2018-01-08
372
Основные симптомы вирусного поражения следующие:
-_Замедление работы некоторых программ.
-_Увеличение размеров файлов (особенно выполняемых).
-_Появление не существовавших ранее “странных” файлов.
-_Уменьшение объема доступной оперативной памяти (по сравнению с -_обычным режимом работы).
-_Внезапно возникающие разнообразные видео и звуковые эффекты.
Тестовая сигнатура псевдо-вируса
EICAR (или EICAR-Test-File — от European Institute for Computer Antivirus Research) — стандартный файл, применяемый для тестирования работы антивирусов. По сути вирусом не является; будучи запущенным как COM-файл DOS, всего лишь выводит текстовое сообщение и возвращает управление DOS. В 64-битных ОС программа не работает — поддержки старого 16-битного ПО в них нет.
Антивирус, обнаруживший данную строку, должен поступить в точности так же, как и при обнаружении реального вируса. Поэтому о том, что тревога учебная, антивирус обычно сообщает в названии вируса:
* EICAR Test-NOT virus!! (avast!),
* EICAR-Test-File («Лаборатория Касперского»),
* EICAR Test File (Not a Virus!) (Doctor Web),
|
|
|
* Eicar-Test-Signature (ClamAV),
Для того, чтобы проверить, какова будет реакция антивируса, конечно, можно применить и «живой» вирус – но это может быть опасно. Для этого и был предложен стандартизированный файл, не несущий вредоносной нагрузки.
Хотя COM-файлы в общем случае являются двоичными, EICAR можно набирать в текстовом редакторе. Символы CR/LF, которые редактор может добавить в конец файла, не влияют на работоспособность файла.
COM-файл:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Этот COM-файл при запуске выводит сообщение EICAR-STANDART-ANTIVIRUS-TEST-FILE! после чего возвращает управление DOS.
Сетевые черви
Сетевой червь - разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от иных типов компьютерных вирусов червь является самостоятельной программой.
Эвристический анализ
Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.
|
|
|
ПОРЯДОК ВЫПОЛНЕНИЯ
Внимание, перед выполнением лабораторной работы внимательно прочитайте данный пункт. Вы должны отдавать себе отчет в том, что в ходе лабораторной работы вы отключите антивирусную программу и будете работать с вредоносным ПО. Для обеспечения безопасности работы компьютера, в лабораторной работе используется специальное программной обеспечение, так называемая, песочница или среда для запуска вирусов. Запускать вирусы вне этой среды запрещается.
Перед выполнением лабораторной работы необходимо установить программное обеспечение, описанное в пункте 2.
