Co se stane, když infikovaný program začne fungovat. Počítačové viry. Co je počítačový virus
Počítačový virus je malý program speciálně napsaný k tomu, aby infikoval jiné programy (tj. „připsal“ se jim) a prováděl v počítači nežádoucí akce různého typu. Infikovaný program je program s virem uvnitř. Když takový program začne fungovat, virus zpočátku převezme kontrolu. Počítačové viry nacházejí a infikují jiné programy a také provádějí nejrůznější škodlivé akce (například poškozují tabulku souborů na pevném disku nebo samotné soubory, ucpávají RAM atd.).
Během maskování virus ne vždy provádí žádné akce, aby infikoval jiné programy a způsobil jim škodu, a když jsou v počítači provedeny určité akce, virus může začít svou práci. Po provedení nezbytných manipulací virus předá řízení programu, ve kterém se nachází, a tento program pokračuje v práci jako obvykle. Takže navenek se práce infikovaného programu nijak neprojevuje a vypadá, jako by infikovaná nebyla.
Mnoho typů virů je navrženo tak, že při spuštění infikovaného programu zůstává virus rezidentní v paměti počítače (až do restartu operačního systému) a pokud je to možné, infikuje spuštěné programy nebo na počítači provádí škodlivé akce.
Všechny akce viru jsou prováděny poměrně rychle, bez vydávání jakýchkoli předběžných zpráv, takže uživatel si nemusí všimnout, že se na jeho počítači děje něco neobvyklého. Pokud je v počítači infikováno malé množství programů, může být přítomnost viru téměř neviditelná. Ale po chvíli se na počítači začne dít něco divného, například:
- některé programy začnou fungovat nesprávně nebo přestanou fungovat úplně;
- na obrazovce se objevují cizí znaky, zprávy atd.;
- Počítač se výrazně zpomalí;
- některé soubory jsou poškozené atd.
V této době je zpravidla většina programů, které používáte, infikována virem a některé disky a soubory jsou poškozené. Kromě toho již mohly být infikované programy přeneseny z vašeho počítače do jiných počítačů prostřednictvím sítě nebo externího média.
Některé počítačové viry a jejich varianty jsou ještě záludnější. Tiše infikují velké množství programů najednou a pak způsobí docela vážné škody, například zformátují celý pevný disk v počítači. A existují počítačové viry, které se snaží chovat co nejméně povšimnutí, ale postupně a postupně poškozují data uložená na pevném disku počítače.
Ze všeho výše uvedeného vyplývá, že pokud nepřijmete opatření na ochranu před viry, budou následky infikovaného počítače velmi vážné. Například v roce 1989 napsal americký student Morris virus, který infikoval a deaktivoval tisíce počítačů, včetně těch, které patřily americkému ministerstvu obrany. Soud uložil autorovi viru pokutu 270 000 dolarů a poslal ho na tři měsíce do vězení. Trest mohl být přísnější, ale soud přihlédl k tomu, že se virus pouze množil a nestihl data zkazit.
Virový program má malou velikost, a proto je neviditelný. Někteří autoři vytvářejí takové programy ze škodolibosti, jiní - snaží se někomu ublížit nebo získat přístup k informacím nebo počítačovým zdrojům. V každém případě se vytvořený virový program může rozšířit na všechny počítače kompatibilní s tím, pro který byl napsán, a způsobit velmi velké zničení.
Je třeba poznamenat, že napsat virus není tak obtížný úkol a je docela dostupný pro studenta, který studuje programování. Na internetu se proto každým dnem objevuje stále více nových počítačových virů.
(9 hlasů)
Počítačové viry
Počítačový virus - pojem a klasifikace.
Počítačový virus je speciálně napsaný program malé velikosti (tj. určitá sada spustitelného kódu), který se může „přiřadit“ jiným programům („nakazit“ je), vytvářet své kopie a vkládat je do souborů, systémových oblastí počítače. , atd. .d., a také provádět různé nežádoucí akce na počítači.
Program obsahující virus se nazývá „infikovaný“. Když takový program začne fungovat, virus nejprve převezme kontrolu. Virus najde a „napadne“ jiné programy a také provede některé škodlivé akce (například poškodí soubory nebo alokační tabulku souborů na disku, „ucpe“ RAM atd.). Aby se virus zamaskoval, akce k infikování jiných programů a způsobení škody nemusí být prováděny vždy, ale řekněme, když jsou splněny určité podmínky.
Například virus Anti-MIT zničí všechny informace na pevném disku každý rok 1. prosince, virus Tea Time vám zabrání zadávat informace z klávesnice od 15:10 do 15:13 a slavný One Half, který má „procházel“ naším městem v průběhu minulého roku, tiše šifruje data na vašem pevném disku. V roce 1989 se americkému studentovi podařilo vytvořit virus, který znefunkčnil asi 6000 počítačů amerického ministerstva obrany. V roce 1991 vypukla epidemie známého viru Dir-II. Virus používal skutečně originální, zásadně novou technologii a zpočátku se mu podařilo široce rozšířit díky nedokonalosti tradičních antivirových nástrojů. Christopheru Pyneovi se podařilo vytvořit viry Pathogen a Queeq a také virus Smeg. Právě ten poslední byl nejnebezpečnější, mohl být superponován na první dva viry, a proto po každém spuštění programu měnili konfiguraci. Proto bylo nemožné je zničit. K šíření virů Pine zkopíroval počítačové hry a programy, infikoval je a poté je poslal zpět do sítě. Uživatelé si stáhli infikované programy do svých počítačů a infikovali své disky. Situaci zhoršila skutečnost, že se Pine podařilo zavést viry do programu, který s nimi bojuje. Jeho spuštěním uživatelé místo ničení virů dostali další. V důsledku toho byly soubory mnoha společností zničeny, což způsobilo ztráty ve výši milionů liber.
Americký programátor Morris se stal široce známým. Je znám jako tvůrce viru, který v listopadu 1988 infikoval asi 7 tisíc osobních počítačů připojených k internetu.
První studie sebereplikujících umělých struktur byly provedeny v polovině tohoto století. Období "počítačový virus"
se objevil později - oficiálně je za jeho autora považován pracovník Lehigh University (USA) F. Cohen v roce 1984 na sedmé konferenci o informační bezpečnosti.
Odborníci se domnívají, že dnes počet existujících virů přesáhl 20 tisíc, přičemž každý den se objeví 6 až 9 nových. V současnosti existuje asi 260 „divokých“, tedy skutečně cirkulujících virů.
Jeden z nejuznávanějších „virologů“ v zemi, Evgeny Kaspersky, navrhuje podmíněně klasifikovat viry podle následujících kritérií:
podle stanoviště viru
podle způsobu infekce stanoviště
podle destruktivních možností
podle charakteristik virového algoritmu.
Podrobnější klasifikace v rámci těchto skupin může být reprezentována asi takto:
síť |
šíří po počítačové síti |
||
Místo výskytu: |
soubor |
vložené do spustitelných souborů |
|
bota |
jsou vloženy do spouštěcího sektoru disku (spouštěcí sektor) |
||
Metody |
rezident |
jsou v paměti, aktivní do vypnutí počítače |
|
infekce: |
nerezident |
neinfikují paměť, jsou aktivní po omezenou dobu |
|
neškodný |
prakticky neovlivňují práci; snížit volné místo na disku v důsledku jejich šíření |
||
Destruktivní |
nehazardní |
snížit volnou paměť, vytvořit zvukové, grafické a další efekty |
|
možnosti: |
nebezpečný |
může vést k vážným poruchám |
|
velmi nebezpečné |
může vést ke ztrátě programů nebo systémových dat |
||
"satelitní" viry |
viry, které nemění soubory, vytvářejí satelitní soubory pro soubory EXE s příponou COM |
||
červí viry |
šířit po síti, posílat své kopie a vypočítat síťové adresy |
||
Zvláštnosti |
"student" |
primitivní, obsahují velké množství chyb |
|
virus: |
stealth viry (neviditelný) |
zachytit volání DOS k infikovaným souborům nebo sektorům a nahradit neinfikované oblasti na jejich místo |
|
viry duchů |
nemají jediný trvalý kus kódu, jsou obtížně zjistitelné, hlavní část viru je zašifrována |
||
makroviry |
nejsou napsány ve strojových kódech, ale ve WordBasic, žijí v dokumentech Word, přepisují se do Normal.dot |
Hlavními způsoby, jak se viry dostávají do počítače, jsou vyměnitelné disky (disketové a laserové) a také počítačové sítě. Pevný disk se může nakazit viry při načítání programu z diskety obsahující virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A a počítač byl restartován a disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah.
Jak virus funguje.
Podívejme se na fungování velmi jednoduchého boot viru, který infikuje diskety.
Co se stane, když zapnete počítač? Nejprve se řízení přenese na bootovací program, který je uložen v paměti pouze pro čtení (ROM), tzn. PNZ ROM.
Tento program otestuje hardware a pokud jsou testy úspěšné, pokusí se najít disketu v jednotce A:
Každá disketa je označena tzv. sektory a stopy. Sektory se spojují do shluků, ale to pro nás není podstatné.
Mezi sektory je několik služeb, které používá operační systém pro své vlastní potřeby (tyto sektory nemohou obsahovat vaše data). Mezi sektory služeb nás aktuálně zajímá jeden – tzv. boot sektor (boot-sector).
Zaváděcí sektor uchovává informace o disketě – počet povrchů, počet stop, počet sektorů atd. Co nás ale nyní zajímá, není tato informace, ale malý spouštěcí program (BLP), který musí načíst samotný operační systém a přenést na něj řízení.
Takže normální bootstrap schéma je následující:
Nyní se podíváme na virus. Boot viry mají dvě části – tzv. hlava atd. ocas. Ocas, obecně řečeno, může být prázdný.
Předpokládejme, že máte čistou disketu a infikovaný počítač, čímž máme na mysli počítač s aktivním rezidentním virem. Jakmile tento virus zjistí, že se v mechanice objevila vhodná oběť – v našem případě disketa, která není chráněna proti zápisu a dosud nebyla infikována, začne infikovat. Při infikování diskety virus provede následující akce:
alokuje určitou oblast disku a označí ji jako nepřístupnou pro operační systém, lze to provést různými způsoby, v nejjednodušším a tradičním případě jsou sektory obsazené virem označeny jako špatné (špatné)
zkopíruje svůj konec a původní (zdravý) spouštěcí sektor do vybrané oblasti disku
nahradí zaváděcí program v zaváděcím sektoru (ten skutečný) svou hlavou
organizuje řetězec předávání kontroly podle schématu.
PNZ (ROM) - PNZ (disk) - SYSTÉM
objeví se nový odkaz:
PNZ (ROM) - VIRUS - PNZ (disk) - SYSTÉM
Prozkoumali jsme schéma fungování jednoduchého boot viru, který žije v boot sektorech disket. Viry mohou zpravidla infikovat nejen boot sektory disket, ale také boot sektory pevných disků. Navíc na rozdíl od disket má pevný disk dva typy zaváděcích sektorů obsahujících spouštěcí programy, které přijímají řízení. Když se počítač zavede z pevného disku, nejprve převezme řízení spouštěcí program v MBR (Master Boot Record). Pokud je váš pevný disk rozdělen do několika oddílů, pak pouze jeden z nich je označen jako spouštěcí. Spouštěcí program v MBR najde spouštěcí oddíl pevného disku a předá řízení spouštěcímu programu tohoto oddílu. Kód druhého jmenovaného se shoduje s kódem spouštěcího programu obsaženého na běžných disketách a odpovídající zaváděcí sektory se liší pouze v tabulkách parametrů. Na pevném disku jsou tedy dva objekty útoku spouštěcích virů - spouštěcí program v MBR a spouštěcí program v zaváděcím sektoru spouštěcího disku.
Známky viru.
Když je váš počítač napaden virem, je důležité jej detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří mezi ně následující:
zastavení provozu nebo nesprávné fungování dříve úspěšně fungujících programů
pomalý počítač
nemožnost načíst operační systém
zmizení souborů a adresářů nebo poškození jejich obsahu
změna data a času úpravy souboru
změna velikosti souborů
neočekávaný výrazný nárůst počtu souborů na disku
výrazné snížení velikosti volné paměti RAM
Zobrazování neočekávaných zpráv nebo obrázků na obrazovce
vydávat neočekávané zvukové signály
Časté zamrzání a pády v počítači
Metody ochrany. Antiviry.
Bez ohledu na virus musí uživatel znát základní metody ochrany před počítačovými viry.
K ochraně před viry můžete použít:
obecné nástroje ochrany informací, které jsou také užitečné jako pojištění proti fyzickému poškození disků, nefunkčnosti programů nebo chybných akcí uživatele;
preventivní opatření ke snížení pravděpodobnosti nákazy virem;
specializované programy pro antivirovou ochranu.
Obecné nástroje pro zabezpečení informací jsou užitečné nejen pro ochranu před viry. Existují dva hlavní typy těchto fondů:
kopírování informací - vytváření kopií souborů a systémových oblastí disků;
kontrola přístupu zabraňuje neoprávněnému použití informací, zejména ochrana před změnami programů a dat viry, nefunkčními programy a chybnými akcemi uživatelů.
Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirus. Existují následující typy antivirových programů:
detektorové programy
doktorské programy nebo fágy
auditní programy
filtrační programy
očkovací nebo imunizační programy
Lékařské programy nebo fágy, a očkovací programy nejen najít soubory infikované viry, ale také je „ošetřit“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce fágové vyhledávají viry v RAM, ničí je a teprve potom přistupují k „čištění“ souborů. Mezi fágy se rozlišují polyfágy, tzn. Lékařské programy určené k vyhledávání a ničení velkého množství virů. Nejznámější z nich: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a jsou vyžadovány pravidelné aktualizace verzí.
Auditorské programy patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru. Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy mají poměrně vyvinuté algoritmy, detekují stealth viry a mohou dokonce vyčistit změny ve verzi kontrolovaného programu od změn provedených virem. Mezi programy auditu patří program Adinf, široce používaný v Rusku.
Filtrovat programy nebo "hlídač" jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, charakteristické pro viry. Takové akce mohou být:
pokusí se opravit soubory s příponami COM, EXE
změna atributů souboru
přímý zápis na disk na absolutní adresu
zápis do boot sektorů disku
Vakcíny nebo imunizátory- Jedná se o rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že neovlivní jeho činnost a virus jej bude vnímat jako infikovaný, a proto se nezakoření. V současné době mají očkovací programy omezené použití.
Včasná detekce virem infikovaných souborů a disků a úplné zničení detekovaných virů na každém počítači pomáhá zabránit šíření virové epidemie na další počítače.
Abyste zabránili vystavení počítače virům a zajistili spolehlivé ukládání informací na disky, musíte dodržovat následující pravidla:
vybavte svůj počítač moderními antivirovými programy, jako je Aidstest, Doctor Web, a neustále aktualizujte jejich verze
Před čtením informací uložených na jiných počítačích z disket vždy zkontrolujte, zda tyto diskety neobsahují viry spuštěním antivirových programů vašeho počítače.
Při přenosu souborů v archivované podobě do počítače je naskenujte ihned po rozbalení na pevném disku a omezte oblast skenování pouze na nově nahrané soubory.
po nahrání operačního systému ze systémové diskety chráněné proti zápisu pravidelně kontrolujte pevné disky počítače na přítomnost virů spouštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu
Při práci na jiných počítačích vždy chraňte své diskety proti zápisu, pokud na ně nebudou zapsány informace
Nezapomeňte vytvořit záložní kopie informací, které jsou pro vás cenné, na diskety
neponechávejte diskety v jednotce A, když zapínáte nebo restartujete operační systém, abyste zabránili infikování počítače zaváděcími viry
používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí
Aby byla zajištěna větší bezpečnost, musí být Aidstest a Doctor Web kombinovány s každodenním používáním auditora disku Adinf.
Antivirový program AntiViral Toolkit Pro.
Antivirový program AVP byl vyvinut přední ruskou společností Kaspersky Lab. Program vstoupil na globální trh a je poměrně aktivně prodáván v mnoha zemích.
Po spuštění AVP načte antivirové databáze, testuje RAM na přítomnost rezidentních virů a kontroluje se na virovou infekci. Po úspěšném stažení se ve stavovém řádku zobrazí zpráva " Poslední aktualizace:
datum> ,
množství> viry »
, kde je datum poslední aktualizace a počet známých virů (údaje o virech jsou v souborech s příponou .AVC)
Hlavní okno programu obsahuje čtyři položky nabídky:
soubor
skenování virů
servis
kraj
objektů
akce
nastavení
statistika
Tab "předměty" , určuje seznam objektů ke kontrole a typy souborů, které budou testovány.
Na kartě Objekty můžete zaškrtnout následující políčka:
Paměť- povolit proceduru skenování systémové paměti (včetně oblasti vysoké paměti)
Sektory - zahrnout kontrolu systémových sektorů do procedury skenování
Soubory- zahrnout kontrolu souborů do procedury skenování (včetně souborů s atributy Hidden, System, ReadOnly)
Zabalené předměty- povolit Unpack Engine, který rozbalí soubory pro testování
"Typ souboru" obsahuje čtyři přepínače:
Programy podle formátu - skenovací programy (formáty Files.com, .exe, .vxd, .dll a Microsoft Office). Při skenování podle formátu jsou tedy kontrolovány všechny soubory, které mohou obsahovat kód viru.
Rozšiřující programy- skenovat všechny soubory s příponou *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.
Všechny soubory- skenovat všechny soubory.
Podle masky- skenování pomocí masky určené uživatelem ve vstupním řádku.
Tab "akce" umožňuje nastavit akce v případě zjištění infikovaných nebo podezřelých objektů během testování.
Karta obsahuje čtyři tlačítka a dvě zaškrtávací políčka.
Na vaši žádost vás program buď pouze informuje o zjištěných virech, ošetří infikovaný objekt po jeho otevření nebo jej ošetří automaticky. Podezřelé objekty lze zkopírovat buď do složky, kterou určíte, nebo do pracovní složky programu.
Tab "Nastavení" umožňuje konfigurovat program pro různé režimy.
Varování – umožňuje další kontrolní mechanismus.
Analyzátor kódu - obsahuje mechanismus schopný detekovat dosud neznámé viry ve zkoumaných objektech.
Redundantní skenování – umožňuje mechanismu pro kompletní kontrolu obsahu souboru. Tento režim se doporučuje povolit, když není detekován virus, ale v provozu počítače jsou pozorovány podivné jevy - zpomalení, časté samovolné restarty atd. V ostatních případech se použití tohoto režimu nedoporučuje, protože při skenování čistých souborů existuje možnost falešných poplachů.
Nastavení umožňuje uživateli zobrazit název kontrolovaného objektu ve sloupci „Objekt“ během kontroly, v okně „Výsledek“ se u názvu objektu objeví zpráva „ok“, pokud je objekt čistý. Můžete také nastavit zvukový signál, který zazní při detekci viru, což je v praxi velmi užitečné, protože proces skenování je poměrně dlouhý a monotónní. Můžete také sledovat sekvenci skenování (zaškrtávací políčko Nahlásit sledování) nebo napište soubor sestavy s uvedením názvu výsledného souboru (zaškrtávací políčko Soubor zpráva). Zaškrtnutím tohoto políčka získá uživatel přístup ke dvěma pomocným zaškrtávacím políčkům:
Přidat- nový přehled bude přidán striktně na konec starého
Omezení velikosti- omezit velikost souboru sestavy na žádost uživatele (ve výchozím nastavení - 500 kB)
Po kontrole zadaných objektů se karta automaticky aktivuje "Statistika"
Tato záložka obsahuje výsledky programu. Karta je rozdělena na dvě části obsahující informace o počtu kontrolovaných objektů, souborů, složek a počtu nalezených virů, varování, poškozených objektů atd.
Databáze podpisů AVP je jednou z největších – nejnovější verze programu obsahuje více než 25 000 virů. Je třeba poznamenat, že práce s programem nezpůsobuje potíže ani nezkušenému uživateli a novou verzi snadno získáte z internetu.
SEZNAM POUŽITÝCH REFERENCÍ
Achmetov K. Kurz mladého bojovníka. Moskva, Computer Press, 1997.
Kaspersky E. Počítačové viry v systému MS-DOS. Moskva, Edel-Renesance, 1992.
PC svět. č. 4,1998.
Charakteristika počítačových virů
Podstata a projev počítačových virů
Rozšířené používání osobních počítačů se bohužel ukázalo být spojeno se vznikem samoreplikujících virových programů, které narušují normální provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači. Jakmile počítačový virus pronikne do jednoho počítače, může se rozšířit na další počítače. Počítačový virus je speciálně napsaný program, který je schopen se spontánně připojovat k jiným programům, vytvářet své kopie a zavádět je do souborů, systémových oblastí počítače a do počítačových sítí, aby narušil činnost programů, poškodil soubory a adresáře a vytvořil všemožné zásahy do práce na počítači Příčiny vzniku a šíření počítačových virů se na jedné straně skrývají v psychologii lidské osobnosti a jejích stinných stránkách (závist, pomstychtivost, ješitnost neznámých tvůrců, neschopnost konstruktivně využívat své schopnosti), na druhé straně kvůli chybějící hardwarové ochraně a protizásahu ze strany operačního systému osobního počítače. chránit před viry, počet nových softwarových virů neustále roste. To vyžaduje, aby uživatel osobního počítače měl znalosti o povaze virů, způsobech napadení viry a ochraně před nimi.Hlavními cestami, kterými se viry dostávají do počítače, jsou výměnné disky (disketové a laserové), stejně jako počítačové sítě . Váš pevný disk se může nakazit viry, když spouštíte počítač z diskety, která obsahuje virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A: a počítač byl restartován, přičemž disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah. Infikovaný disk- toto je disk, v jehož boot sektoru se nachází program - virus Po spuštění programu obsahujícího virus je možné infikovat další soubory. Nejčastěji je virem napaden boot sektor disku a spustitelné soubory s příponami EXE, .COM, SYS nebo BAT. Infikování textových a grafických souborů je extrémně vzácné. Infikovaný program je program, který obsahuje v sobě zabudovaný virový program Když je počítač napaden virem, je velmi důležité jej včas detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří mezi ně následující:- zastavení provozu nebo nesprávné fungování dříve úspěšně fungujících programů;
- pomalý provoz počítače;
- nemožnost načíst operační systém;
- zmizení souborů a adresářů nebo poškození jejich obsahu;
- změna data a času úpravy souboru;
- změna velikosti souborů;
- neočekávané výrazné zvýšení počtu souborů na disku;
- výrazné snížení velikosti volné paměti RAM;
- zobrazování neočekávaných zpráv nebo obrázků na obrazovce;
- vydávání neočekávaných zvukových signálů;
- Časté zamrzání a pády v počítači.
- nehazardní, nezasahuje do provozu počítače, ale snižuje množství volné paměti RAM a disku, akce takových virů se projevují v některých grafických nebo zvukových efektech;
- nebezpečný viry, které mohou vést k různým problémům s vaším počítačem;
- velmi nebezpečné jehož dopad může vést ke ztrátě programů, zničení dat a vymazání informací v systémových oblastech disku.
PROGRAMY PRO DETEKCI A OCHRANU VIRŮ
Charakteristika antivirových programů Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirus. Existují následující typy antivirových programů (obr. 11.11): Detekční programy Hledají sekvenci bajtů (virovou signaturu) charakteristickou pro konkrétní virus v RAM a souborech, a když je najdou, vydají odpovídající zprávu. Nevýhodou takového antiviru pro-Obr. 11.11. Typy antivirových programůgram je, že mohou najít pouze viry, které znají vývojáři takových programů. Lékařské programy nebo fágy, a očkovací programy nejen najít soubory infikované viry, ale také je „ošetřit“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce fágové vyhledávají viry v RAM, ničí je a teprve potom přistupují k „čištění“ souborů. Mezi fágy jsou polyfágy, těch. Lékařské programy určené k vyhledávání a ničení velkého množství virů. Nejznámějšími polyfágy jsou programy Aidstest , Skenování, Norton AntiVirus a Doctor Web . Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a je nutné pravidelně aktualizovat jejich verze. Program auditora patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce videomonitoru. Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy mají poměrně vyvinuté algoritmy, detekují stealth viry a dokážou dokonce rozlišit změny ve verzi kontrolovaného programu od změn provedených virem. Mezi auditní programy patří v Rusku hojně využívaný program Adinf od Dialog-Science. Filtrovat programy nebo "hlídač" jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, charakteristické pro viry. Takové akce mohou být:
- pokusy o opravu souborů s příponami COM a EXE;
- změna atributů souboru;
- přímý zápis na disk na absolutní adresu;
- zápis do boot sektorů disku.
- v režimu rozhraní na celou obrazovku pomocí nabídek a dialogových oken;
- v režimu ovládání příkazového řádku.
- informace o boot sektorech;
- informace o neúspěšných klastrech;
- délka a kontrolní součty souborů;
- datum a čas vytvoření souborů.
- vybavte svůj počítač aktuálním antivirovým softwarem, jako je např Aidstest nebo Doktor Web, a neustále aktualizovat jejich verze;
- Před čtením informací zaznamenaných na jiných počítačích z disket vždy zkontrolujte, zda tyto diskety neobsahují viry spuštěním antivirových programů na vašem počítači;
- při přenosu souborů v archivované podobě do počítače je zkontrolujte ihned po rozbalení na pevném disku a omezte oblast skenování pouze na nově nahrané soubory;
- pravidelně kontrolujte pevné disky vašeho počítače na výskyt virů spouštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu, po načtení operačního systému také ze systémové diskety chráněné proti zápisu;
- Při práci na jiných počítačích vždy chraňte své diskety před zápisem, pokud na ně nebudou zaznamenány informace;
- nezapomeňte vytvořit záložní kopie informací, které jsou pro vás cenné, na diskety;
- nenechávejte diskety v kapse jednotky A: při zapínání nebo restartu operačního systému, abyste zabránili napadení počítače zaváděcími viry;
- používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí;
- aby byla zajištěna větší bezpečnost používání Aidstest A Doktor Web musí být kombinováno s každodenním používáním nástroje Disk Auditor ADinf.