Практическая работа

Тема: Установка и использование антивирусной программы. Настройка и обновление сигнатур.

Цель занятия: научиться осуществлять установку и использование антивирусной программы,

настройку и обновление сигнатур.

Базовые сведения о вирусах и антивирусах

В настоящее время не существует единой системы классификации и именования вирусов и

вредоносного ПО. Принято разделять вирусы по поражаемым объектам (файловые вирусы,

загрузочные вирусы, скриптовые вирусы, макровирусы, сетевые черви), по поражаемым

операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux, MacOS), по

технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку, на котором

написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).

Основные классы вирусов:

Макровирусы - являются программами на языках (макроязыках), встроенных во многие системы

обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения

такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного

зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили

макровирусы для Microsoft Word, Excel и Microsoft Outlook.

Наиболее распространены и опасны файловые вирусы, внедряющие свой код в исполняемые

файлы: командные файлы, программы, драйверы, исходный код программ и др. По способу

заражения файловые вирусы разделяют на перезаписывающие, паразитические, вирусы-звенья,

вирусы-черви, компаньон-вирусы.

Перезаписывающие вирусы

Вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия

исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске

программы выполняется код вируса, а не сама программа.

Вирусы-компаньоны

Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой

программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а

переименовывают или перемещают его. При запуске программы вначале выполняется код вируса,

а затем управление передаётся оригинальной программе.

Возможно существование и других типов вирусов-компаньонов, использующих иные

оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны,

которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот

каталог является первым в списке PATH, и файлы для запуска Windows, в первую очередь, будет

искать именно в нём. Данным способом самозапуска пользуются также многие компьютерные

черви и троянские программы.

Файловые черви

Файловые черви создают собственные копии с привлекательными для пользователя названиями

(например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.

Вирусы-звенья

Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему

выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на

собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой

пользователем программе.

Руткит

Вирус, работающий на уровне ядра ОС, как правило, грузится вместе с ОС, и на этапе работы ОС

маскируется и становится невидимым для основных средств антивирусной защиты. Один из

наиболее опасных типов вирусов.

Паразитические вирусы

Паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него

свой код. При этом заражённая программа сохраняет полную или частичную работоспособность.

Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед,

после или вместе с программой, в зависимости от места внедрения вируса в программу.

Троянские вирусы

1

Троянский конь (троян) - это программа, которая предоставляет посторонним доступ к

компьютеру для совершения каких-либо действий на месте назначения без предупреждения

самого владельца компьютера либо высылает по определенному адресу собранную информацию.

При этом она, как правило, выдает себя за что-нибудь мирное и чрезвычайно полезное. Часть

троянских программ ограничивается тем, что отправляет ваши пароли по почте своему создателю

или человеку, который сконфигурировал эту программу (е-mail trojan). Однако для пользователей

Internet наиболее опасны программы, позволяющие получить удаленный доступ к их машине со

стороны (BackDoor). Очень часто трояны попадают на компьютер вместе с полезными

программами или популярными утилитами, маскируясь под них.

Сетевые черви

Сетевые черви это вредоносное ПО, попадающее на компьютер за счет ошибок в сетевом

программном обеспечении.

Методы борьбы с вирусами.

Основным средством является антивирусное ПО. Как и вирусы, антивирусы постоянно

развиваются, также постоянно расширяется общее определение и классификация антивирусного

ПО.

Антивирусная программа (антивирус) — программа для обнаружения и лечения вредоносных

объектов или инфицированных файлов, а также для профилактики — предотвращения заражения

файла или операционной системы вредоносным кодом.

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить,

предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

Сигнатурное сканирование

Это метод, основанный на анализе характерных участков вирусных программ. Антивирусная

программа, сканируя файл на наличие вируса, обращается к антивирусным базам, которые

составлены производителем программы-антивируса. В случае соответствия какого-либо участка

кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-

антивирус может по запросу выполнить одно из следующих действий:

-

удалить инфицированный файл;

-

заблокировать доступ к инфицированному файлу;

-

отправить файл в карантин (то есть сделать его недоступным для выполнения с целью

недопущения дальнейшего распространения вируса).

-

попытаться «вылечить» файл, удалив вирус из тела файла.

-

в случае невозможности лечения/удаления, выполнить эту процедуру при следующей

перезагрузке операционной системы.

На сегодня, сигнатурное сканирование является основным методом работы антивирусного ПО.

Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого

времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет)

данные о новых вирусах. В современном мире в день появляется несколько десятков новых

вирусов, поэтому если базу сигнатур долго не обновлять, то сигнатурное сканирование становится

практически бесполезным.

Поведенческий блокиратор

Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System

(HIPS).

Антивирусы, использующие метод обнаружения подозрительного поведения программ, не

пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех

программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл),

программа-антивирус может пометить этот файл, предупредить пользователя и спросить, что

следует сделать.

В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или

ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного

продукта.

В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод

обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в

антивирусных базах. Однако, программы или модули, построенные на этом методе, выдают также

большое количество предупреждений (в некоторых режимах работы), что делает пользователя

2

мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более

ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих

другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря

на наличие большого количества предупреждающих диалогов, в современном антивирусном

программном обеспечении этот метод используется всё больше и больше.

Эвристический анализ

Практически все современные антивирусные средства применяют технологию эвристического

анализа программного кода. Эвристический анализ нередко используется совместно с

сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов.

Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако,

лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как

правило, требуется дополнительное обновление антивирусных баз для получения последних

сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном

вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или

авторам антивирусных программ.

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от

новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено

использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве

правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же

время, этот метод поиска базируется на эмпирических предположениях, полностью исключить

ложные срабатывания нельзя. К сожалению, необходимо отметить, что эффективность блоков

эвристического всех современных антивирусов не высока.

Формирование белого списка

Современные антивирусы позволяют формировать список программ исключений, т.е. таких

программ, которые не проверяются и не блокируются не при каких обстоятельствах. Это

позволяет пользователю использовать ПО выполняющее нестандартные задачи, например,

системы для выполнения удаленного управления.

Задание 1. Установка антивирусной программы.

1.

Работу будем выполнять в VirtualBox. Отчет о работе сохраните в документе MS Word. Делайте

скриншоты всех этапов работы, именуйте этапы работ в отчете.

2.

Откройте программу VirtualBox.

3.

Загрузите с системной папки datas две антивирусные программы:

Для этого в VirtualBox откройте Проводник и в строке поиска введите \\

ad

4.

Введите сетевой пароль:

5.

В папке Сеть найдите и

откройте папку datas

3

6.

Скопируйте установочные файлы антивирусных программ startup_14490 и MSEInstall на

рабочий стол VirtualBox.

7.

Выполните установку антивирусной программы Касперский с помощью установочного файла

startup_14490. Запустите этот файл на выполнение, и следуя запросам программы установите

антивирусную программу: соглашаемся с лицензией разработчика, далее следует выбор -

принимать или нет участие в облачной защите Kaspersky Security Network. Работая с таким

продуктом, как Kaspersky, бесплатно, честнее было бы принять участие в облачной защите и

дать возможность разработчикам Лаборатории Касперского использовать свой опыт

столкновения с угрозами. После установки программы жмём «Завершить» и ставим галочку

запуска.

8.

Выполните первый запуск Kaspersky Free.

При первом запуске программа предложит пройти

бесплатную регистрацию с помощью электронной почты. Но

пока повременим с этим делом.

9.

Попав в главное окно Kaspersky Free, первым делом обратим

внимание на обратный отсчёт срока лицензии в правом

нижнем углу. Кликнув на этот отсчёт, переместимся в

окошко лицензирования, где будут содержаться подробные данные об активации, а также

возможность перехода в дальнейшем на расширенную защиту – функциональную

редакцию Kaspersky Internet Security.

10.

Обновление антивирусных баз. Вернувшись в главное

окно, следующим этапом обновим антивирусные базы. Уже

в главном окне программы увидим статус модуля

обновления – «Базы давно не обновлялись». Исправим это –

жмём «Обновление». И обновляем антивирусные базы.

11.

Антивирусная проверка. Кроме модуля обновления в

главном окне увидим ещё один доступный в бесплатной

редакции Kaspersky Free –

антивирусная проверка.

12.

В разделе антивирусной проверки обнаружим традиционные режимы сканирования:

4

а.

полная проверка, включающая все области компьютера;

б.

быстрая проверка, в рамках которой проверяются программы и службы автозагрузки,

объекты в системной памяти;

в.

выборочная проверка – режим сканирования отдельных файлов;

г.

проверка внешних устройств – режим антивирусного сканирования подключаемых к

компьютеру накопителей информации (флешек, внешних винчестеров, SD-карт)

13.

Выполните все виды проверок.

14.

Здесь же, в разделе выбора антивирусной

проверки присутствует опция задания

расписания для сканирования. Быстрая или

полная проверка компьютера может быть

запущена автоматически ежедневно, либо по

отдельным дням.

Защита в реальном времени

15.

При обнаружении угроз Kaspersky Free

оповестит об этом в информационном окошке в

правом нижнем углу экрана и поместит файлы в

карантин.

16.

Об угрозе безопасности будет свидетельствовать также

красный окрас интерфейса программы.

17.

Предустановленные настройки Kaspersky Free

предусматривают после обнаружения и нейтрализации

вирусов запуск поиска в системе руткитов.

5

Карантин и прочие

дополнительные инструменты

18.

В числе дополнительных инструментов бесплатного Kaspersky Free увидим немногое. Это

месячный отчёт о работе антивируса, раздел перехода на платные версии продуктов Kaspersky,

раздел включения и отключения облачной защиты Kaspersky Security Network, а также

карантин.

19.

Именно в дополнительных инструментах спрятан карантин, куда нужно будет отправляться за

восстановлением подконтрольных файлов, которые антивирус ошибочно может расценить как

опасные. В карантин также можно наведываться для удаления обнаруженных угроз, если это

ненужные файлы.

Настройки Kaspersky Free

20.

Доступ к настройкам реализован кнопкой в левом

нижнем углу главного окна. Антивирус предустанавливается уже оптимально настроенным.

Как видим в первой вкладке «Общие», Kaspersky Free настроен для автоматического запуска

вместе с Windows и предусматривает прежде удаления обнаруженных файлов их изоляцию в

карантин.

21.

Во второй вкладке «Защита» при необходимости можем временно отказаться от некоторых

защитных модулей Kaspersky Free.

22.

Следующая вкладка «Производительность» - редкое явление хоть в антивирусе, хоть в любой

иной программе. Однако если речь идёт о продуктах от Лаборатории Касперского, которые

славятся прожорливостью системных ресурсов компьютера, такая настроечная вкладка весьма

кстати. В ней предусмотрены предустановленные опции:

а.

Отказа от запланированных антивирусных проверок для ноутбуков в режиме

энергосбережения;

б.

Выполнения запланированных проверок во время простоя компьютера;

в.

Низкого приоритета использования системных ресурсов во время загрузки Windows;

6

г.

Автоматического запуска поиска руткитов

после обнаружения вредоносного ПО.

д.

Не предустановлена, но возможна для ручной

установки опция отдачи приоритета

использования системных ресурсов другим

программам компьютера при высокой нагрузке

на процессор или жёсткий диск. Эту опцию

можно задействовать на старых или

маломощных устройствах.

23.

Во вкладке «Проверка» можем вместо

предустановленного автоматического выбора

действий Kaspersky Free при обнаружении угроз

установить одно какое-то конкретное для всех случаев подряд – только информирование об

угрозе, только лечение, лечение и в крайнем случае удаление или удаление в каждом случае.

Предустановленный автоматический выбор является оптимальном вариантом, и менять

конкретно эти настройки пользователям с небольшим опытом работы с компьютером вряд ли

стоит. А вот отказаться от проверки внешних подключаемых устройств можно. Если флешки,

SD-карты или прочие носители информации

подсоединяются только к проверенным другим

устройствам, зачем отвлекаться каждый раз на отказ

от сканирования. Если предполагается работа в

опасной среде – посещение сайтов с сомнительной

репутацией, установка и тестирование стороннего

софта, можно переместить ползунок уровня

безопасности с рекомендуемого к высокому.

24.

В последней вкладке «Дополнительно» обнаружим разделы с прочими программными

настройками. Некоторые из них рассмотрим в

отдельном порядке

Добавление файлов в исключения Kaspersky Free

25.

Чтобы антивирус оставил в покое и не терроризировал

подконтрольный файл, что ошибочно сочтён

вредоносным, этот файл необходимо добавить в

исключения. Во вкладке настроек «Дополнительно»

выбираем раздел «Угрозы и исключения». Нажав опцию

«Настроить исключения», в появившемся окошке

исключений внизу жмём кнопку «Добавить».

В первом поле с помощью кнопки обзора указываем путь к

файлу. Этот файл в дальнейшем не будет участвовать в

антивирусном сканировании, также его не будут дёргать прочие модули Kaspersky Free, галочки

которых предустановлены в графе «Компоненты защиты». Жмём кнопку «Добавить» внизу окна.

7

По этому же принципу в список исключений можно добавлять исполняемые файлы программ,

нажав в разделе «Угрозы и исключения» опцию «Указать доверенные программы».

Хранение объектов карантина

26.

Kaspersky Free по умолчанию предусматривает месячный срок хранения файлов в карантине.

Изменить этот срок можно во вкладке настроек «Дополнительно», выбрав раздел «Отчёты и

карантин». Кроме выбора более или менее длительного периода хранения объектов в

карантине, можем настроить его очистку не по времени, а по мере заполнения данными. Для

этого нужно убрать галочку с опции хранения объектов по времени и выбрать опцию

ограничения размера карантина, указав в поле допустимый объём в Мб.

Приостановление защиты Kaspersky Free

27.

На тот случай, если бдительность защитных модулей необходимо будет временно усыпить,

например, чтобы без препятствий установить сомнительный софт, Kaspersky Free

предусматривает удобный инструмент приостановки защиты. В контекстном меню на значке

Kaspersky Free в системном трее нужно кликнуть пункт «Приостановить защиту» и выбрать

один из предлагаемых вариантов – приостановка на определённое время, на неопределённое

время или до первой перезагрузки.

Задание 2.

1.

Завершите работу с программой Kaspersky Free.

2.

Удалите программу Kaspersky Free через функцию Программы/Удаление программы на

Панели управления.

Задание 3.

1.

Выполните установку антивирусной программы с помощью установочного файла

MSEInstall.exe. Определите название антивирусной программы.

2.

Проделайте работу с этой программой, аналогично описанной последовательности

действий по работе с Kaspersky Free. Составьте отчет со скриншотами и названиями этапов

работы в текстовом документе.

8

3.

Сделайте вывод о данной антивирусной программе: ее возможностях, функциях.

4.

Выполните сравнительный анализ этих программ.

5.

Удалите эту антивирусную программу.

9