectivamente objetos maliciosos dentro de archivos y documentos. En algunos casos, el antivirus puede eliminar el cuerpo de un objeto malicioso de un archivo infectado, restaurando el propio archivo. En la mayoría de los casos, el antivirus puede eliminar el software malicioso no solo del archivo del programa, sino también del archivo de documentos de la oficina sin interrumpir su integridad. El uso de programas antivirus no requiere altas calificaciones y está disponible para casi cualquier usuario de la computadora.

La mayoría de los programas antivirus combinan las características de protección permanente (monitor antivirus) y las características de seguridad a solicitud del usuario (escáner antivirus).

Calificación antivirus

2019: Dos tercios de los antivirus para Android fueron inútiles.

En marzo de 2019, el laboratorio AV-comparativo austriaco que se especializa en la prueba de software antivirus publicó los resultados del estudio que los programas más similares para Android han mostrado su uso.

Solo 23 antivirus ubicados en el directorio oficial de la tienda de Google Play definitivamente reconocerán programas maliciosos en el 100% de los casos. El resto del software no responde a las amenazas móviles o acepta aplicaciones absolutamente seguras para ellos.

Los expertos han estudiado 250 antivirus e informaron que solo el 80% de ellos pueden identificar más del 30% de malware. Por lo tanto, 170 aplicaciones fallaron la prueba. Los productos que hacen frente a las pruebas han ingresado principalmente soluciones a grandes fabricantes, incluyendo Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro y Trustwave.

Como parte del experimento, los investigadores establecen cada aplicación antivirus a un dispositivo separado (sin un emulador) y automatizó los dispositivos para iniciar el navegador, la carga y la instalación posterior de software malicioso. Cada dispositivo fue probado por el ejemplo de 2 mil. Los virus Android más comunes en 2018.

Según los cálculos de AV-comparativas, la mayoría de las soluciones antivirus de Android son falsificaciones. Decenas de aplicaciones tienen una interfaz prácticamente idéntica, y sus creadores están claramente interesados \u200b\u200ben mostrar la publicidad que al escribir un escáner antivirus de trabajo.

Algunos antivirus "Consulte" Una amenaza en cualquier aplicación que no esté incluida en su "Lista blanca". Debido a esto, ellos, en varios casos absolutamente anécdicos, elevaron la alarma debido a sus propios archivos, ya que los desarrolladores se olvidaron de mencionarlos en la "Lista blanca".

2017: Microsoft Security Essentials es reconocido como uno de los peores antivirus

En octubre de 2017, la prueba AV del laboratorio antivirus alemana publicó los resultados de las pruebas de antivirus integradas. Según el estudio, el software de marca Microsoft, diseñado para protegerse contra la actividad maliciosa, casi peor que todas las copes con sus responsabilidades.

De acuerdo con los resultados de las pruebas realizadas en julio-agosto de 2017, los expertos de prueba AV llamaron al mejor antivirus para Windows 7, la solución de seguridad de Internet Kaspersky, que recibió 18 puntos al evaluar el nivel de protección, rendimiento y facilidad de uso.

Trend Micro Internet Security y Bitdefender Internet Security y BitDefender Internet de Internet han entrado en los tres primeros. En la posición de los productos de otras compañías antivirus que han caído en el estudio, puede aprender de las ilustraciones a continuación:

Muchos escáneres también utilizan algoritmos de escaneo heurístico, es decir, Análisis de la secuencia de comandos en el objeto verificado, un conjunto de algunas estadísticas y la toma de decisiones para cada objeto que se está revisando.

Los escáneres también se pueden dividir en dos categorías: universal y especializado. Los escáneres universales están diseñados para la búsqueda y neutralizando todo tipo de virus, independientemente del sistema operativo, para trabajar en el que se calcula el escáner. Los escáneres especializados están diseñados para neutralizar un número limitado de virus o solo una clase de ellos, por ejemplo los virus macro.

Los escáneres también se dividen en residentes (monitores) que producen escaneos sobre mosca y no residentes, lo que proporciona el sistema solo a pedido. Como regla general, los escáneres residentes proporcionan una protección más confiable del sistema, ya que reaccionan de inmediato a la apariencia del virus, mientras que un escáner no residente es capaz de identificar el virus solo durante su próximo lanzamiento.

Escáneres CRC

El principio de operación de los escáneres CRC se basa en el conteo de SUM CRC (cheques) para los archivos / sectores del sistema presentes en el disco. Sin embargo, estas sumas de CRC se almacenan en la base de datos antivirus, como, sin embargo, alguna otra información: longitudes de archivo, sus últimas fechas de modificación, etc. Cuando los escáneres CRC están posteriormente, los datos contenidos en la base de datos con valores contados en realidad están marcados. Si la información del archivo grabada en la base de datos no coincide con los valores reales, los escáneres CRC firman que el archivo ha sido cambiado o infectado con el virus.

Los escáneres CRC no pueden atrapar un virus en el momento de su aparición en el sistema, y \u200b\u200blo hacen solo después de un tiempo, después de que el virus se haya extendido a través de una computadora. Los escáneres CRC no pueden determinar el virus en nuevos archivos (en el correo electrónico, en disquetes, en los archivos recuperados de la copia de seguridad o al desempacar archivos del archivo), ya que no hay información sobre estos archivos en sus bases de datos. Además, aparece periódicamente los virus que utilizan esta debilidad de los escáneres CRC, solo los archivos recién creados infectan y permanecen invisibles para ellos.

Bloqueadores

Los bloqueadores antivirus son programas residentes, interceptando situaciones de virus y peligrosas y reportando esto al usuario. Las llamadas de virus-peligrosas incluyen las llamadas de apertura para escribir a archivos ejecutables, escriba a los sectores de arranque de los discos o MBR Winchester, los intentos de los programas siguen siendo residentes, etc., es decir, las llamadas que son características de los virus en momentos de la cría.

Las ventajas de los bloqueadores incluyen su capacidad para detectar y detener el virus en la etapa más temprana de su reproducción. Las desventajas incluyen la existencia de formas de proteger los bloqueadores y una gran cantidad de falsos positivos.

Inmunizadores

Los inmunisers se dividen en dos tipos: inmunizadores que informan a la infección y los inmunizadores que bloquean la infección. El primero generalmente se registra al final de los archivos (en el principio del virus del archivo) y cuando se inicia el archivo, cada vez que lo revise en el cambio. La desventaja de tales inmunizadores es solo una, pero está volando: la incapacidad absoluta para informar sobre la infección del virus de los stels. Por lo tanto, tales inmunizadores, así como los bloqueadores, prácticamente no se usan en la actualidad.

El segundo tipo de inmunización protege el sistema de daños a un virus de una determinada especie. Los archivos en los discos se modifican de tal manera que el virus los acepte ya que ya se infectan. Para protegerse contra un virus residente, se ingresa un programa por una copia del virus. Al comenzar, el virus se tropieza y cree que el sistema ya está infectado.

Este tipo de inmunización no puede ser versátil, ya que es imposible inmunizar archivos de todos los virus conocidos.

Clasificación de antivirus en el signo de la variabilidad del tiempo.

Según Valery Konavsky, los medios antivirus se pueden dividir en dos grupos grandes: analizar los datos y analizar los procesos.

Análisis de los datos

El análisis de datos incluye auditores y polifag. Los auditores analizan las consecuencias de los virus informáticos y otros programas maliciosos. Las consecuencias se manifiestan en cambiar los datos que no deben cambiarse. Es el hecho de que los cambios de datos son un signo de las actividades de los programas maliciosos desde el punto de vista del auditor. En otras palabras, los auditores controlan la integridad de los datos y del hecho de la violación de la integridad, tome una decisión sobre la presencia de programas maliciosos en el entorno informático.

Polifagi actúa de manera diferente. Sobre la base del análisis de datos, asignan fragmentos de código malicioso (por ejemplo, por firma) y sobre esta base, hágase una conclusión sobre la presencia de programas maliciosos. La eliminación o el tratamiento de los datos afectados por el virus le permite prevenir los efectos negativos del malware. Por lo tanto, se basan en el análisis de estática, se presentan las consecuencias que surgen en la dinámica.

El esquema de trabajo y auditores, y los polifanos son casi los mismos, para comparar los datos (o su suma de comprobación) con una o más muestras de referencia. Los datos se comparan con los datos. Por lo tanto, para encontrar un virus en su computadora, necesita que ya haya trabajado para las consecuencias de sus actividades. De esta manera, solo puede encontrar virus conocidos para los cuales los fragmentos de código o firma se describen de antemano. Es poco probable que dicha protección pueda llamarse confiable.

Análisis de proceso

Los productos antivirus basados \u200b\u200ben el análisis de los procesos funcionan de alguna manera. Los analizadores heurísticos, así como los anteriores, analizan los datos (en el disco, en el canal, en la memoria, etc.). La diferencia fundamental es que el análisis se lleva a cabo bajo el supuesto de que el código analizado no es los datos, y los datos (en las computadoras con los datos de la arquitectura de fondo-neuman y los equipos son indistinguibles, en relación con esto, al analizarlo, es necesario designar uno u otro.)

El analizador heurístico asigna una secuencia de operaciones, cada una de ellas asigna alguna evaluación de peligros y hacia una totalidad de peligro decide si esta secuencia de operaciones es parte de un código malicioso. El código en sí no se realiza.

Otro tipo de antivirus, basado en el análisis de los procesos son los bloques de comportamiento. En este caso, el código sospechoso se realiza en etapas hasta que la totalidad de las acciones iniciadas por el Código no se evaluará como un comportamiento peligroso (o seguro). El código se ejecuta parcialmente, ya que la finalización del código malicioso puede detectarse mediante métodos de análisis de datos más simples.

Tecnologías de detección de virus.

Las tecnologías utilizadas en antivirus se pueden dividir en dos grupos:

  • Tecnologías de análisis de señales
  • Tecnologías de análisis probabilístico.

Tecnologías de análisis de señales

Análisis anardado: un método de detección de virus, que consiste en verificar la presencia de virus en los archivos. El análisis anartado es el método más famoso para detectar virus y se usa en casi todos los antivirus modernos. Para realizar una verificación antivirus, se requiere un conjunto de firmas virales, que se almacena en la base de datos antivirus.

Debido al hecho de que el análisis de la firma implica revisar los archivos para la presencia de firmas de virus, la base antivirus necesita una actualización periódica para mantener la relevancia del antivirus. El principio de operación del análisis de la firma también determina los límites de su funcionalidad, la capacidad de detectar solo virus ya conocidos, contra nuevos virus, un escáner de firma es impotente.

Por otro lado, la presencia de firmas de virus implica la posibilidad de tratar los archivos infectados detectados utilizando el análisis de la firma. Sin embargo, el tratamiento es permisible no para todos los virus: los troyanos y la mayoría de los gusanos no son susceptibles de tratarse en sus características constructivas, ya que es un sólido módulos creados para daños.

La implementación competente de la firma de virus le permite detectar virus conocidos con una probabilidad del cien por ciento.

Tecnologías de análisis probabilístico.

Las tecnologías de análisis probabilístico a su vez se dividen en tres categorías:

  • Análisis heurístico
  • Análisis behantic
  • Análisis de las sumas de suma

Análisis heurístico

Análisis heurístico: tecnología basada en algoritmos probabilísticos, cuyo resultado es la identificación de objetos sospechosos. En el proceso de análisis heurístico, la estructura de archivos está marcada, su cumplimiento con plantillas virales. La tecnología heurística más popular es verificar los contenidos del archivo para la presencia de modificaciones de las firmas de virus ya conocidas y sus combinaciones. Ayuda a identificar híbridos y nuevas versiones de virus conocidos previamente sin actualización adicional de la base antivirus.

El análisis heurístico se usa para detectar virus desconocidos, y, como resultado, no implica el tratamiento. Esta tecnología no es capaz de determinar el 100% del virus frente a él o no, y cómo cualquier algoritmo probabilístico peca las respuestas falsas.

Análisis behantic

El análisis de comportamiento es una tecnología en la que la decisión sobre la naturaleza del objeto que se está revisando se basa en el análisis de las operaciones realizadas por ellos. El análisis de comportamiento es muy estrechamente aplicable en la práctica, ya que la mayoría de las acciones características de los virus pueden realizarse mediante aplicaciones convencionales. Los analizadores beneficiosos de los scripts y las macros recibieron la mayor fama, ya que los virus correspondientes casi siempre realizan una serie de acciones similares.

Las herramientas de protección en el BIOS también pueden atribuirse a los analizadores de comportamiento. Cuando intenta realizar cambios en la computadora MBR, el analizador bloquea la acción y muestra la notificación apropiada al usuario.

Además, los analizadores de comportamiento pueden rastrear los intentos de acceder directamente a los archivos, realizando cambios en el disquete de registro de arranque, formatear los discos duros, etc.

Los analizadores de comportamiento no usan objetos adicionales, como bases de virus y, como resultado, no pueden distinguir virus conocidos y desconocidos, todos los programas sospechosos priori se consideran virus desconocidos. De manera similar, las características del trabajo de los fondos que implementan tecnologías de análisis de comportamiento no implican tratamiento.

Análisis de las sumas de suma

El análisis de la suma de comprobación es una forma de rastrear los cambios en los objetos del sistema informático. Sobre la base del análisis de la naturaleza de los cambios, la simultaneidad, la masa, los cambios idénticos en las longitudes de los archivos, se pueden concluir sobre la infección del sistema. Analizadores de suma de control (también utilizaron el nombre de los auditores de los cambios) a medida que los analizadores de comportamiento no utilizan objetos adicionales en su trabajo y proporcionan un veredicto sobre la presencia de un virus en el sistema exclusivamente mediante el método de evaluación de expertos. Dichas tecnologías se aplican en escáneres al acceder: cuando se comprueba desde el archivo, la suma de comprobación se elimina y se coloca en el caché, la cantidad se elimina de nuevo antes de verificar el mismo archivo, en comparación y en ausencia de cambios, el archivo se considera inédito. .

Complejos antivirus

Complejo antivirus: un conjunto de antivirus utilizando el mismo núcleo antivirus o kernel diseñado para resolver problemas prácticos para garantizar la seguridad antivirus de los sistemas informáticos. El complejo antivirus también incluye los medios de actualización de bases antivirus.

Además, el complejo antivirus puede incluir adicionalmente analizadores de comportamiento y auditores de cambios que no utilizan el núcleo antivirus.

Los siguientes tipos de complejos antivirus se distinguen:

  • Complejo antivirus para proteger las estaciones de trabajo.
  • Complejo antivirus para proteger los servidores de archivos.
  • Complejo antivirus para proteger los sistemas de correo.
  • Complejo antivirus para proteger las pasarelas.

Nube y antivirus de escritorio tradicional: ¿Qué elegir?

(Basado en el recurso de Webroot.com)

El mercado antivirus moderno es principalmente las soluciones tradicionales para los sistemas de escritorio, los mecanismos de protección en los que se basan en la base de los métodos de firma. Un método alternativo de protección contra virus es el uso del análisis heurístico.

Problemas del software antivirus tradicional.

Recientemente, las tecnologías de antivirus tradicionales se están volviendo menos efectivas, se vuelven obsoletas rápidamente, debido a una serie de factores. El número de amenazas virales reconocidas por las firmas ya es tan grande que la actualización oportuna del 100% de las bases de datos de la firma en las computadoras personalizadas es a menudo una tarea irreal. Los piratas informáticos y los ciberrenes están utilizando cada vez más botnets y otras tecnologías que aceleran la propagación de las amenazas de virus del día cero. Además, al realizar ataques específicos de la firma de los virus correspondientes no se crean. Finalmente, se aplican nuevas tecnologías de la detección antivirus del contador: el cifrado de malware, la creación de virus polimórficos en el lado del servidor, previamente probando la calidad del ataque viral.

La protección tradicional antivirus se construye con mayor frecuencia en la arquitectura "Cliente Tolstoy". Esto significa que un código de software envolvente está instalado en la computadora del cliente. Con él, se realiza la comprobación de los datos entrantes y se detecta la presencia de amenazas virales.

Este enfoque tiene una serie de deficiencias. Primero, el escaneo en busca de malware y la comparación de firmas requiere una carga computacional significativa que "quita" por el usuario. Como resultado, la productividad de la computadora se reduce, y el funcionamiento del antivirus a veces interfiere con las tareas aplicadas paralelas. A veces, la carga en el sistema de usuario es tan notable que los usuarios apagan los programas antivirus, eliminando así la barrera antes del posible ataque viral.

En segundo lugar, cada actualización en la máquina del usuario requiere enviar miles de nuevas firmas. La cantidad de datos transmitidos suele ser de aproximadamente 5 MB por día por máquina. Frenos de transmisión de datos La operación de la red, distrae los recursos adicionales del sistema, requiere la participación de los administradores del sistema para controlar el tráfico.

En tercer lugar, los usuarios que están en roaming o en la distancia desde el lugar de trabajo estacionario están indefensos antes de los ataques del día cero. Para obtener una parte actualizada de las firmas, deben conectarse a una red VPN que no está disponible de forma remota.

Protección antivirus de la nube.

Al pasar a la protección antivirus de la nube, la arquitectura de la solución varía significativamente. La computadora del usuario está instalada "Lightweight" Client, cuya función principal es la búsqueda de archivos nuevos, el cálculo de los valores de hash y el envío de datos a un servidor de nube. Se realiza una comparación a gran escala en la nube realizada en una base grande de las firmas recolectadas. Esta base es constante y de manera oportuna a expensas de los datos transmitidos por las empresas antivirus. El cliente recibe un informe con los resultados de la inspección.

Por lo tanto, la arquitectura de la nube de la protección antiviral tiene una serie de ventajas:

  • la cantidad de cálculos en la computadora de usuario es insignificante en comparación con el cliente grueso, por lo tanto, la productividad del usuario no disminuye;
  • no hay un efecto catastrófico del tráfico antivirus en el ancho de banda de la red: el reenvío está sujeto a una parte de datos compactos, que contiene solo unas pocas docenas de valores de hash, la cantidad promedio del tráfico diurno no excede de 120 kb;
  • el almacenamiento en la nube contiene enormes matrices de firmas, significativamente más que las que almacenan en computadoras personalizadas;
  • los algoritmos para comparar las firmas utilizadas en las nubes se caracterizan significativamente una intelectualidad significativamente mayor en comparación con los modelos simplificados que se utilizan a nivel de las estaciones locales, y debido al mayor rendimiento para comparar los datos requiere menos tiempo;
  • los servicios de antivirus en la nube trabajan con datos reales obtenidos de laboratorios antivirus, desarrolladores de desarrollo de seguridad, usuarios corporativos y privados; Las amenazas del día cero se bloquean simultáneamente con su reconocimiento, sin un retraso causado por la necesidad de obtener acceso a las computadoras de usuario;
  • los usuarios en roaming o no tienen acceso a sus principales lugares de trabajo, están protegidos de los ataques de un día cero simultáneamente con acceso a Internet;
  • se reduce los administradores del sistema de carga: no necesitan dedicar tiempo para instalar el software antivirus en las computadoras de usuario, así como las actualizaciones de las bases de datos de la firma.

¿Por qué los antivirus tradicionales no hacen frente?

El código malicioso moderno puede:

  • Avanzando trampas antivirus creando un virus de destino especial bajo la empresa
  • Antes de que el antivirus creará una firma, tímida usando el polimorfismo, recodificando utilizando DNS dinámicos y URL
  • Creación objetivo bajo la empresa.
  • Polimorfismo
  • Desconocido aún nadie código - sin firma

Es difícil defender

Antivirus de alta velocidad 2011

El Centro Independiente de Información y Analítica de Rusia Anti -Malware.RU Publicado en mayo de 2011, los resultados de la próxima prueba comparativa de los 20 antivirus más populares sobre la velocidad y el consumo de recursos del sistema.

El propósito de esta prueba es mostrar qué antivirus personales tienen el menor impacto en las operaciones estándar del usuario en la computadora, menos "freno" su trabajo y consume el número mínimo de recursos del sistema.

Entre los monitores antivirus (escáneres en tiempo real), un grupo completo de productos demostró una velocidad de trabajo muy alta, entre ellos: Avira, AVG, Zonealarm, Avast, Kaspersky Anti-Virus, ESET, Tendencia Micro y Dr.Web . Con estos antivirus a bordo, la desaceleración de la copia de una colección de pruebas fue inferior al 20% en comparación con la norma. Los monitores antivirus BitDefender, las herramientas de PC, el puesto de avanzada, F-Secure, Norton y Emsisoft también mostraron altas velocidades a la velocidad, colocadas en el rango de 30-50%. Los monitores antivirus BitDefender, las herramientas de PC, el puesto de avanzada, F-Secure, Norton y Emsisoft también mostraron altas velocidades a la velocidad, colocadas en el rango de 30-50%.

Al mismo tiempo, Avira, AVG, Bitdefender, F-Secure, G, los datos de Kaspersky Anti-Virus, Norton, Outpost y PC Herramientas en condiciones reales pueden ser mucho más rápidas debido a los controles posteriores en su optimización.

La mejor velocidad de escaneo a solicitud mostró Avira AntiVirus. Kaspersky Anti-Virus, F-Secure, Norton, G Data, Bitdefender, Kaspersky Anti-Virus y Outpost. Mediante la velocidad del primer escaneo, estos antivirus son solo un poco inferiores al líder, al mismo tiempo que todos tienen en sus poderosas tecnologías de optimización de arsenales para verificaciones repetidas.

Otra característica importante de la velocidad del antivirus es su impacto en la operación de los programas de aplicación que el usuario a menudo funciona. Como tal para la prueba, se seleccionaron cinco: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader y Adobe Photoshop. La desaceleración más pequeña en el lanzamiento de estos programas de oficina ha mostrado ESET, Microsoft, Avast, VBA32, Comodo, Norton, Tendent Micro, Outpost y G.

Introducción

Vivimos en el cruce de dos milenios, cuando la humanidad entró en la era de la nueva revolución científica y técnica.

A finales del siglo XX, las personas capturaron muchos secretos de la transformación de la sustancia y la energía y lograron utilizar estos conocimientos para mejorar sus vidas. Pero además de la sustancia y la energía en la vida de una persona, otro componente desempeña una gran cantidad de información. Estas son una amplia variedad de información, mensajes, noticias, conocimientos, habilidades.

A mediados de nuestro siglo, aparecieron dispositivos especiales: las computadoras orientadas al almacenamiento y la conversión de información y una revolución de la computadora ocurrió.

Hoy, el uso masivo de las computadoras personales, desafortunadamente, resultó estar asociado con el advenimiento de los virus autoexplicativos, lo que impide el funcionamiento normal de la computadora que destruye la estructura de archivos de los discos y daña la información almacenada en la computadora.

A pesar de las leyes de combatir los delitos informáticos adoptados en muchos países y el desarrollo de la protección especial del programa contra virus, el número de nuevos virus de software está creciendo constantemente. Esto requiere una computadora personal de conocimiento sobre la naturaleza de los virus, formas de infectar virus y protección de ellos. Sirvió como incentivo para seleccionar el tema de mi trabajo.

Se trata de esto que le digo en mi resumen. Muestro los principales tipos de virus, considerando los esquemas de su funcionamiento, las razones de su apariencia y el camino de la penetración en la computadora, así como la oferta de medidas para proteger y prevenir.

El propósito del trabajo es familiarizar al usuario con los conceptos básicos del virus informático, para enseñar a detectar virus y tratar con ellos. Método de trabajo: análisis de impresiones sobre este tema. Delante de mí, hubo una tarea difícil, para hablar sobre lo que todavía estaba muy estudiado, y cómo sucedió, para juzgarte.

1. Virus informáticos, sus propiedades. Y clasificación

1.1. Propiedades de los virus informáticos.

Las computadoras personales ahora se utilizan en las que el usuario tiene acceso gratuito a todos los recursos de la máquina. Esta es exactamente la oportunidad del peligro que recibió el nombre del virus de la computadora.

¿Qué es un virus de computadora? La definición formal de este concepto todavía no se inventa, y hay serias dudas que se puede dar en absoluto. Numerosos intentos de dar una definición "moderna" del virus no llevaron al éxito. Para sentir la complejidad del problema, intente, por ejemplo, para definir el concepto de "editor". O se le ocurre algo muy general, o comience a listar a todos los editores conocidos. Tanto casi no pueden considerarse aceptables. Por lo tanto, nos limitamos a la consideración de algunas propiedades de los virus informáticos que nos permiten hablar sobre ellos como una cierta clase de programa específica.

En primer lugar, el virus es un programa. Dicha declaración simple en sí misma es capaz de disipar muchas leyendas sobre las capacidades extraordinarias de los virus informáticos. El virus puede girar la imagen en su monitor, pero el monitor en sí no puede dar la vuelta. Las leyendas de los virus asesinos, "destruyendo a los operadores a través del retiro de la gama de colores mortales de las 25º escena", también no se tratan en serio. Desafortunadamente, algunas ediciones autorizadas de vez en cuando publican "las últimas noticias de los frentes de la computadora", que, que más se acercan, resultan ser una consecuencia de la comprensión no clara del sujeto.

El virus es un programa que tiene una capacidad de auto-reproducción. Dicha capacidad es la única herramienta inherente en todo tipo de virus. Pero no solo los virus son capaces de auto-reproducción. Cualquier sistema operativo y muchos más programas son capaces de crear sus propias copias. Las copias del virus no solo no están obligadas a coincidir por completo con el original, ¡pero generalmente no pueden coincidir con él!

El virus no puede existir en "aislamiento completo": hoy es imposible imaginar un virus que no usa el código de otros programas, información sobre la estructura de archivos o incluso solo los nombres de otros programas. La razón es comprensible: el virus debe garantizar la transferencia de control.

1.2. Clasificación de virus

Actualmente, se conocen más de 5000 virus de software, se pueden clasificar de acuerdo con las siguientes características:

¨ HABITAT

¨ Método de infección de hábitat.

exposición

¨ Características del algoritmo.

Dependiendo del entorno del hábitat, los virus se pueden dividir en red, archivo, arranque y arranque de archivos. Virus de red Distribuir a través de varias redes informáticas. Los virus de los archivos se implementan principalmente en los módulos ejecutables, es decir, en los archivos que tienen las extensiones de COM y EXE. Virus de archivos Se pueden implementar otros tipos de archivos, pero generalmente se registran en dichos archivos, nunca reciben control y, por lo tanto, pierden la capacidad de reproducirse. Virus de arranque se introducen en el sector de arranque del disco (sector de arranque) o al sector que contiene el programa de carga de disco del sistema (arranque maestro

cABLE). Carga de archivos Los virus infectan ambos archivos y sectores de inicio de los discos.

Por el método de infección, los virus se dividen en residentes y no residentes. Virus residente Cuando se infecta (infección), la computadora deja su parte residente en RAM, que luego intercepta el acceso del sistema operativo a los objetos de infección (archivos, sectores de inicio, etc.) y se introduce en ellos. Los virus residentes están en la memoria y están activos para apagar o reiniciar la computadora. Virus no residentes No infectas la memoria de la computadora y que estén activas de tiempo limitado.

De acuerdo con el grado de impacto, los virus se pueden dividir en los siguientes tipos:

¨ no peligroso No interfiriendo con el trabajo de la computadora, sino que reduce la cantidad de RAM libre y la memoria en los discos, las acciones de tales virus se manifiestan en cualquier efecto gráfico o de audio.

¨ peligroso Virus que pueden llevar a varios trastornos en la computadora.

¨ muy peligrosa , cuyo impacto puede llevar a la pérdida de programas, la destrucción de datos, borrar información en las regiones del sistema del disco.

2. Principales tipos de virus y esquemas para su operación.

Entre toda la variedad de virus, los siguientes grupos principales se pueden distinguir:

cargando

archivo

¨ arranque de archivos

Ahora con más detalle sobre cada uno de estos grupos.

2.1. Virus de arranque

Considere el esquema de funcionamiento de un virus de arranque muy simple, infectando disquete. Consideramos conscientemente todas las numerosas sutilezas que inevitablemente se reunirían con un estricto análisis del algoritmo de su funcionamiento.

¿Qué pasa cuando enciendes la computadora? En primer lugar se transmite el control. programa de descarga elemental que se almacena en un dispositivo de almacenamiento constantemente (ROM) I.E. PNZ ROM.

Este programa prueba el equipo y mientras completó con éxito los cheques intenta encontrar un disquete en la unidad A:

Todos los disquetes se publican en el llamado. Sectores y pistas. Los sectores se combinan en clusters, pero es insignificante para nosotros.

Entre los sectores hay varias utilidades utilizadas por el sistema operativo para sus propias necesidades (sus datos no se pueden colocar en estos sectores). Entre los sectores de servicio, todavía estamos interesados \u200b\u200ben uno, el llamado Sector inicial (Sector de arranque).

En el sector inicial se mantiene. información de distensión - Número de superficies, número de pistas, número de sectores, etc. Pero no estamos interesados \u200b\u200ben esta información, sino un pequeño programa de descarga primaria (PNZ), que debe cargar el propio sistema operativo y transferirlo a control.

Por lo tanto, el diagrama de inicio normal es el siguiente:

Ahora considera el virus. En los virus de carga, se aíslan dos partes, las llamadas. cabeza y así llamado cola . La cola, en general, puede estar vacía.

Permita que tenga un disquete limpio y una computadora infectada bajo la cual entendemos una computadora con un virus residente activo. Tan pronto como este virus detecte que apareció una víctima adecuada en la unidad, en nuestro caso, no un disquete no protegido o infectado, procede a la infección. Infectando un disquete, el virus produce las siguientes acciones:

Destaca algún área de disco y lo marca como un sistema operativo inaccesible, se puede hacer de diferentes maneras, en el caso más simple y tradicional, los sectores que participan en el virus están marcados como fallidos (mal)

Copia su sector de arranque de cola y original (saludable) al área de disco dedicada

Reemplaza el programa de arranque inicial en el sector de arranque (presente) su cabeza

Organiza la cadena de control de acuerdo con el esquema.

Por lo tanto, el jefe de virus es ahora el primero en recibir el control, el virus se instala en la memoria y transfiere el control del sector de arranque original. En una cadena

PNZ (ROM) - PNZ (disco) - Sistema

aparece un nuevo enlace:

PNZ (ROM) - VIRUS - PNZ (DISCO) - SISTEMA

La moraleja es clara: nunca deje (por casualidad) disquete en la unidad A.

Miramos el esquema de funcionamiento de un simple virus de culo que vive en los sectores de carga del disquete. Como regla general, los virus pueden infectar no solo el disquete de los sectores de arranque, sino también los sectores de arranque de los discos duros. Al mismo tiempo, a diferencia de los disquetes en el Winchester, hay dos tipos de sectores de inicio que contienen programas iniciales de inicio que reciben la administración. Al arrancar una computadora de Winchester, primero supone el control del programa de inicio inicial en el MBR (registro de arranque maestro: registro de arranque principal). Si su disco duro se rompe en varias secciones, solo una de ellas está marcada como arranque (arranque). El programa de descarga inicial en el MBR encuentra la sección de carga del disco duro y el control de transferencias al programa de carga inicial de esta sección. El último código coincide con el código del programa de inicio inicial contenido en los disquetes ordinarios, y los sectores de inicio correspondientes difieren solo en las tablas de parámetros. Así, en el Winchester hay dos objetos del ataque de virus de arranque. Programa de descarga primaria en Mbracho y programa inicial descargas en el sector de arranque. disco de inicio.

2.2. Virus de archivos

Consideremos ahora el esquema del virus de archivo simple. A diferencia de los virus de arranque, que casi siempre son residentes, los virus de los archivos no son necesariamente residentes. Considere el esquema para el funcionamiento de un virus de archivo no residente. Permítanos tener un archivo ejecutable infectado. Cuando inicia dicho archivo, el virus recibe el control, produce algunas acciones y transfiere la administración del propietario (aunque aún se desconoce quién en tal situación de acogida).

¿Qué acción realiza el virus? Está buscando una nueva instalación para la infección: un archivo adecuado aún que aún no está infectado (si el virus es "decente", y luego se encuentran con tal que se infectan de inmediato, sin comprobar nada). Infecting Archivo, el virus está incrustado en su código para obtener el control al iniciar este archivo. Además de su principal función, la reproducción, el virus puede hacer algo intrincado (decir, preguntar, jugar), ya depende de la fantasía del autor del virus. Si un virus de archivo residente, estará en la memoria y podrá infectar archivos y mostrar otras habilidades no solo durante la operación del archivo infectado. Infectando el archivo ejecutable, el virus siempre cambia su código, en consecuencia, siempre se puede detectar la infección del archivo ejecutable. Pero, cambiando el código de código, el virus no necesariamente hace otros cambios:

à No está obligado a cambiar la longitud del archivo.

À Código no utilizado

à no está obligado a cambiar el inicio del archivo

Finalmente, los virus de los archivos a menudo incluyen virus que "tienen algunos archivos relevantes", pero no están obligados a incrustar su código. Considere como ejemplo el esquema para el funcionamiento de los virus del famoso Dir-II de la Familia. Es imposible no admitir que aparece en 1991, estos virus causaron la presente epidemia de plaga en Rusia. Considere el modelo en el que la idea básica del virus es claramente visible. La información del archivo se almacena en los directorios. Cada entrada de directorio incluye un nombre de archivo, fecha y hora de creación, alguna información adicional, número del primer grupo. Archivo y llamado Bytes de respaldo . Los últimos se dejan "sobre el suministro" y no se utilizan MS-DOS en sí.

Al ejecutar archivos ejecutables, el sistema lee el primer clúster de archivos de la grabación en el directorio y luego en todos los demás clústeres. Los virus de la familia DIR-II producen la siguiente "reorganización" del sistema de archivos: el propio virus está escrito en algunos sectores de discos gratuitos que marca como falló. Además, ahorra información sobre los primeros grupos de archivos ejecutables en bits de copia de seguridad y las referencias a estos registros de información.

Por lo tanto, cuando inicie cualquier archivo, el virus recibe el control (el sistema operativo se inicia en sí mismo), se reside a la memoria y transmite el control del archivo llamado.

2.3. Cargando y archivos virus

No consideraremos el modelo de la bota y el virus del archivo, porque no reconocerá ninguna nueva información. Pero aquí parece un caso conveniente para discutir brevemente el virus de carga y archivos extremadamente "popular", infectando el sector principal de arranque (MBR) y los archivos ejecutables. Acción destructiva básica: cifrado de sectores de cabrestante. Cada vez que se lanza, el virus encripta la siguiente parte de los sectores, mientras que cifra la mitad del disco duro, lo informa felizmente. El principal problema en el tratamiento de este virus es que no es suficiente simplemente eliminar el virus del MBR y los archivos, es necesario descifrar que la información los cifró. La acción más "mortal" es simplemente reescribir un nuevo MBR saludable. Lo principal es no entrar en pánico. Pesar todo con calma, consultar con expertos.

2.4. Virus polimorfos

La mayoría de los problemas están asociados con el término "virus polimórfico". Este tipo de virus informáticos parece salir más peligroso. Explica lo que es.

Los virus polimórficos son virus que modifican su código en programas infectados de tal manera que dos instancias del mismo virus no pueden coincidir en ningún lote.

Tales virus no solo cifran su código utilizando varias rutas de cifrado, sino que también contienen código de generación de código y Decryr, que los distingue de los virus convencionales de cifrado, que también pueden cifrar las secciones de su código, pero tienen un código y decodificador de cifrado permanentes.

Los virus polimórficos son virus con descifradores de auto-modificación. El propósito de dicho cifrado: tener archivos infectados y originales, aún no puede analizar su código utilizando desmontaje convencional. Este código está encriptado y es un conjunto de comandos sin sentido. La decodificación es realizada por el virus directamente durante la ejecución. Al mismo tiempo, las opciones son posibles: puede descifrarse a la vez, y puede realizar una decodificación de este tipo "a lo largo del caso", puede encriptar nuevamente las secciones. Todo esto se hace para la dificultad de analizar el código de virus.

3. Historia de la virología informática y causas de virus.

La historia de la virología informática es presentada hoy por la constante "raza detrás del líder" y, a pesar de todo el poder de los programas antivirus modernos, los líderes son virus. Entre miles de virus, solo unas pocas docenas de desarrollos originales que son realmente ideas fundamentalmente nuevas. Todos los demás son "variaciones sobre el tema". Pero cada desarrollo original hace que los creadores de antivirus se adapten a las nuevas condiciones, alcancen la tecnología viral. Este último puede ser desafiado. Por ejemplo, en 1989, un estudiante estadounidense logró crear un virus, que discapacitó alrededor de 6,000 computadoras del Departamento de Defensa de los Estados Unidos. O la epidemia del famoso virus Dir-II, que se ha roto en 1991. El virus usó verdaderamente la tecnología original, fundamentalmente nueva y, al principio, logró propagarse ampliamente debido a la imperfección del antivirus tradicional.

O un salpicaduras de virus informáticos en el Reino Unido: Cristofour Paine logró crear virus de patógenos y queeq, así como virus SMEG. Fue el último que fue el más peligroso, podría imponerse en los dos primeros virus, y debido a esto, después de que se ejecute cada programa, cambiaron la configuración. Por lo tanto, eran imposibles de destruir. Para distribuir virus, los juegos de computadora y los programas de Pine copiaron, los infectaron y luego fueron devueltos a la red. Los usuarios descargaron programas infectados en sus computadoras y discos infectados. La situación se agravó por el hecho de que Pine logró traer virus y en el programa que lucha con ellos. Al ejecutarlo, los usuarios en lugar de destruir virus recibieron otro. Como resultado, se destruyeron archivos de muchas empresas, las pérdidas ascendieron a millones de libras esterlinas.

El programador estadounidense Morris recibió una fama amplia. Es conocido como el Creador del Virus, que en noviembre de 1988 infectó alrededor de 7 mil computadoras personales conectadas a Internet.

Las razones de la apariencia y distribución de virus informáticos, por un lado, están ocultos en la psicología de la personalidad humana y sus lados de sombra (envidia, venganza, vanidad de creadores no reconocidos, la imposibilidad de aplicar constructivamente sus habilidades), en el Otra mano, debido a la falta de protección y contratación de hardware de los sistemas de computación personal operativos.

4. Formas de penetrar virus en una computadora y un mecanismo para la distribución de programas virales.

Los caminos principales de la penetración de virus a la computadora son ruedas extraíbles (flexibles y láser), así como redes informáticas. La infección de un disco duro con virus puede ocurrir cuando el programa se carga de un disquete que contiene el virus. Dicha infección puede ser aleatoria, por ejemplo, si el disquete se eliminó de la unidad A y reinició la computadora, mientras que el disquete puede no ser sistémico. Infectar un disquete es mucho más fácil. Un virus puede ponerse en él, incluso si el disquete se insertó en la unidad de una computadora infectada y, por ejemplo, lea su tabla de contenidos.

El virus, por regla general, está incrustado en un programa de trabajo de tal manera que cuando comienza a controlar, primero pasó a él y solo después de ejecutar todos sus comandos, regresó al programa de trabajo. Tener acceso a la administración, el virus se reescribe principalmente a otro programa de trabajo e infecta. Después de iniciar un programa que contenga el virus, es posible infectar otros archivos. La mayoría de las veces, el virus está infectado con el sector de arranque del disco y los archivos ejecutables que tienen extienden EXE, COM, SYS, BAT. Archivos de texto extremadamente infectados raramente infectados.

Después de la infección del programa, el virus puede realizar un sabotaje, no demasiado serio para no llamar la atención. Finalmente, no se olvida de devolver la gestión del programa de la que se lanzó. Cada ejecución de un programa infectado transfiere el virus al siguiente. Por lo tanto, todo el software estará infectado.

Para ilustrar el proceso de infección del programa informático, el virus tiene sentido querer la memoria del disco con un archivo antiguo con carpetas en la trenza. En las carpetas hay programas, y la secuencia de transformar el virus en este caso se verá como sigue. (Ver Apéndice 1)

5. Signos de virus.

Al infectar una computadora, el virus es importante para detectarlo. Para hacer esto, debe conocer los principales signos de la manifestación de virus. Estos incluyen lo siguiente:

¨ Terminación del trabajo o trabajo incorrecto de los programas de funcionamiento previamente exitosamente

¨ Trabajo de computadora lenta

¨ No se puede descargar el sistema operativo

¨ Desaparición de archivos y directorios o distorsionando sus contenidos.

¨ Cambiar la fecha y hora de modificación de archivos.

¨ Cambiar tamaños de archivo

¨ Un aumento significativo inesperado en el número de archivos en el disco.

¨ Reducción significativa del ariete libre.

¨ Salida a la pantalla de mensajes o imágenes imprevistas.

¨ Feed de señales de sonido imprevistas.

¨ Congele frecuente y mal funcionamiento.

Cabe señalar que los fenómenos anteriores no están necesariamente causados \u200b\u200bpor la presencia de un virus, y pueden ser una consecuencia de otras razones. Por lo tanto, el diagnóstico correcto del estado de la computadora es siempre difícil.

6. Detección de virus y medidas para proteger y prevenir.

6.1. Cómo detectar el virus ? Enfoque tradicional

Entonces, un cierto escritor de virus crea un virus y lo lanza en "vida". Durante algún tiempo, puede estar caminando en volátil, pero tarde o temprano "Lafa" terminará. Alguien sospechará algo incorrecto. Como regla general, los virus detectan usuarios ordinarios que notan ciertas anomalías en el comportamiento de la computadora. En la mayoría de los casos, no pueden hacer frente de forma independiente la infección, pero esto no se requiere de ellos.

Es necesario solo obtener el virus lo antes posible en manos de especialistas. Los profesionales lo estudiarán, averigüe, "lo que hace", "como lo hace", "cuando lo hace", etc. En el proceso de tal trabajo, toda la información necesaria sobre este virus se recoge, en particular, la Se asigna la firma del virus: la secuencia de bytes, que definitivamente se caracteriza por ella. Para construir la firma, generalmente se toman las secciones más importantes y características del código de virus. Al mismo tiempo, los mecanismos de funcionamiento del virus se están volviendo claros, por ejemplo, en el caso de un virus de arranque, es importante saber dónde oculta su cola, donde se encuentra el sector de arranque original, y en el caso. de un archivo - una forma de infectar un archivo. La información obtenida le permite averiguar:

· Cómo detectar el virus, para esto especifique los métodos para encontrar firmas en objetos potenciales de ataque viral: archivos y sectores de inicio

· Cómo neutralizar el virus, si es posible, se desarrollan los algoritmos para eliminar un código viral de los objetos afectados.

6.2. Programas de detección y protección contra virus.

Para detectar, eliminar y proteger los virus informáticos, se han desarrollado varios tipos de programas especiales que le permiten detectar y destruir virus. Tales programas se llaman antivirus . Distinguir los siguientes tipos de programas antivirus:

· Programas de detectores.

· Médicos o programas de fagos.

· Programa-Auditores

· Programas de filtro

· Programas de vacunas o inmunizadores.

Programas de detectores Busque la característica firma de un virus en particular en RAM y en archivos y cuando se detecta, se da el mensaje correspondiente. La desventaja de tales programas antivirus es que solo pueden encontrar aquellos virus que son conocidos por los desarrolladores de dichos programas.

Programas de doctor o fagos , así como programas de vacunas No solo encuentre los archivos infectados con virus, sino también "tratarlos", es decir, " Elimine el cuerpo del programa de virus del archivo, devolviendo los archivos a su estado original. Al comienzo de su trabajo, los fagos están buscando virus en RAM, destruyéndolos, y solo luego vaya al "tratamiento" de los archivos. Entre los fagospes, los polifags están aislados, es decir,. Programas de documentos diseñados para buscar y destruir una gran cantidad de virus. Los más famosos de ellos son: AIDSTEST, Scan, Norton AntiVirus, doctor Web.

Dado que los nuevos virus están constantemente emergentes, los programas detectores y los médicos están obsoletos rápidamente, y se requieren una actualización regular de las versiones.

AUDITORES DE PROGRAMA Pertenecen a los medios de protección más confiables contra virus. Los auditores recuerdan el estado original de los programas, directorios y regiones del sistema del disco cuando la computadora no está infectada con el virus, y luego periódicamente o a solicitud del usuario comparar el estado actual con la fuente. Los cambios detectados se muestran en la pantalla del monitor. Como regla general, la comparación de los estados produce inmediatamente después de cargar el sistema operativo. En comparación, la longitud del archivo, el código de control cíclico (suma de comprobación del archivo), la fecha y la hora de modificación, se verifican otros parámetros. Los programas de auditoría tienen algoritmos suficientemente desarrollados, detectan virus sigilantes e incluso pueden transmitir cambios en la versión del programa verificado de los cambios realizados por el virus. El programa AUDINF es un programa generalizado ADINF ampliamente distribuido en Rusia.

Programas de filtro o "Storam" Presentes programas de residentes pequeños diseñados para detectar acciones sospechosas cuando se trabaja en una computadora característica de los virus. Tales acciones pueden ser:

· Intenta corregir archivos con extensiones com, EXE

· Cambiar los atributos de archivo

· Registro directo al disco en una dirección absoluta

· Grabación en el sector de arranque del disco.

Cuando intenta realizar las acciones especificadas "Watchman" envía al usuario un mensaje y ofrece prohibir o resolver la acción apropiada. Los programas de filtro son muy útiles, ya que pueden detectar el virus en la etapa más temprana de su existencia a la reproducción. Sin embargo, no "tratan" archivos y discos. Para destruir virus, debe aplicar otros programas, como los fagos. Las desventajas de los vigilantes pueden incluir su "molesto" (por ejemplo, emiten constantemente una advertencia sobre cualquier intento de copiar el archivo ejecutable), así como posibles conflictos con otro software. Un ejemplo de un programa de filtro es el programa VSAFE, que forma parte del paquete de la utilidad MS DOS.

Vacunas o Inmunizadores - Estos son programas residentes que evitan la infección de archivos. Se utilizan vacunas si no hay programas de médicos, "asistiendo" a este virus. La vacunación es posible solo de virus famosos. La vacuna modifica el programa o el disco de tal manera que esto no se refleja en su trabajo, y el virus los percibirá infectados y, por lo tanto, no se implementará. Actualmente, los programas de vacunación tienen un uso limitado.

Detección oportuna de los archivos infectados con virus y discos, la destrucción completa de virus detectados en cada computadora le permite evitar la propagación de una epidemia viral para otras computadoras.

6.3. Medidas básicas para proteger contra virus.

Para no someterse a la computadora con infección con virus y garantizar un almacenamiento confiable de información sobre discos, se deben seguir las siguientes reglas:

¨ Construye su computadora con los programas de antivirus modernos, como la atención alendencia, el médico web y renovan constantemente sus versiones.

¨ Antes de leer de disquetes de información registrada en otras computadoras, siempre revise estos disquetes para virus, lanzando el software antivirus de su computadora

¨ Al transferirlos a los archivos de su computadora archivados. Compruebelos inmediatamente después de descomprimir en el disco duro, lo que limita el área de escaneo solo por archivos recién grabados

¨ Verificar periódicamente los virus de los discos duros de la computadora, ejecutar programas antivirus para probar archivos, memoria y regiones del sistema de discos con un disquete protegido contra disquetes, después de cargar el sistema operativo con un disquete del sistema protegido.

¨ Siempre proteja sus disquetes de grabación cuando se trabaja en otras computadoras si la información no se registra en ellos.

¨ Asegúrese de hacer copias de archivo a discrensiones de información valiosa para usted.

¨ No deje la unidad en su bolsillo y disquetes cuando se enciende o reinicia el sistema operativo para eliminar la infección de la computadora con los virus de carga

¨ Use programas antivirus para el control de entrada de todos los archivos ejecutables recibidos de las redes informáticas.

¨ Para garantizar una mayor seguridad de la Web de AIDSTest y Doctor, debe combinar con el uso diario del auditor de la unidad Adinf

Conclusión

Por lo tanto, es posible dar muchos hechos indicando que la amenaza del recurso de información aumenta todos los días, exponiendo en personas responsables de pánico en bancos, empresas y empresas de todo el mundo. Y esta amenaza proviene de virus informáticos que distorsionan o destruyen información vital y valiosa, lo que puede llevar no solo a las pérdidas financieras, sino también a las víctimas humanas.

Virus de computadora - Un programa especialmente escrito que puede unirse espontáneamente a otros programas, crear sus copias e implementarlos en archivos, áreas del sistema informático y en las redes informáticas para violar programas, archivos y directorios de daños, cree todo tipo de interferencias en la computadora.

Actualmente, se conocen más de 5000 virus de software, el número de cuales está creciendo continuamente. Hay casos en que se han creado las ayudas de enseñanza que ayudan a escribir virus.

Principales tipos de virus: arranque, archivo, arranque de archivos. El tipo más peligroso de virus - polimorfos.

Desde la historia de la virología informática, está claro que cualquier desarrollo original de la computadora obliga a los creadores de antivirus a adaptarse a las nuevas tecnologías, mejorar constantemente los programas antivirus.

Las razones de la apariencia y la propagación de virus están ocultos, por un lado, en psicología humana, por otro lado, con la falta de medios de protección para el sistema operativo.

Los caminos principales de la penetración de virus son discos extraíbles y redes de computadoras. Para que esto no suceda, siga las medidas de protección. También para detectar, eliminar y proteger de virus informáticos, se ha desarrollado varios tipos de programas especiales llamados antiviral. Si aún detecta un virus en una computadora, entonces es mejor llamar a un enfoque profesional al enfoque tradicional para que se haya descubierto.

Pero algunas propiedades de los virus son desconcertantes incluso especialistas. Más recientemente, fue difícil imaginar que el virus podría sobrevivir a un reinicio frío o distribuirse a través de archivos de documentos. En tales condiciones, es imposible no otorgar la importancia de al menos la educación inicial antivirus de los usuarios. ¡Con toda la seriedad, ningún problema de virus es capaz de traer tanto daño como el usuario que susurra con las manos temblorosas!

Entonces, La salud de sus computadoras, la seguridad de sus datos, ¡en sus manos!

Lista bibliográfica

1. Informática: libro de texto / ed. Profe. NEVADA. Makarova. - M.: Finanzas y Estadísticas, 1997.

2. Enciclopedia de secretos y sensaciones / premium. Texto yu.n. Petrova. - MN: Literatura, 1996.

3. Bezrukov n.n. Virus informáticos. - M.: Ciencia, 1991.

4. Puente D.YU. Tecnologías modernas de la lucha contra virus // PC mundial. - №8. - 1993.

El usuario de la computadora personal moderna tiene acceso gratuito a todos los recursos de la máquina. Fue esto lo que abrió la oportunidad de la existencia de un peligro que recibió el nombre de un virus informático.

Un virus informático es un programa especialmente escrito que puede unirse espontáneamente a otros programas, crear sus copias e implementarlas en archivos, áreas del sistema informático y en las redes informáticas para violar los programas, los archivos y los directorios de daños, crean todo tipo de interferencias en un ordenador. Dependiendo del entorno de hábitat, los virus se pueden dividir en programas de red, archivo, arranque, arranque, macro y troyanos.

  • Virus de red Distribuir a través de varias redes informáticas.
  • Virus de archivos Implementado principalmente en los módulos ejecutables. Los virus de los archivos se pueden incrustar en otros tipos de tipos de archivos, pero generalmente se registran en dichos archivos, nunca reciben control y, por lo tanto, pierden la capacidad de reproducirse.
  • Virus de arranque Implementado en el sector de arranque del disco (sector de inicio) o al sector que contiene el registro de arranque maestro (registro de arranque maestro).
  • Virus de arranque de archivos Infectan ambos archivos y sectores de inicio de discos.
  • Macrowurus Los idiomas de alto nivel están escritos y afectan los archivos de documentos de la aplicación que tienen lenguajes de automatización incorporados (lenguajes macro), como las aplicaciones de Microsoft Office Family.
  • Programas de TroyaMouching para programas útiles son una fuente de infección por computadora con virus.

Para detectar, eliminar y proteger los virus informáticos, se han desarrollado varios tipos de programas especiales que le permiten detectar y destruir virus. Tales programas se llaman antiviral. Distinguir los siguientes tipos software antivirus:

  • - Programas de detectores;
  • - Programas de Doctor, o Phages;
  • - Programas-Auditores;
  • - Programa de filtros;
  • - Programas de vacunas, o inmunizadores.

Programas de detectores Busque la característica firma de un virus en particular en RAM y en archivos y cuando se detecta, se da el mensaje correspondiente. La desventaja de tales programas antivirus es que solo pueden encontrar aquellos virus que son conocidos por los desarrolladores de dichos programas.

Programas de doctor, o fagos también programas de vacunas No solo encontrar archivos infectados con virus, sino también "tratarlos", es decir, eliminar el cuerpo del virus del cuerpo del archivo, devolviendo los archivos a su estado original. Al comienzo de su trabajo, los fagos están buscando virus en RAM, destruyéndolos, y solo luego vaya al "tratamiento" de los archivos. Entre los fagos asignados. polifagi., es decir, los programas de médicos diseñados para buscar la destrucción de una gran cantidad de virus. Los más famosos de ellos son: Kaspersky Antivirus, Norton AntiVirus, doctor Web.

Debido al hecho de que los nuevos virus están constantemente emergentes, los detectores y programas de programas de detectores y médicos están obsoletos, y se requieren una actualización regular de las versiones.

AUDITORES DE PROGRAMA Pertenecen a los medios de protección más confiables contra virus. Los auditores recuerdan el estado original de los programas, directorios y regiones del sistema del disco cuando la computadora no está infectada con el virus, y luego periódicamente o a solicitud del usuario comparar el estado actual con la fuente. Los cambios detectados se muestran en la pantalla del monitor. Como regla general, la comparación de los estados produce inmediatamente después de cargar el sistema operativo. En comparación, la longitud del archivo, el código de control cíclico (suma de comprobación del archivo), la fecha y la hora de modificación, se verifican otros parámetros. Los programas de auditoría tienen algoritmos suficientemente desarrollados, detectan virus sigilantes e incluso pueden distinguir los cambios en la versión del programa que se está marcando desde los cambios realizados por el virus. Kaspersky Monitor es un programa generalizado: auditores.

Programas de filtro O "Storam" es pequeños programas de residentes diseñados para detectar acciones sospechosas cuando se trabaja en una computadora característica de los virus. Tales acciones pueden ser:

  • - Intenta corregir archivos con las extensiones SOM. EX;
  • - Cambiar los atributos de archivo;
  • - Registro directo al disco en una dirección absoluta;
  • - Entrada en los sectores de arranque del disco;

Cuando intenta realizar las acciones especificadas "Watchman" envía al usuario un mensaje y ofrece prohibir o resolver la acción apropiada. Los programas de filtro son muy útiles. Ya que pueden detectar el virus en la etapa más temprana de su existencia, a la reproducción. Sin embargo, no "tratan" archivos y discos.

Para destruir virus, debe aplicar otros programas, como los fagos. Las desventajas de los vigilantes pueden incluir su "molesto" (por ejemplo, emiten constantemente una advertencia sobre cualquier intento de copiar el archivo ejecutable), así como posibles conflictos con otro software.

Vacunas o inmunizadores. - Estos son programas residentes. Evitar la infección de archivos. Se utilizan vacunas si no hay programas de médicos, "asistiendo" a este virus. La vacunación es posible solo de virus famosos. La vacuna modifica el programa o el disco de tal manera que esto no se refleja en su trabajo, y el virus los percibirá infectados y, por lo tanto, no se implementará. Actualmente, los programas de vacunación tienen un uso limitado.

Detección oportuna de los archivos infectados con virus y discos, la destrucción completa de virus detectados en cada computadora le permite evitar la propagación de una epidemia viral para otras computadoras.