Windows. Вирусы. Ноутбуки. Интернет. Office. Утилиты. Драйверы

В данной части бюллетеня использована информация Лаборатории Касперского (http://www.avp.ru) - самой известной и популярной российской компании, выпускающей антивирусное программное обеспечение.

Резидентные вирусы

Под термином "резидентность" (DOS"овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов - форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно, после того как он отформатирован.

Нерезидентные вирусы, напротив, активны довольно непродолжительное время - только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Поэтому файлы, зараженные нерезидентными вирусами, значительно проще удалить с диска и при этом не позволить вирусу заразить их повторно.

DOS-вирусы

DOS предусматривает два легальных способа создания резидентных модулей: драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h, AH=31h или INT 27h). Многие файловые вирусы для маскировки своего распространения используют другой способ - обработку системных областей, управляющих распределением памяти (MCB). Они выделяют для себя свободный участок памяти (включая UMB), помечают его как занятый и переписывают туда свою копию. Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице векторов прерываний, в видео-память, в рабочие области DOS, в память, отведенную под системные буферы и в HMA-память. После выделения блока памяти вирус копирует в него своей код и переопределяет одно или несколько прерываний, необходимых ему для поиска заражаемых файлов, для выполнения деструктивных действий или звуковых и видеоэффектов.

При инфицировании файлов нерезидентные и некоторые резидентные вирусы ищут на диске (дисках) эти файлы при помощи функций DOS FindFirst и FindNext (INT 21h, AH=11h,12h,4Eh,4Fh). Резидентные вирусы используют более широкий список функций DOS, при обращении к которым происходит заражение файла. Фактически в этом списке присутствуют все функции, по значениям входных или выходных параметров которых можно определить имя файла, к которому идет обращение (к таким параметрам относятся значения соответствующих регистров или областей памяти). В результате к "вирусоопасным" функциям прерывания 21h относятся функции выполнения (EXEC, AX=4B00), загрузки в память (AH=4Bh), поиска (FindFirst и FindNext, AH=11h,12h,4Eh,4Fh), создания (Create, AH=3Ch), открытия (Open, AH=3Dh), закрытия (Close, AH=3Eh), изменения атрибутов (ChMode, AH=43h), переименования (Rename, AH=56h) и некоторые другие функции работы с файлами.

Известны несколько способов проверки резидентным вирусом наличия своей копии в памяти компьютера. Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения "я здесь". При старте вирус обращается к ней, и если возвращенное значение совпадает со значением "я здесь", значит память компьютера уже заражена и повторное заражение не производится. При проверке вторым способом вирус записывает значение "я здесь" в какую-либо редко используемую область памяти - в таблице векторов прерываний или в области данных BIOS (0040:00??). При последующих стартах зараженных программ вирус проверяет это значение и не вызывает процедуру заражения памяти. Существуют, конечно же, и другие способы, например, некоторые вирусы просто сканирует память компьютера.

Некоторые резидентные файловые вирусы (как правило, вирусы, созданные при помощи конструкторов типа VCL и PS-MPC) определяют свою TSR-копию некорректно и копируют себя в оперативную память при каждом запуске зараженного файла. Естественно, что в этом случае компьютер либо сразу зависает, либо через некоторое время перестает выполнять программы по причине нехватки свободной памяти.

Загрузочные вирусы

Подавляющее большинство резидентных загрузочных вирусов для выделения системной памяти для своей резидентной копии использует один и тот же прием: они уменьшают объем DOS-памяти (слово по адресу 0040:0013) и копируют свой код в "отрезанный" блок памяти. Объем DOS-памяти обычно уменьшается на единицу (один килобайт) в случае коротких загрузочных вирусов, код которых занимает один сектор дискового пространства (512 байт). Вторая половина килобайта используется такими вирусами как буфер чтения/записи при заражении дисков. Если же размер вируса больше одного килобайта или он использует нестандартные методы заражения, требующие большего объема буфера чтения/записи, объем памяти уменьшается на несколько килобайт (среди известных вирусов максимальное значение у вируса RDA.Fighter - 30 Kб).

В дальнейшем некоторые вирусы "ждут" загрузки DOS и восстанавливают первоначальное значение объема системной памяти - в результате они оказываются расположенными не за пределами DOS, а как отдельный блок DOS-памяти. Некоторые загрузочные вирусы вообще не используют и не изменяют значение объема системной памяти. Они копируют себя в какую-либо область памяти, неиспользуемую вплоть до загрузки DOS, ждут загрузки DOS и затем инсталлируют свой код в системе всеми возможными в DOS способами.

Такими вирусами используются несколько способов перехвата момента загрузки DOS. Наиболее "популярный" способ - проверка значения INT 21h (прерывание DOS-функций). Если это значение изменилось, вирусы считают, что инсталляция DOS завершена. Проверка значения INT 21h проводится при вызовах INT 8, 1Ch (прерывания таймера, для этого вирусы, помимо прерываний обращения к дискам, перехватывают также прерывания таймера) или при вызовах INT 13h. Менее популярный способ - проверка данных, считываемых с диска (для этого требуется только перехват INT 13h). Если буфер чтения содержит заголовок EXE-файла, вирусы считают, что загрузка DOS завершена, поскольку в память для выполнения загружается EXE-файл.

Для того чтобы перехватить обращения к дискам, большинство загрузочных вирусов перехватывают INT 13h - основное прерывание для работы с дисками. Реже используется перехват INT 40h - прерывание для работы с флоппи-дисками. Еще реже используются различные экзотические способы перехвата прерываний BIOS и DOS, возникающих при работе с дискетами.

В случае перехвата INT 13h/40h вирусы обрабатывают команды чтения/записи секторов (AH=2,3), проверяют диск на зараженность и записывают в его загрузочный сектор или MBR винчестера свой код. Реже перехватываются другие команды - от команды Reset Disk (AH=0) вплоть до команд "длинного" чтения/записи (AH=0Ah,0Bh).

Большая часть загрузочных вирусов не проверяет системную память на наличие своей уже установленной TSR-копии - они либо используют стелс-приемы и повторный запуск кода вируса невозможен, либо ориентируются на то, что код вируса загружается однократно в момент загрузки DOS - после этого коды загрузочных секторов дисков больше не выполняются ни при каких условиях.

Часть вирусов проверяют наличие своей копии - для этого используются либо специальные вызовы INT 13h с каким-либо нестандартным значением, либо помечается какой-либо заведомо неиспользуемый байт (или слово) в таблице векторов прерываний или в области данных BIOS (0040:00??). Существуют, конечно же, и другие способы детектирования своей TSR-копии.

Windows-вирусы

Для того чтобы оставить выполняемый код в памяти Windows, существует три способа, причем все три способа (за исключением Windows NT) уже применялись различными вирусами.

Самый простой способ - зарегистрировать программу как одно из приложений, работающих в данный момент. Для этого программа регистрирует свою задачу, окно которой может быть скрытым, регистрирует свой обработчик системных событий и т.д. Второй способ - выделить блок системной памяти при помощи DPMI-вызовов и скопировать в него свой код (вирус Ph33r). Третий способ - остаться резидентно как VxD-драйвер (Wnidows 3.xx и Windows95) или как драйвер Windows NT.

Перехват обращений к файлам производится одним из двух способов - либо перехватываются вызовы INT 21h (Hook_V86_Int_Chain, Get/Set_V86_Int_Vector, Get/Set_PM_Int_Vector), либо перехватывается системный вызов API. Затем резидентные Windows-вирусы действуют примерно так же, как и DOS-вирусы: перехватывают обращения к файлам и заражают их.

Для обнаружения уже присутствующей в памяти резидентной копии используются примерно те же способы, что описаны выше, за исключением VxD-вирусов. Известные VxD-вирусы загружаются в память при загрузке Windows. Для этого они записывают команду запуска в файл конфигурации Windows SYSTEM.INI. Если в этом файле уже есть команда запуска вирусного VxD-файла, то вирус не производит повторной регистрации своего VxD-файла.

Макро-вирусы

Большинство макро-вирусов можно считать резидентными, поскольку они присутствуют в области системных макросов в течение всего времени работы редактора. Они, так же, как резидентные загрузочные и файловые вирусы, перехватывают системные события и используют их для своего размножения. К подобным событиям относятся различные системные вызовы, возникающие при работе с документами Word и таблицами Excel (открытие, закрытие, создание, печать и т.д.), вызов пункта меню, нажатие на какую-либо клавишу или достижение какого-либо момента времени. Для перехвата событий макро-вирусы переопределяют один или несколько системных макросов или функций.

При заражении некоторые макро-вирусы проверяют наличие своей копии в заражаемом объекте и повторно себя не копируют. Другие макро-вирусы не делают этого и переписывают свой код при каждом заражении. Если при этом в заражаемом файле или области системных макросов уже определен макрос, имя которого совпадает с макросом вируса, то такой макрос оказывается уничтоженным.

Под термином "резидентность" понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов. Резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы.

Первый резидентный антивирус

В начале 1985 года Ги Вонг написал программу DPROTECT - резидентную программу , перехватывающую попытки записи на дискеты и винчестер . Она блокировала все операции, выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.

Виды резидентных вирусов

В мире существует несколько интересных разновидностей резидентных вирусов. Они, дорогие читатели, заслуживаю вашего внимания, потому как представляют серьезную опасность для каждого из пользователей.

Вот например, DOS-вирусы. Эти вирусы после выделения блока памяти копируют в него своей код и переопределяют одно или несколько прерываний, необходимых им для поиска заражаемых файлов, выполнения деструктивных действий или звуковых и видеоэффектов. Создание этих резидентных моделей происходит двумя легальными путями: драйверами, которые указываются в файле CONFIG.SYS, и используя функцию KEEP. Но все-таки большинство современных файловых вирусов с целью маскировки используют другой способ –специальную обработку системных областей, которые управляют процессом распределением памяти. Для этого они выделяют свободный участок памяти и тут же помечают его как занятый (для операционной системы). После этого всего благополучно переписывают туда свою копию. И не важно, что находилось в этом месте. Файлы перестают читаться, а восстановить при помощи специальных программ вовсе невозможно.

А еще одной разновидностью являются Windows-вирусы.

Самый простой и легкий способ создания вируса – это просто зарегистрировать вирус как одно из приложений, функционирующих в данный момент. С этой целью вирус регистрирует свою задачу, окно зачастую скрывается, регистрирует все свои компоненты и т.д.

Еще один неплохой способ, заслуживающий вашего дражайшего внимания, – выделить отдельный блок системной памяти компьютера при помощи специальных DPMI-вызовов и после этого скопировать в него свой вирусный код.

Ну и наконец, третий способ - на протяжении всей активности остаться резидентно или как драйвер отдельный Windows NT.

Источники:

Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой тип исполняемых файлов: COM, EXE, OVL и т.д. Однако основными объектами заражения являются файлы типа COM и файлы типа EXE. Наиболее просто осуществляется заражение COM-файлов, которые представляют собой почти точную копию участка памяти с загруженной программой. Единственная требуемая настройка при загрузке COM-файлов состоит в загрузке сегментных регистров значениями, соответствующими месту загрузки программы. Значительная часть COM-файлов начинается с команды перехода, обходящей содержащие в начале программы данные.

При заражении COM-файлов вирус запоминает в своем теле первые три или больше байтов программы и вместо них записывает переход на начало собственного кода. Так поступает большинство файловых вирусов, заражающих COM-файлы, но не все. Дело в том, что при дописывании тела вируса в конец заражаемого файла весь код вируса должен быть написан специальным образом, обычно называемым позиционно-независимым программированием: при выполнении программы все ссылки должны адресоваться через соответствующее смещение, которое обычно хранится в одном из регистров.

Структура файлового резидентного вируса

Файловые резидентные вирусы, помимо отдельных файлов, заражают, если так можно выразиться, и память компьютера. Предельно упрощая, память компьютера можно рассматривать как еще один файл, который можно заражать, дописываясь в голову, т.е. в область младших адресов свободного участка памяти, в хвост, т.е. в область старших адресов свободного участка памяти и наконец, в середину, т.е. в область адресов, уже используемых операционной системой или какой-нибудь программой (старшие адреса вектора прерываний, буфера и т.д.).

Вместе с тем, структура резидентного вируса существенно отличается от структуры нерезидентного вируса. Резидентный вирус можно представлять как состоящий из двух относительно независимых частей: инсталлятора и модуля обработки прерываний. Последний, в свою очередь, состоит из ряда программ обработки. Несколько упрощая, можно считать, что на каждое перехватываемое прерывание приходится своя программа обработки.

Инсталлятор получает управление при выполнении зараженной программы и играет роль своеобразной ракеты-носителя, запускающей вирус на орбиту, т.е. в оперативную память. Он отрабатывает один раз у после запуска зараженной программы и его целесообразно рассматривать как специализированный файловый вирус, заражающий оперативную память и, возможно, обычные файлы. В последнем случае инсталлятор можно рассматривать как доработанный для заражения оперативной памяти файловый вирус.

Как работает вирус

После запуска программы вирус, как правило, начинает с того, что заражает другие программы на этой машине, после чего выполняет свою "полезную" нагрузку, то есть запускает ту часть программы, для которой и писался вирус. Во многих случаях эта программа может не запускаться, пока не наступит определенная дата или пока вирус гарантированно не распространится на большое число компьютеров. Выбранная дата может даже быть привязана к какому-либо политическому событию (например, к столетию или 500-летию обиды, нанесенной этнической группе автора).

26. Методы криптографических преобразований данных.

Процесс шифрования заключается в проведении обратимых

математических, логических, комбинаторных и других преобразо-

ваний исходной информации, в результате которых зашифрован-

ная информация представляет собой хаотический набор букв,

цифр, других символов и двоичных кодов.

Для шифрования информации используются алгоритм преоб-

разования и ключ. Как правило, алгоритм для определенного ме-

тода шифрования является неизменным. Исходными данными для

алгоритма шифрования служат информация, подлежащая зашиф-

рованию, и ключ шифрования. Ключ содержит управляющую ин-

формацию, которая определяет выбор преобразования на опреде-

ленных шагах алгоритма и величины операндов, используемые

при реализации алгоритма шифрования.

В отличие от других методов криптографического преобразо-

вания информации, методы стеганографии позволяют скрыть

не только смысл хранящейся или передаваемой информации, но и

сам факт хранения или передачи закрытой информации. В ком-

пьютерных системах практическое использование стеганографии

только начинается, но проведенные исследования показывают ее

перспективность. В основе всех методов стеганографии лежит

маскирование закрытой информации среди открытых файлов. Об-

работка мультимедийных файлов в КС открыла практически не-

ограниченные возможности перед стеганографией.

Существует несколько методов скрытой передачи информа-

ции. Одним из них является простой метод скрытия файлов при

работе в операционной системе MS DOS. За текстовым открытым

файлом записывается скрытый двоичный файл, объем которого

много меньше текстового файла. В конце текстового файла поме-

щается метка EOF (комбинация клавиш Control и Z). При обраще-

нии к этому текстовому файлу стандартными средствами ОС счи-

тывание прекращается по достижению метки EOF и скрытый

файл остается недоступен. Для двоичных файлов никаких меток в

конце файла не предусмотрено. Конец такого файла определяется

при обработке атрибутов, в которых хранится длина файла в бай-

тах. Доступ к скрытому файлу может быть получен, если файл

открыть как двоичный. Скрытый файл может быть зашифрован.

Если кто-то случайно обнаружит скрытый файл, то зашифрован-

ная информация будет воспринята как сбой в работе системы.

Графическая и звуковая информация представляются в число-

вом виде. Так в графических объектах наименьший элемент изо-

бражения может кодироваться одним байтом. В младшие разряды

определенных байтов изображения в соответствии с алгоритмом

криптографического преобразования помещаются биты скрытого

файла. Если правильно подобрать алгоритм преобразования и

изображение, на фоне которого помещается скрытый файл, то че-

ловеческому глазу практически невозможно отличить полученное

изображение от исходного. Очень сложно выявить скрытую ин-

формацию и с помощью специальных программ. Наилучшим об-

разом для внедрения скрытой информации подходят изображения

местности: фотоснимки со спутников, самолетов и т. п. С помо-

щью средств стеганографии могут маскироваться текст, изобра-

жение, речь, цифровая подпись, зашифрованное сообщение. Ком-

плексное использование стеганографии и шифрования много-

кратно повышает сложность решения задачи обнаружения и рас-

крытия конфиденциальной информации.

замена смысловых конструкций исходной информации (слов,

предложений) кодами. В качестве кодов могут использоваться

сочетания букв, цифр, букв и цифр. При кодировании и обратном

преобразовании используются специальные таблицы или словари.

Кодирование информации целесообразно применять в системах с

ограниченным набором смысловых конструкций. Такой вид крип-

тографического преобразования применим, например, в команд-

ных линиях АСУ. Недостатками кодирования конфиденциальной

информации является необходимость хранения и распространения

кодировочных таблиц, которые необходимо часто менять, чтобы

избежать раскрытия кодов статистическими методами обработки

перехваченных сообщений.

Сжатие информации может быть отнесено к методам крипто-

графического преобразования информации с определенными ого-

ворками. Целью сжатия является сокращение объема информа-

ции. В то же время сжатая информация не может быть прочитана

или использована без обратного преобразования. Учитывая дос-

тупность средств сжатия и обратного преобразования, эти методы

нельзя рассматривать как надежные средства криптографического

преобразования информации. Даже если держать в секрете алго-

ритмы, то они могут быть сравнительно легко раскрыты статисти-

ческими методами обработки. Поэтому сжатые файлы конфиден-

циальной информации подвергаются последующему шифрова-

27. Классификация компьютерных вирусов по деструктивным возможностям.

По деструктивным возможностям вирусы можно разделить на следующие:

1. Базовые, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).

2. Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графически и пр. эффектами.

3. Опасные вирусы, которые могут привести к серьезным ошибкам и сбоям в работе.

4. Очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Безвредные вирусы, как правило, производят различные визуальные или звуковые эффекты. Диапозон проявления безвредных вирусов очень широк – от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирус Cascade-1701).

Выполняемые вредными вирусами деструктивные функции тоже чрезвычайно разнообразны.В процессе своего распространения некоторые вирусы повреждают или искажают некоторые выполняемые программы, дописывая в начало уничтожаемой программы некий код без сохранения исходной последовательности байт. Некоторые вирусы при определенных условиях выполняют форматирование диска, точнее его нулевой дорожки, тем самым уничтожая важную информацию о хранящихся на диске файлах. Другие через определенные (как правило, случайные) промежутки времени перезагружают компьютер, приводя к потере несохраненных данных. В последнее время появилось огромное количество вирусов, направленных на борьбу с антивирусными программами. Некоторые из них при просмотре каталогов ищут программы, в именах которых имеются фрагметы, характерные для антивирусных программ (ANTI, AIDS, SCAN), и при обнаружении таковых пытаются нанести им какой-либо вред: стереть с диска, изменить код в теле программы и др.

28. Классификация компьютерных вирусов по особенностям алгоритма работы.

В соответствии с особенностями алгоритма функциониро-

вания вирусы можно разделить на два класса:

Вирусы, не изменяющие среду обитания (файлы и секто-

ры) при распространении;

Вирусы, изменяющие среду обитания при распростране-

В свою очередь, вирусы, не изменяющие среду обитания,

могут быть разделены на две группы:

вирусы-≪спутники≫ (companion);

вирусы-≪черви≫ (worm).

Вирусы-≪спутники≫ не изменяют файлы. Механизм их дейст-

вия состоит в создании копий исполняемых файлов. Например, в

MS DOS такие вирусы создают копии для файлов, имеющих рас-

ширение.ЕХЕ. Копии присваивается то же имя, что и исполняе-

мому файлу, но расширение изменяется на.СОМ. При запуске

файла с общим именем операционная система первым загружает

на выполнение файл с расширением.СОМ, который является про-

граммой-вирусом. Файл-вирус запускает затем и файл с расшире-

нием.ЕХЕ.

Вирусы-≪черви≫ попадают в рабочую станцию из сети, вычис-

ствляют передачу вируса. Вирус не изменяет файлов и не записы-

вается в загрузочные секторы дисков. Некоторые вирусы-≪черви≫

создают рабочие копии вируса на диске, другие - размещаются

только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маски-

ровки алгоритмов вирусы, изменяющие среду обитания, делятся

студенческие;

≪стеле≫ - вирусы (вирусы-невидимки);

полиморфные.

К студенческим относят вирусы, создатели которых имеют

низкую квалификацию. Такие вирусы, как правило, являются не-

резидентными, часто содержат ошибки, довольно просто обнару-

живаются и удаляются.

≪Стеле≫- вирусы и полиморфные вирусы создаются квалифи-

цированными специалистами, хорошо знающими принцип работы

аппаратных средств и операционной системы, а также владеющи-

ми навыками работы с машиноориентированными системами

программирования.

≪Стелс≫-вирусы маскируют свое присутствие в среде обита-

ния путем перехвата обращений операционной системы к пора-

женным файлам, секторам и переадресуют ОС к незараженным

участкам информации. Вирус является резидентным, маскируется

под программы ОС, может перемещаться в памяти. Такие вирусы

активизируются при возникновении прерываний, выполняют оп-

ределенные действия, в том числе и по маскировке, и только за-

тем управление передается на программы ОС, обрабатывающие

эти прерывания. ≪Стеле≫- вирусы обладают способностью проти-

водействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных

групп - сигнатур. Обычные вирусы для распознавания факта за-

ражения среды обитания размещают в зараженном объекте специ-

альную опознавательную двоичную последовательность или по-

следовательность символов (сигнатуру), которая однозначно

идентифицирует зараженность файла или сектора. Сигнатуры ис-

пользуются на этапе распространения вирусов для того, чтобы

избежать многократного заражения одних и тех же объектов, так

как при многократном заражении объекта значительно возрастает

вероятность обнаружения вируса. Для устранения демаскирую-

щих признаков полиморфные вирусы используют шифрование

тела вируса и модификацию программы шифрования. За счет та-

кого преобразования полиморфные вирусы не имеют совпадений

29. Классификация компьютерных вирусов по среде обитания.

Средой обитания сетевых вирусов являются элементы ком-

пьютерных сетей.

Файловые вирусы размещаются в исполняемых

Загрузочные вирусы находятся в загрузочных секторах

(областях) внешних запоминающих устройств (boot-секторах).

Иногда загрузочные вирусы называют бутовыми.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Комбинированные вирусы размещаются в нескольких средах обитания. Приме-

ром таких вирусов служат загрузочно-файловые вирусы. Эти ви-

русы могут размещаться как в загрузочных секторах накопителей

на магнитных дисках, так и в теле загрузочных файлов.

30. Общий алгоритм обнаружения вируса.

Шаг 1. Выключить ЭВМ для уничтожения резидентных виру-

Шаг 2. Осуществить загрузку эталонной операционной систе-

мы со сменного носителя информации, в которой отсутствуют

для вас файлы, которые не имеют резервных копий.

Шаг 4. Использовать антивирусные средства для удаления ви-

русов и восстановления файлов, областей памяти. Если работо-

способность ЭВМ восстановлена, то осуществляется переход к

шагу 8, иначе - к шагу 5.

Шаг 5. Осуществить полное стирание и разметку (форматиро-

вание) несъемных внешних запоминающих устройств. В ПЭВМ

для этого могут быть использованы программы MS-DOS FDISK и

FORMAT. Программа форматирования FORMAT не удаляет

главную загрузочную запись на жестком диске, в которой может

находиться загрузочный вирус . Поэтому необходимо выпол-

нить программу FDISK с недокументированным параметром

MBR, создать с помощью этой же программы разделы и логиче-

ские диски на жестком диске. Затем выполняется программа

FORMAT для всех логических дисков.

Шаг 6. Восстановить ОС, другие программные системы и

файлы с дистрибутивов и резервных копий, созданных до зараже-

Шаг 7. Тщательно проверить файлы, сохраненные после обна-

ружения заражения, и, при необходимости, удалить вирусы и вос-

становить файлы;

Шаг 8. Завершить восстановление информации всесторонней

проверкой ЭВМ с помощью всех имеющихся в распоряжении

пользователя антивирусных средств.

компьютерными вирусами, а также при умелых и своевременных

действиях в случае заражения,вирусами, ущерб информационным

ресурсам КС может быть сведен к минимуму.

31. «Вирусоподобные» программы и их характеристики.

"Троянские" программы (логические бомбы)

К "троянским" программам относятся программы, наносящие какие-либо разрушительные действия в зависимости от каких-либо условий. Например, уничтожение информации на дисках при каждом запуске или по определенному графику и т. д. Большинство известных "троянских" программ являются программами, которые маскируются под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по электронным конференциям. По сравнению с вирусами "троянские" программы не получают широкого распространения по достаточно простым причинам – они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. К "троянским" программам также относятся так называемые "дропперы" вирусов – зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют присутствие вируса в файле. Например, файл шифруется или упаковывается неизвестным архиватором, что не позволяет антивирусу "увидеть" заражение.

Отметим еще один тип программ (программы – "злые шутки"), которые используются для устрашения пользователя, о заражении вирусом или о каких либо предстоящих действиях с этим связанных, т. е. сообщают о несуществующих опасностях, вынуждая пользователя к активным действиям. Например, к "злым шуткам" относятся программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. К категории "злых шуток" можно отнести также заведомо ложные сообщения о новых "супер-вирусах". Такие сообщения периодически появляются в Интернете и обычно вызывают панику среди пользователей.

^ 2.3.4. Утилиты скрытого администрирования

Утилиты скрытого администрирования являются разновидностью "логических бомб" ("троянских программ"), которые используются злоумышленниками для удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные "троянские" программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылка на такую программу отсутствует в списке активных приложений. В результате пользователь может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Внедренные в операционную систему утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.

"Intended"-вирусы

К таким вирусам относятся программы, которые, на первый взгляд, являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (в большинстве приводит к "зависанию" компьютера) и т. д. К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз – из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются "intended"-вирусы чаще всего из-за неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

^ Конструкторы вирусов

К данному виду "вредных" программ относятся утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п.

^ Полиморфные генераторы

Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор.

32. Основные правила защиты от компьютерных вирусов.

Правило первое. Использование программных продуктов, по-

лученных законным официальным путем.

Вероятность наличия вируса в пиратской копии во много раз

выше, чем в официально полученном программном обеспечении.

Правило второе. Дублирование информации.

Прежде всего, необходимо сохранять дистрибутивные носите-

ли программного обеспечения. При этом запись на носители, до-

пускающие выполнение этой операции, должна быть, по возмож-

ности, заблокирована. Следует особо позаботиться о сохранении

рабочей информации. Предпочтительнее регулярно создавать ко-

пии рабочих файлов на съемных машинных носителях информа-

ции с защитой от записи. Если создается копия на несъемном но-

сителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко-

пируется либо весь файл, либо только вносимые изменения. По-

следний вариант применим, например, при работе с базами дан-

Правило третье. Регулярно использовать антивирусные

средства. Перед началом работы целесообразно выполнять про-

граммы-сканеры и программы-ревизоры (Aidstest и Adinf). Анти-

вирусные средства должны регулярно обновляться.

Правило четвертое. Особую осторожность следует прояв-

лять при использовании новых съемных носителей информации и

новых файлов. Новые дискеты обязательно должны быть прове-

рены на отсутствие загрузочных и файловых вирусов, а получен-

ные файлы - на наличие файловых вирусов. Проверка осуществ-

ляется программами-сканерами и программами, осуществляющи-

ми эвристический анализ (Aidstest, Doctor Web, AntiVirus). При

первом выполнении исполняемого файла используются резидент-

ные сторожа. При работе с полученными документами и таблица-

ми целесообразно запретить выполнение макрокоманд средства-

ми, встроенными в текстовые и табличные редакторы (MS Word,

MS Excel), до завершения полной проверки этих файлов.

Правило пятое. При работе в распределенных системах или в

системах коллективного пользования целесообразно новые смен-

ные носители информации и вводимые в систему файлы прове-

рять на специально выделенных для этой цели ЭВМ. Целесооб-

разно для этого использовать автоматизированное рабочее место

администратора системы или лица, отвечающего за безопасность

информации. Только после всесторонней антивирусной проверки

дисков и файлов они могут передаваться пользователям системы.

Правило шестое. Если не предполагается осуществлять за-

пись информации на носитель, то необходимо заблокировать вы-

полнение этой операции. На магнитных дискетах 3,5 дюйма для

этого достаточно открыть квадратное отверстие.

зволяет значительно уменьшить вероятность заражения про-

граммными вирусами и защищает пользователя от безвозвратных

потерь информации.

В особо ответственных системах для борьбы с вирусами необ-

ходимо использовать аппаратно-программные средства.

33. Антивирусные программы и их классификации.

Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных. Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:

· Стабильность и надежность работы.

· Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.

· Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).

· Наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

· Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).

· Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.

· Процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

· Кроссплатформенность (наличие версий программы под различные операционные системы).

Классификация антивирусных программ:

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение.

Различают детекторы:

· универсальные - используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы

· специализированные - выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.

Такими действиями могут являться:

· попытки коррекции файлов с расширениями СОМ и ЕХЕ;

· изменение атрибутов файлов;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Программы-вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Существует большое количество платных и бесплатных антивирусных программ. Среди платных можно выделить следующие популярные торговые марки: Symantec McAfee Dr.Web Лаборатория Касперского ESET Nod32 Trend Micro BitDefender

Среди бесплатных: AntiVir (Avira) Avast! AVG Comodo

34. Проблемы зашиты информации от вирусов в Internet.

Проблема №1. Количество и разнообразие вредоносных программ неуклонно растет год за годом. В результате многие антивирусные компании просто не в состоянии угнаться за этим потоком, они проигрывают в вирусной «гонке вооружений», а пользователи этих программ оказываются защищены далеко не от всех современных компьютерных угроз. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

Проблема №2.

Скорость распространения современных вредоносных программ заставляет антивирусные компании выпускать защитные обновления как можно чаще - чтобы максимально быстро прикрыть своих пользователей от новоявленного компьютерного «зверя». Увы, далеко не все антивирусные компании достаточно расторопны. Часто обновления от таких компаний доставляются пользователям слишком поздно.

Проблема №3. Удаление обнаруженного вредоносного кода из зараженной системы. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его «выковыривания» становится достаточно нетривиальной. К сожалению, иногда антивирусные программы не в состоянии благополучно и без всяких побочных последствий изъять вирусный код и полностью восстановить работоспособность системы.

Проблема №4. Целесообразность потребления ресурсов компьютера. Проблема не решаемая - как показывает практика, все самые «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Обратное неверно: далеко не все «тормознутые» антивирусы защищают вас достаточно хорошо.

Проблема №5. Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев (за редкими исключениями) установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.

35. Концепция правового обеспечения информационной безопасности Российской Федерации.

В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.

Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерациипредставлена в Доктрине информационной безопасности РФ.

На основе анализа положений, содержащихся в доктринальных и нормативных правовых документах, можно выделить следующие жизненно важные интересы в информационной сфере:

а) для личности:

соблюдение и реализация конституционных прав и свобод человека и гражданина на поиск, получение, передачу, производство и распространение объективной информации;

реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопасность;

использование информации в интересах не запрещенной законом деятельности, физического, духовного и интеллектуального развития;

защита права на объекты интеллектуальной собственности;

обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;

б) для общества:

обеспечение интересов личности в информационной сфере;

построение правового социального государства;

упрочение демократии, построение информационного общества;

духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;

достижение и поддержание общественного согласия;

предотвращение манипулирования массовым сознанием;

приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;

в) для государства:

создание условий для реализации интересов личности и общества в информационной сфере и их защита;

формирование институтов общественного контроля за органами государственной власти;

безусловное обеспечение законности и правопорядка;

создание условий для гармоничного развития российской информационной инфраструктуры;

формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;

защита государственных информационных систем и государственных информационных ресурсов, в том числе государственной тайны;

защита единого информационного пространства страны;

развитие равноправного и взаимовыгодного международного сотрудничества.

К основным задачам в области обеспечения информационной безопасности относятся:

формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан в сфере информационной деятельности;

разработка и создание механизмов формирования и реализации государственной информационной политики России, в том числе разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;

совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;

определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;

развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;

координация деятельности органов государственной власти по обеспечению информационной безопасности;

совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;

обеспечение технологической независимости Российской Федерации, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";

разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;

создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса, в том числе государственной тайны;

создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств - участников СНГ;

создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

противодействие угрозе развязывания противоборства в информационной сфере;

создание единой системы подготовки кадров в области обеспечения информационной безопасности;

организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства.

Представляется, что юридическая наука в той или иной мере должна принимать участие в решении всех задач и реализации соответствующих целей, однако ее приоритет просматривается в двух областях:

во-первых, в определении разумного баланса между правом субъектов на свободное получение информации путем ее сбора или доступа к имеющимся ресурсам и правом субъектов на установление ограничений в указанных действиях со стороны иных лиц по отношению к сведениям, обладателями которых они являются,

во-вторых, в разработке и реализации правовых мер защиты информации, доступ к которой должен ограничиваться по правомерным основаниям, а также в обеспечении сохранности информационных ресурсов.

36. Государственная система обеспечения информационной безопасности.

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в "Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами "Об информации, информатизации и защите информации" и "О государственной тайне" комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

Проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

Исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

Принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

Общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

Контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

В соответствии с Указом Президента Российской Федерации № 212 от 19,02.99 г., межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляет коллегиальный орган - Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России).

В соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации", к основным функциям Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в рассматриваемой области относится:

Осуществление координации деятельности по вопросам безопасности информационно-аналитических сетей, комплексов технических средств баз данных;

Осуществление координации деятельности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи, по обеспечению криптографической и инженерно-технической безопасности шифрованной связи.

Федеральным законом от 03.04.95 г. N 40-ФЗ "Об органах Федеральной службы безопасности в Российской Федерации" к компетенции ФСБ в рассматриваемой области отнесены следующие вопросы:

Участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

Осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

  • Аккредитация журналистов на мероприятия направлений осуществляется синодальными структурами, курирующими направления.
  • Антигени,їх характеристика. Повноцінні і неповноцінні антигени. Антигенна структура бактерій. Практичне значення вчення про антигени мікробів. Аутоантигени.
  • Антииммуноглобулины М, 2) иммуноглобулины М (против вируса гепатита А - в исследуемой сыворотке больного), 3) вирусный антиген, 4) антивирусные антитела, меченные ферментом.

  • Большинство пользователей хоть раз в жизни сталкивались с понятием компьютерных вирусов. Правда, не многие знают, что классификация угроз в основе своей состоит из двух больших категорий: нерезидентные и резидентные вирусы. Остановимся на втором классе, поскольку именно его представители являются наиболее опасными, а иногда и неудаляемыми даже при форматировании диска или логического раздела.

    Что такое резидентные вирусы?

    Итак, с чем же имеет дело пользователь? Для упрощенного объяснения структуры и принципов работы таких вирусов для начала стоит остановиться на объяснении того, что такое резидентная программа вообще.

    Вам будет интересно:

    Считается, что к такому типу программ относятся приложения, работающие постоянно в режиме мониторинга, явным образом не проявляя своих действий (например, те же штатные антивирусные сканеры). Что же касается угроз, проникающих в компьютерные системы, они не только висят постоянно в памяти компьютера, но и создают собственные дубли. Таким образом, копии вирусов и постоянно следят за системой, и перемещаются по ней, что существенно затрудняет их поиск. Некоторые угрозы способны еще и менять собственную структуру, а их детектирование на основе общепринятых методов становится практически невозможным. Чуть позже рассмотрим, как избавиться от вирусов такого типа. А пока остановимся на основных разновидностях резидентных угроз.

    Резидентный вирус при заражении (инфицировании) компьютера оставляет в
    оперативной памяти свою резидентную часть, которая потом перехватывает
    обращение операционной системы к объектам заражения (файлам, загрузочным
    секторам дисков и т. п.) и внедряется в них. Резидентные вирусы
    находятся в памяти и являются активными вплоть до выключения или
    перезагрузки компьютера. Нерезидентные вирусы не заражают память
    компьютера и являются активными ограниченное время

    По степени воздействия вирусы можно разделить на следующие виды:

    неопасные, не мешающие работе компьютера, но уменьшающие объем свободной
    оперативной памяти и памяти на дисках, действия таких вирусов
    проявляются в каких-либо графических или звуковых эффектах

    опасные вирусы, которые могут привести к различным нарушениям в работе
    компьютера

    очень опасные, воздействие которых может привести к потере программ,
    уничтожению данных, стиранию информации в системных областях диска.

    По особенностям алгоритма вирусы трудно классифицировать из-за большого
    разнообразия

    Существует немало способов распространения компьютерных вирусов, среди которых можно выделить наиболее распространённые. Кстати, от них не так уж сложно уберечься, если соблюдать несложные правила осторожности. Ниже приведён список тех способов распространения вирусов, от которых наиболее часто страдают рядовые пользователи Интернета.

    1) Просмотр сайтов. Данный случай – один из лидеров среди способов заразить ваш компьютер. Чаще всего вирусы проникают на наши ПК через сайты, целевой аудиторией которых являются люди старше18 лет. Данный вид сайтов весьма ненадёжен – через них вирусы распространяются наиболее часто. Вторыми в этом рейтинге идут игровые сайты, а также те, на которых можно скачать взломанные программы. Нередко мошенники умышленно создают Интернет-странички такого рода, чтобы распространить некий вирус, при помощи которого затем получают доступ к заражённым компьютерам пользователей. Чтобы уберечься от подобных махинаций, настройте свой антивирус так, чтобы все соединения извне, а также установка программ, не могли произойти без вашего непосредственного участия.


    2) Электронные письма с вложениями (файлами). Это очень простой способ разослать вирус по электронной почте, прикрепив заражённый файл к письму. Большинство людей открывает неопознанные входящие письма из простого любопытства, получая впоследствии проблемы. Способ защититься от подобного прост: нужно удалять письма, пришедшие от неопознанных пользователей, не открывая их. Не смотря на кажущуюся радикальность, это самая разумная мера в данном случае.

    3) Заражённое программное обеспечение. Схема заражения компьютера вирусами в этом случае элементарна – пользователь просто загружает на свой компьютер заражённую программу и устанавливает её. Мало кто хочет платить за лицензии программ – все хотят халявы. Тем более, что сегодня в Интернете можно скачать всё что угодно.

    4) USB-флешки. В этом случае наиболее подвергнуты заражению те пользователи, чей антивирус не поддерживает проверку флеш накопителей на лету. Флешки сегодня распространены повсеместно, и именно поэтому заражение компьютеров посредством переноса вирусов через USB-накопители так распространено.

    5) Сеть. Если ваш компьютер является частью какой-нибудь сети, даже домашней – велик риск заразить все компьютеры этой сети с одного.

    6) Фишинг. Речь идёт о фальшивых сайтах, переходя на которые, пользователь часто получает автоматически устанавливаемые вирусы и шпионские программы. В результате фишинга нередко теряются не только данные, но и личные сбережения. Поэтому прежде чем переходить по фишинговым ссылкам, сообщающим вам о якобы каких-то проблемах с вашим банковским счетом, лучше просто позвонить в банк, и не переходить ни по каким ссылкам.

    7) Лже антивирусные программы. Это очень распространённый путь инфицирования персональных компьютеров. Никогда не скачивайте антивирус из непроверенного источника – всегда делайте это только с официального сайта антивирусной программы. Иначе вы подвергните свой компьютер повышенному риску инфицирования. Покупка лицензии – оптимальный способ защиты в этом случае.

    8) Хакеры. В наши дни с этими людьми проблем стало меньше, но они по-прежнему умудряются портить жизнь пользователям Интернета.

    Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter
    ПОДЕЛИТЬСЯ: