Co se stane, když infikovaný program začne fungovat. Počítačové viry. Co je počítačový virus

Počítačový virus je malý program speciálně napsaný k tomu, aby infikoval jiné programy (tj. „připsal“ se jim) a prováděl v počítači nežádoucí akce různého typu. Infikovaný program je program s virem uvnitř. Když takový program začne fungovat, virus zpočátku převezme kontrolu. Počítačové viry nacházejí a infikují jiné programy a také provádějí nejrůznější škodlivé akce (například poškozují tabulku souborů na pevném disku nebo samotné soubory, ucpávají RAM atd.).

Během maskování virus ne vždy provádí žádné akce, aby infikoval jiné programy a způsobil jim škodu, a když jsou v počítači provedeny určité akce, virus může začít svou práci. Po provedení nezbytných manipulací virus předá řízení programu, ve kterém se nachází, a tento program pokračuje v práci jako obvykle. Takže navenek se práce infikovaného programu nijak neprojevuje a vypadá, jako by infikovaná nebyla.

Mnoho typů virů je navrženo tak, že při spuštění infikovaného programu zůstává virus rezidentní v paměti počítače (až do restartu operačního systému) a pokud je to možné, infikuje spuštěné programy nebo na počítači provádí škodlivé akce.

Všechny akce viru jsou prováděny poměrně rychle, bez vydávání jakýchkoli předběžných zpráv, takže uživatel si nemusí všimnout, že se na jeho počítači děje něco neobvyklého. Pokud je v počítači infikováno malé množství programů, může být přítomnost viru téměř neviditelná. Ale po chvíli se na počítači začne dít něco divného, ​​například:

  • některé programy začnou fungovat nesprávně nebo přestanou fungovat úplně;
  • na obrazovce se objevují cizí znaky, zprávy atd.;
  • Počítač se výrazně zpomalí;
  • některé soubory jsou poškozené atd.

V této době je zpravidla většina programů, které používáte, infikována virem a některé disky a soubory jsou poškozené. Kromě toho již mohly být infikované programy přeneseny z vašeho počítače do jiných počítačů prostřednictvím sítě nebo externího média.

Některé počítačové viry a jejich varianty jsou ještě záludnější. Tiše infikují velké množství programů najednou a pak způsobí docela vážné škody, například zformátují celý pevný disk v počítači. A existují počítačové viry, které se snaží chovat co nejméně povšimnutí, ale postupně a postupně poškozují data uložená na pevném disku počítače.

Ze všeho výše uvedeného vyplývá, že pokud nepřijmete opatření na ochranu před viry, budou následky infikovaného počítače velmi vážné. Například v roce 1989 napsal americký student Morris virus, který infikoval a deaktivoval tisíce počítačů, včetně těch, které patřily americkému ministerstvu obrany. Soud uložil autorovi viru pokutu 270 000 dolarů a poslal ho na tři měsíce do vězení. Trest mohl být přísnější, ale soud přihlédl k tomu, že se virus pouze množil a nestihl data zkazit.

Virový program má malou velikost, a proto je neviditelný. Někteří autoři vytvářejí takové programy ze škodolibosti, jiní - snaží se někomu ublížit nebo získat přístup k informacím nebo počítačovým zdrojům. V každém případě se vytvořený virový program může rozšířit na všechny počítače kompatibilní s tím, pro který byl napsán, a způsobit velmi velké zničení.

Je třeba poznamenat, že napsat virus není tak obtížný úkol a je docela dostupný pro studenta, který studuje programování. Na internetu se proto každým dnem objevuje stále více nových počítačových virů.


(9 hlasů)

Počítačové viry

Počítačový virus - pojem a klasifikace.


Počítačový virus je speciálně napsaný program malé velikosti (tj. určitá sada spustitelného kódu), který se může „přiřadit“ jiným programům („nakazit“ je), vytvářet své kopie a vkládat je do souborů, systémových oblastí počítače. , atd. .d., a také provádět různé nežádoucí akce na počítači.
Program obsahující virus se nazývá „infikovaný“. Když takový program začne fungovat, virus nejprve převezme kontrolu. Virus najde a „napadne“ jiné programy a také provede některé škodlivé akce (například poškodí soubory nebo alokační tabulku souborů na disku, „ucpe“ RAM atd.). Aby se virus zamaskoval, akce k infikování jiných programů a způsobení škody nemusí být prováděny vždy, ale řekněme, když jsou splněny určité podmínky.

Například virus Anti-MIT zničí všechny informace na pevném disku každý rok 1. prosince, virus Tea Time vám zabrání zadávat informace z klávesnice od 15:10 do 15:13 a slavný One Half, který má „procházel“ naším městem v průběhu minulého roku, tiše šifruje data na vašem pevném disku. V roce 1989 se americkému studentovi podařilo vytvořit virus, který znefunkčnil asi 6000 počítačů amerického ministerstva obrany. V roce 1991 vypukla epidemie známého viru Dir-II. Virus používal skutečně originální, zásadně novou technologii a zpočátku se mu podařilo široce rozšířit díky nedokonalosti tradičních antivirových nástrojů. Christopheru Pyneovi se podařilo vytvořit viry Pathogen a Queeq a také virus Smeg. Právě ten poslední byl nejnebezpečnější, mohl být superponován na první dva viry, a proto po každém spuštění programu měnili konfiguraci. Proto bylo nemožné je zničit. K šíření virů Pine zkopíroval počítačové hry a programy, infikoval je a poté je poslal zpět do sítě. Uživatelé si stáhli infikované programy do svých počítačů a infikovali své disky. Situaci zhoršila skutečnost, že se Pine podařilo zavést viry do programu, který s nimi bojuje. Jeho spuštěním uživatelé místo ničení virů dostali další. V důsledku toho byly soubory mnoha společností zničeny, což způsobilo ztráty ve výši milionů liber.

Americký programátor Morris se stal široce známým. Je znám jako tvůrce viru, který v listopadu 1988 infikoval asi 7 tisíc osobních počítačů připojených k internetu.
První studie sebereplikujících umělých struktur byly provedeny v polovině tohoto století. Období "počítačový virus" se objevil později - oficiálně je za jeho autora považován pracovník Lehigh University (USA) F. Cohen v roce 1984 na sedmé konferenci o informační bezpečnosti.

Odborníci se domnívají, že dnes počet existujících virů přesáhl 20 tisíc, přičemž každý den se objeví 6 až 9 nových. V současnosti existuje asi 260 „divokých“, tedy skutečně cirkulujících virů.


Jeden z nejuznávanějších „virologů“ v zemi, Evgeny Kaspersky, navrhuje podmíněně klasifikovat viry podle následujících kritérií:

  1. podle stanoviště viru

  2. podle způsobu infekce stanoviště

  3. podle destruktivních možností

  4. podle charakteristik virového algoritmu.

Podrobnější klasifikace v rámci těchto skupin může být reprezentována asi takto:


síť

šíří po počítačové síti

Místo výskytu:

soubor

vložené do spustitelných souborů

bota

jsou vloženy do spouštěcího sektoru disku (spouštěcí sektor)

Metody

rezident

jsou v paměti, aktivní do vypnutí počítače

infekce:

nerezident

neinfikují paměť, jsou aktivní po omezenou dobu

neškodný

prakticky neovlivňují práci; snížit volné místo na disku v důsledku jejich šíření

Destruktivní

nehazardní

snížit volnou paměť, vytvořit zvukové, grafické a další efekty

možnosti:

nebezpečný

může vést k vážným poruchám

velmi nebezpečné

může vést ke ztrátě programů nebo systémových dat

"satelitní" viry

viry, které nemění soubory, vytvářejí satelitní soubory pro soubory EXE s příponou COM

červí viry

šířit po síti, posílat své kopie a vypočítat síťové adresy

Zvláštnosti

"student"

primitivní, obsahují velké množství chyb

virus:

stealth viry

(neviditelný)
zachytit volání DOS k infikovaným souborům nebo sektorům a nahradit neinfikované oblasti na jejich místo

viry duchů

nemají jediný trvalý kus kódu, jsou obtížně zjistitelné, hlavní část viru je zašifrována

makroviry

nejsou napsány ve strojových kódech, ale ve WordBasic, žijí v dokumentech Word, přepisují se do Normal.dot

Hlavními způsoby, jak se viry dostávají do počítače, jsou vyměnitelné disky (disketové a laserové) a také počítačové sítě. Pevný disk se může nakazit viry při načítání programu z diskety obsahující virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A a počítač byl restartován a disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah.


Jak virus funguje.
Podívejme se na fungování velmi jednoduchého boot viru, který infikuje diskety.

Co se stane, když zapnete počítač? Nejprve se řízení přenese na bootovací program, který je uložen v paměti pouze pro čtení (ROM), tzn. PNZ ROM.

Tento program otestuje hardware a pokud jsou testy úspěšné, pokusí se najít disketu v jednotce A:

Každá disketa je označena tzv. sektory a stopy. Sektory se spojují do shluků, ale to pro nás není podstatné.

Mezi sektory je několik služeb, které používá operační systém pro své vlastní potřeby (tyto sektory nemohou obsahovat vaše data). Mezi sektory služeb nás aktuálně zajímá jeden – tzv. boot sektor (boot-sector).

Zaváděcí sektor uchovává informace o disketě – počet povrchů, počet stop, počet sektorů atd. Co nás ale nyní zajímá, není tato informace, ale malý spouštěcí program (BLP), který musí načíst samotný operační systém a přenést na něj řízení.

Takže normální bootstrap schéma je následující:

Nyní se podíváme na virus. Boot viry mají dvě části – tzv. hlava atd. ocas. Ocas, obecně řečeno, může být prázdný.

Předpokládejme, že máte čistou disketu a infikovaný počítač, čímž máme na mysli počítač s aktivním rezidentním virem. Jakmile tento virus zjistí, že se v mechanice objevila vhodná oběť – v našem případě disketa, která není chráněna proti zápisu a dosud nebyla infikována, začne infikovat. Při infikování diskety virus provede následující akce:


  1. alokuje určitou oblast disku a označí ji jako nepřístupnou pro operační systém, lze to provést různými způsoby, v nejjednodušším a tradičním případě jsou sektory obsazené virem označeny jako špatné (špatné)

  2. zkopíruje svůj konec a původní (zdravý) spouštěcí sektor do vybrané oblasti disku

  3. nahradí zaváděcí program v zaváděcím sektoru (ten skutečný) svou hlavou

  4. organizuje řetězec předávání kontroly podle schématu.
Hlava viru je tedy nyní první, kdo obdrží kontrolu, virus se nainstaluje do paměti a přenese kontrolu do původního boot sektoru. V řetězci

PNZ (ROM) - PNZ (disk) - SYSTÉM

objeví se nový odkaz:

PNZ (ROM) - VIRUS - PNZ (disk) - SYSTÉM

Prozkoumali jsme schéma fungování jednoduchého boot viru, který žije v boot sektorech disket. Viry mohou zpravidla infikovat nejen boot sektory disket, ale také boot sektory pevných disků. Navíc na rozdíl od disket má pevný disk dva typy zaváděcích sektorů obsahujících spouštěcí programy, které přijímají řízení. Když se počítač zavede z pevného disku, nejprve převezme řízení spouštěcí program v MBR (Master Boot Record). Pokud je váš pevný disk rozdělen do několika oddílů, pak pouze jeden z nich je označen jako spouštěcí. Spouštěcí program v MBR najde spouštěcí oddíl pevného disku a předá řízení spouštěcímu programu tohoto oddílu. Kód druhého jmenovaného se shoduje s kódem spouštěcího programu obsaženého na běžných disketách a odpovídající zaváděcí sektory se liší pouze v tabulkách parametrů. Na pevném disku jsou tedy dva objekty útoku spouštěcích virů - spouštěcí program v MBR a spouštěcí program v zaváděcím sektoru spouštěcího disku.

Známky viru.


Když je váš počítač napaden virem, je důležité jej detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří mezi ně následující:

  1. zastavení provozu nebo nesprávné fungování dříve úspěšně fungujících programů

  2. pomalý počítač

  3. nemožnost načíst operační systém

  4. zmizení souborů a adresářů nebo poškození jejich obsahu

  5. změna data a času úpravy souboru

  6. změna velikosti souborů

  7. neočekávaný výrazný nárůst počtu souborů na disku

  8. výrazné snížení velikosti volné paměti RAM

  9. Zobrazování neočekávaných zpráv nebo obrázků na obrazovce

  10. vydávat neočekávané zvukové signály

  11. Časté zamrzání a pády v počítači
Je třeba poznamenat, že výše uvedené jevy nejsou nutně způsobeny přítomností viru, ale mohou být výsledkem jiných důvodů. Proto je vždy obtížné správně diagnostikovat stav počítače.
Metody ochrany. Antiviry.

Bez ohledu na virus musí uživatel znát základní metody ochrany před počítačovými viry.

K ochraně před viry můžete použít:


  1. obecné nástroje ochrany informací, které jsou také užitečné jako pojištění proti fyzickému poškození disků, nefunkčnosti programů nebo chybných akcí uživatele;

  2. preventivní opatření ke snížení pravděpodobnosti nákazy virem;

  3. specializované programy pro antivirovou ochranu.

Obecné nástroje pro zabezpečení informací jsou užitečné nejen pro ochranu před viry. Existují dva hlavní typy těchto fondů:


  1. kopírování informací - vytváření kopií souborů a systémových oblastí disků;

  2. kontrola přístupu zabraňuje neoprávněnému použití informací, zejména ochrana před změnami programů a dat viry, nefunkčními programy a chybnými akcemi uživatelů.

Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirus. Existují následující typy antivirových programů:


  1. detektorové programy

  2. doktorské programy nebo fágy

  3. auditní programy

  4. filtrační programy

  5. očkovací nebo imunizační programy
Detekční programy Hledají signaturu charakteristickou pro konkrétní virus v RAM a souborech, a pokud jsou nalezeny, vydají odpovídající zprávu. Nevýhodou těchto antivirových programů je, že mohou najít pouze viry, které jsou známé vývojářům takových programů.

Lékařské programy nebo fágy, a očkovací programy nejen najít soubory infikované viry, ale také je „ošetřit“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce fágové vyhledávají viry v RAM, ničí je a teprve potom přistupují k „čištění“ souborů. Mezi fágy se rozlišují polyfágy, tzn. Lékařské programy určené k vyhledávání a ničení velkého množství virů. Nejznámější z nich: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a jsou vyžadovány pravidelné aktualizace verzí.

Auditorské programy patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru. Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy mají poměrně vyvinuté algoritmy, detekují stealth viry a mohou dokonce vyčistit změny ve verzi kontrolovaného programu od změn provedených virem. Mezi programy auditu patří program Adinf, široce používaný v Rusku.

Filtrovat programy nebo "hlídač" jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, charakteristické pro viry. Takové akce mohou být:


  1. pokusí se opravit soubory s příponami COM, EXE

  2. změna atributů souboru

  3. přímý zápis na disk na absolutní adresu

  4. zápis do boot sektorů disku
Když se jakýkoli program pokusí provést zadané akce, „strážný“ odešle zprávu uživateli a nabídne zákaz nebo povolení příslušné akce. Filtrační programy jsou velmi užitečné, protože jsou schopny detekovat virus v nejranější fázi jeho existence před replikací. Soubory a disky však „nečistí“. Chcete-li zničit viry, musíte použít jiné programy, jako jsou fágy. Mezi nevýhody hlídacích programů patří jejich „dotěrnost“ (například neustále upozorňují na jakýkoli pokus o zkopírování spustitelného souboru) a také možné konflikty s jiným softwarem. Příkladem filtračního programu je program Vsafe, který je součástí obslužného balíku MS DOS.

Vakcíny nebo imunizátory- Jedná se o rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že neovlivní jeho činnost a virus jej bude vnímat jako infikovaný, a proto se nezakoření. V současné době mají očkovací programy omezené použití.

Včasná detekce virem infikovaných souborů a disků a úplné zničení detekovaných virů na každém počítači pomáhá zabránit šíření virové epidemie na další počítače.


Abyste zabránili vystavení počítače virům a zajistili spolehlivé ukládání informací na disky, musíte dodržovat následující pravidla:

  1. vybavte svůj počítač moderními antivirovými programy, jako je Aidstest, Doctor Web, a neustále aktualizujte jejich verze

  2. Před čtením informací uložených na jiných počítačích z disket vždy zkontrolujte, zda tyto diskety neobsahují viry spuštěním antivirových programů vašeho počítače.

  3. Při přenosu souborů v archivované podobě do počítače je naskenujte ihned po rozbalení na pevném disku a omezte oblast skenování pouze na nově nahrané soubory.

  4. po nahrání operačního systému ze systémové diskety chráněné proti zápisu pravidelně kontrolujte pevné disky počítače na přítomnost virů spouštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu

  5. Při práci na jiných počítačích vždy chraňte své diskety proti zápisu, pokud na ně nebudou zapsány informace

  6. Nezapomeňte vytvořit záložní kopie informací, které jsou pro vás cenné, na diskety

  7. neponechávejte diskety v jednotce A, když zapínáte nebo restartujete operační systém, abyste zabránili infikování počítače zaváděcími viry

  8. používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí

  9. Aby byla zajištěna větší bezpečnost, musí být Aidstest a Doctor Web kombinovány s každodenním používáním auditora disku Adinf.

Antivirový program AntiViral Toolkit Pro.

Antivirový program AVP byl vyvinut přední ruskou společností Kaspersky Lab. Program vstoupil na globální trh a je poměrně aktivně prodáván v mnoha zemích.
Po spuštění AVP načte antivirové databáze, testuje RAM na přítomnost rezidentních virů a kontroluje se na virovou infekci. Po úspěšném stažení se ve stavovém řádku zobrazí zpráva " Poslední aktualizace: datum> , množství> viry » , kde je datum poslední aktualizace a počet známých virů (údaje o virech jsou v souborech s příponou .AVC)

Hlavní okno programu obsahuje čtyři položky nabídky:


  1. soubor

  2. skenování virů

  3. servis
pět záložek:

  1. kraj

  2. objektů

  3. akce

  4. nastavení

  5. statistika
tlačítka « P usk" ("Sto P » při skenování disku) a zobrazovací okno "Objekt - výsledek" . Při načítání se automaticky otevře karta "Plocha" (Obr. 1.) Chcete-li zahájit skenování, musíte na kartě vybrat "Plocha" jednotky a/nebo složky, které chcete zkontrolovat, a klepněte na tlačítko « P usk" (nebo položka nabídky "Spustit antivirovou kontrolu" ). Dvojitým kliknutím levým tlačítkem myši na požadovaný objekt můžete vybrat disk a/nebo složky, které chcete zkontrolovat. Chcete-li rychle vybrat disky, musíte zaškrtnout příslušná políčka « L ocal disky » a/nebo "S E disky » a/nebo „Flop A -diskové jednotky » . Pokud chcete vybrat složku ke skenování, musíte stisknout klávesu "Vybrat složku" , po kterém uvidíte standardní dialogové okno Windows 95, ve kterém musíte vybrat název složky, kterou chcete přidat do testovací oblasti. Pokud kliknete na tlačítko „Start“, aniž byste vybrali objekt ke kontrole, AVP zobrazí následující zprávu: Oblast skenování není specifikována. Označte jednotky v záložce "Oblast". Pokud chcete urychleně ukončit testování, klikněte na tlačítko " Stop " nebo vyberte položku nabídky "Zastavit antivirovou kontrolu" .
Tab "předměty" , určuje seznam objektů ke kontrole a typy souborů, které budou testovány.

Na kartě Objekty můžete zaškrtnout následující políčka:


  1. Paměť- povolit proceduru skenování systémové paměti (včetně oblasti vysoké paměti)

  2. Sektory - zahrnout kontrolu systémových sektorů do procedury skenování

  3. Soubory- zahrnout kontrolu souborů do procedury skenování (včetně souborů s atributy Hidden, System, ReadOnly)

  4. Zabalené předměty- povolit Unpack Engine, který rozbalí soubory pro testování
Archiv- povolit Extract Engine, který umožňuje vyhledávat viry v archivech.

"Typ souboru" obsahuje čtyři přepínače:

Programy podle formátu - skenovací programy (formáty Files.com, .exe, .vxd, .dll a Microsoft Office). Při skenování podle formátu jsou tedy kontrolovány všechny soubory, které mohou obsahovat kód viru.

Rozšiřující programy- skenovat všechny soubory s příponou *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.

Všechny soubory- skenovat všechny soubory.

Podle masky- skenování pomocí masky určené uživatelem ve vstupním řádku.


Tab "akce" umožňuje nastavit akce v případě zjištění infikovaných nebo podezřelých objektů během testování.

Karta obsahuje čtyři tlačítka a dvě zaškrtávací políčka.

Na vaši žádost vás program buď pouze informuje o zjištěných virech, ošetří infikovaný objekt po jeho otevření nebo jej ošetří automaticky. Podezřelé objekty lze zkopírovat buď do složky, kterou určíte, nebo do pracovní složky programu.


Tab "Nastavení" umožňuje konfigurovat program pro různé režimy.

Varování – umožňuje další kontrolní mechanismus.

Analyzátor kódu - obsahuje mechanismus schopný detekovat dosud neznámé viry ve zkoumaných objektech.

Redundantní skenování – umožňuje mechanismu pro kompletní kontrolu obsahu souboru. Tento režim se doporučuje povolit, když není detekován virus, ale v provozu počítače jsou pozorovány podivné jevy - zpomalení, časté samovolné restarty atd. V ostatních případech se použití tohoto režimu nedoporučuje, protože při skenování čistých souborů existuje možnost falešných poplachů.




Nastavení umožňuje uživateli zobrazit název kontrolovaného objektu ve sloupci „Objekt“ během kontroly, v okně „Výsledek“ se u názvu objektu objeví zpráva „ok“, pokud je objekt čistý. Můžete také nastavit zvukový signál, který zazní při detekci viru, což je v praxi velmi užitečné, protože proces skenování je poměrně dlouhý a monotónní. Můžete také sledovat sekvenci skenování (zaškrtávací políčko Nahlásit sledování) nebo napište soubor sestavy s uvedením názvu výsledného souboru (zaškrtávací políčko Soubor zpráva). Zaškrtnutím tohoto políčka získá uživatel přístup ke dvěma pomocným zaškrtávacím políčkům:

  1. Přidat- nový přehled bude přidán striktně na konec starého

  2. Omezení velikosti- omezit velikost souboru sestavy na žádost uživatele (ve výchozím nastavení - 500 kB)

Po kontrole zadaných objektů se karta automaticky aktivuje "Statistika"




Tato záložka obsahuje výsledky programu. Karta je rozdělena na dvě části obsahující informace o počtu kontrolovaných objektů, souborů, složek a počtu nalezených virů, varování, poškozených objektů atd.
Databáze podpisů AVP je jednou z největších – nejnovější verze programu obsahuje více než 25 000 virů. Je třeba poznamenat, že práce s programem nezpůsobuje potíže ani nezkušenému uživateli a novou verzi snadno získáte z internetu.

SEZNAM POUŽITÝCH REFERENCÍ


Achmetov K. Kurz mladého bojovníka. Moskva, Computer Press, 1997.
Kaspersky E. Počítačové viry v systému MS-DOS. Moskva, Edel-Renesance, 1992.
PC svět. č. 4,1998.

Charakteristika počítačových virů

Podstata a projev počítačových virů

Rozšířené používání osobních počítačů se bohužel ukázalo být spojeno se vznikem samoreplikujících virových programů, které narušují normální provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači. Jakmile počítačový virus pronikne do jednoho počítače, může se rozšířit na další počítače. Počítačový virus je speciálně napsaný program, který je schopen se spontánně připojovat k jiným programům, vytvářet své kopie a zavádět je do souborů, systémových oblastí počítače a do počítačových sítí, aby narušil činnost programů, poškodil soubory a adresáře a vytvořil všemožné zásahy do práce na počítači Příčiny vzniku a šíření počítačových virů se na jedné straně skrývají v psychologii lidské osobnosti a jejích stinných stránkách (závist, pomstychtivost, ješitnost neznámých tvůrců, neschopnost konstruktivně využívat své schopnosti), na druhé straně kvůli chybějící hardwarové ochraně a protizásahu ze strany operačního systému osobního počítače. chránit před viry, počet nových softwarových virů neustále roste. To vyžaduje, aby uživatel osobního počítače měl znalosti o povaze virů, způsobech napadení viry a ochraně před nimi.Hlavními cestami, kterými se viry dostávají do počítače, jsou výměnné disky (disketové a laserové), stejně jako počítačové sítě . Váš pevný disk se může nakazit viry, když spouštíte počítač z diskety, která obsahuje virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A: a počítač byl restartován, přičemž disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah. Infikovaný disk- toto je disk, v jehož boot sektoru se nachází program - virus Po spuštění programu obsahujícího virus je možné infikovat další soubory. Nejčastěji je virem napaden boot sektor disku a spustitelné soubory s příponami EXE, .COM, SYS nebo BAT. Infikování textových a grafických souborů je extrémně vzácné. Infikovaný program je program, který obsahuje v sobě zabudovaný virový program Když je počítač napaden virem, je velmi důležité jej včas detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří mezi ně následující:
  • zastavení provozu nebo nesprávné fungování dříve úspěšně fungujících programů;
  • pomalý provoz počítače;
  • nemožnost načíst operační systém;
  • zmizení souborů a adresářů nebo poškození jejich obsahu;
  • změna data a času úpravy souboru;
  • změna velikosti souborů;
  • neočekávané výrazné zvýšení počtu souborů na disku;
  • výrazné snížení velikosti volné paměti RAM;
  • zobrazování neočekávaných zpráv nebo obrázků na obrazovce;
  • vydávání neočekávaných zvukových signálů;
  • Časté zamrzání a pády v počítači.
Je třeba poznamenat, že výše uvedené jevy nejsou nutně způsobeny přítomností viru, ale mohou být důsledkem jiných důvodů. Proto je vždy obtížné správně diagnostikovat stav počítače. Hlavní typy virů V současné době je známo více než 5 000 softwaru viry, lze je klasifikovat podle následujících kritérií (obr. 11.10): Obr. 11.10. Klasifikace počítačových virů: a - podle stanoviště; b - způsobem infekce; c - podle stupně nárazu; g - podle vlastností algoritmů, v závislosti z biotopu Viry lze rozdělit na síťové, souborové, spouštěcí a spouštěcí viry. Síťové viry distribuovány v různých počítačových sítích. Souborové viry jsou zasazeny převážně do spustitelných modulů, tzn. do souborů s příponami COM a EXE. Souborové viry mohou být zabudovány do jiných typů souborů, ale zpravidla zapsané v takových souborech nikdy nezískají kontrolu, a proto ztratí schopnost reprodukce. Spouštěcí viry jsou vloženy do spouštěcího sektoru disku (Boot sektor) nebo do sektoru obsahujícího spouštěcí program systémového disku (Master Boot Record). Souborové spouštěcí viry infikovat soubory i spouštěcí sektory disků. Podle způsob infekce viry se dělí na rezidentní a nerezidentní. Rezidentní virus když je počítač infikován (infikován), zanechá svou rezidentní část v paměti RAM, která následně zachytí přístup operačního systému k objektům infekce (soubory, zaváděcí sektory disku atd.) a vloží se do nich. Rezidentní viry jsou uloženy v paměti a jsou aktivní, dokud není počítač vypnut nebo restartován. Nerezidentní viry neinfikují paměť počítače a jsou aktivní po omezenou dobu. stupeň dopadu Viry lze rozdělit do následujících typů:
  • nehazardní, nezasahuje do provozu počítače, ale snižuje množství volné paměti RAM a disku, akce takových virů se projevují v některých grafických nebo zvukových efektech;
  • nebezpečný viry, které mohou vést k různým problémům s vaším počítačem;
  • velmi nebezpečné jehož dopad může vést ke ztrátě programů, zničení dat a vymazání informací v systémových oblastech disku.
Podle vlastnosti algoritmu Viry je obtížné klasifikovat kvůli jejich velké rozmanitosti. Nejjednodušší viry - parazitický, mění obsah souborů a sektorů disku a lze je poměrně snadno detekovat a zničit. Můžete poznamenat replikátorové viry, tzv. červi, kteří se šíří po počítačových sítích, vypočítávají adresy síťových počítačů a na tyto adresy zapisují své kopie. Známý neviditelné viry, volal stealth viry, které je velmi obtížné detekovat a neutralizovat, protože zachycují volání operačního systému na infikované soubory a sektory disku a nahrazují neinfikované oblasti disku na jejich místo. Nejobtížněji detekovatelné jsou mutantní viry, které obsahují šifrovací-dešifrovací algoritmy, díky nimž kopie stejného viru nemají jediný opakující se řetězec bajtů. Existují i ​​tzv. kvazivirové resp "Trojský" programy, které, i když se nemohou samy šířit, jsou velmi nebezpečné, protože, vydávající se za užitečný program, ničí zaváděcí sektor a souborový systém disků.

PROGRAMY PRO DETEKCI A OCHRANU VIRŮ

Charakteristika antivirových programů Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirus. Existují následující typy antivirových programů (obr. 11.11): Detekční programy Hledají sekvenci bajtů (virovou signaturu) charakteristickou pro konkrétní virus v RAM a souborech, a když je najdou, vydají odpovídající zprávu. Nevýhodou takového antiviru pro-Obr. 11.11. Typy antivirových programů
gram je, že mohou najít pouze viry, které znají vývojáři takových programů. Lékařské programy nebo fágy, a očkovací programy nejen najít soubory infikované viry, ale také je „ošetřit“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce fágové vyhledávají viry v RAM, ničí je a teprve potom přistupují k „čištění“ souborů. Mezi fágy jsou polyfágy, těch. Lékařské programy určené k vyhledávání a ničení velkého množství virů. Nejznámějšími polyfágy jsou programy Aidstest , Skenování, Norton AntiVirus a Doctor Web . Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a je nutné pravidelně aktualizovat jejich verze. Program auditora patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce videomonitoru. Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy mají poměrně vyvinuté algoritmy, detekují stealth viry a dokážou dokonce rozlišit změny ve verzi kontrolovaného programu od změn provedených virem. Mezi auditní programy patří v Rusku hojně využívaný program Adinf od Dialog-Science. Filtrovat programy nebo "hlídač" jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, charakteristické pro viry. Takové akce mohou být:
  • pokusy o opravu souborů s příponami COM a EXE;
  • změna atributů souboru;
  • přímý zápis na disk na absolutní adresu;
  • zápis do boot sektorů disku.
Když se jakýkoli program pokusí provést zadané akce, „hlídač“ odešle zprávu uživateli a nabídne zákaz nebo povolení příslušné akce. Filtrační programy jsou velmi užitečné, protože jsou schopny detekovat virus v nejranější fázi jeho existence před replikací. Soubory a disky však „nečistí“. Chcete-li zničit viry, musíte použít jiné programy, jako jsou fágy. Mezi nevýhody hlídacích programů patří jejich „dotěrnost“ (například neustále upozorňují na jakýkoli pokus o zkopírování spustitelného souboru) a také možné konflikty s jiným softwarem. Příkladem filtračního programu je program Vsafe, součástí balíku utilit pro operační systém MS DOS. Vakcíny nebo imunizátory- Jedná se o rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že neovlivní jeho činnost a virus jej bude vnímat jako infikovaný, a proto se nezakoření. V současné době mají očkovací programy omezené použití.Včasná detekce virem infikovaných souborů a disků a úplné zničení detekovaných virů na každém počítači pomáhá zabránit šíření virové epidemie na další počítače. Antivirová sada JSC "Dialog-Science" Mezi množstvím moderních softwarových nástrojů pro boj s počítačovými viry by měla být dána přednost antivirové sadě společnosti Dialog-Science JSC, která zahrnuje čtyři softwarové produkty: Polyfágy Aidstest a Doctor Web (zkráceně Dr.Web), auditor disku ADinf a ošetřovací jednotka ADinf Cure Module. Pojďme se krátce podívat, jak a kdy tyto antivirové programy používat. Polyfágový program AIDStest . Aidstest - Jedná se o program, který dokáže odhalit a zničit více než 1300 počítačových virů, které jsou nejrozšířenější v Rusku. Verze Aidstest jsou pravidelně aktualizovány a doplňovány informacemi o nových virech. Zavolat Aidstest měli byste zadat příkaz: AIDSTEST []kde cesta je název jednotky, úplný název nebo specifikace souboru, maska ​​skupiny souborů:* - ​​všechny oddíly pevného disku,** - všechny jednotky, včetně síťových a jednotek CD ROM; options - libovolná kombinace následujících klíčů: /F - opravit infikované programy a vymazat poškozené; /G - skenovat všechny soubory v řadě (nejen COM, EXE a SYS); /S - pomalá práce při hledání poškozených virů; /X - vymazat všechny soubory s porušením struktury virus; /Q - požádat o povolení smazat poškozené soubory; /B - nenabízet zpracování další diskety. Příklad 11.27 Aidstest zkontrolovat a „ošetřit“ disk V:. Zjištěné infikované programy budou opraveny. Všechny soubory na disku podléhají kontrole. Pokud soubor nelze opravit, program požádá o povolení k jeho odstranění: aidstest b: /f/g/q Polyfágový program Doctor Web. Tento program je určen především pro boj s polymorfními viry, které se v počítačovém světě objevily relativně nedávno. Používání Dr. Web skenovat disky a odstraňovat detekované viry, obecně podobné programu Aidstest. V tomto případě prakticky nedochází k duplicitě kontrol, protože Aidstest A Dr.Web pracovat na různých sadách virů. Program Dr.Web dokáže účinně bojovat se složitými mutantními viry, které jsou mimo možnosti programu Aidstest. Na rozdíl od Aidstest program Dr.Web je schopen detekovat změny ve vlastním programovém kódu, efektivně identifikovat soubory infikované novými, neznámými viry, proniknout do zašifrovaných a zabalených souborů a také překonat „očkovací krytí“. Toho je dosaženo díky přítomnosti poměrně výkonného heuristického analyzátoru. V režimu heuristické analýzy program Dr.Web zkoumá soubory a systémové oblasti disků a snaží se detekovat nové nebo neznámé viry pomocí sekvencí kódů charakteristických pro viry. Pokud je nějaký nalezen, zobrazí se varování, že objekt může být infikován neznámým virem.K dispozici jsou tři úrovně heuristické analýzy. V režimu heuristické analýzy jsou možné falešně pozitivní výsledky, tj. detekce souborů, které nejsou infikované. Úroveň "heuristiky" znamená úroveň analýzy kódu bez přítomnosti falešných poplachů. Čím vyšší je úroveň heuristiky, tím vyšší je procento chyb nebo falešných poplachů. Doporučeny jsou první dvě úrovně heuristického analyzátoru, třetí úroveň heuristické analýzy umožňuje dodatečnou kontrolu souborů na „podezřelou“ dobu jejich vytvoření. Některé viry při infikování souborů nastavují nesprávný čas vytvoření, což znamená, že soubory jsou infikovány. Například u infikovaných souborů mohou být sekundy 62 a rok vytvoření může být zvýšen o 100 let. Zahrnuto v antivirovém programu Dr.Web může také zahrnovat doplňkové soubory do hlavní virové databáze programu, čímž se rozšíří jeho možnosti. Práce s programem Dr. Web možné ve dvou režimech:
  • v režimu rozhraní na celou obrazovku pomocí nabídek a dialogových oken;
  • v režimu ovládání příkazového řádku.
Pro jednorázové nepravidelné použití je výhodnější první režim, ale pro pravidelné používání pro účely systematické vstupní kontroly disket je lepší použít druhý režim. Při použití druhého režimu odpovídající příkaz start Dr. Web musí být obsažen buď v uživatelské nabídce operačního shellu Norton Commander, nebo ve speciálním dávkovém souboru Příkazový řádek pro spuštění Dr. Web vypadá takto: DrWeb [jednotka: [cesta] ] [klíče] kde jednotka:X: - logické zařízení pevného disku nebo fyzické zařízení diskety, například F: nebo A:, * - vše logické zařízení na pevném disku, cesta - jedná se o cestu nebo masku požadovaných souborů Nejdůležitější klíče: /AL - diagnostika všech souborů na daném zařízení; /CU[P] - „dezinfekce“ disků a souborů, odstranění detekovaných virů; P - odstranění virů s potvrzením uživatele; /DL - odstranění souborů, u kterých není možné správné ošetření; /NA[level] - heuristická analýza souborů a hledání neznámých virů v nich, kam se úroveň může dostat hodnoty ​​0, 1, 2; /RP[název souboru] - záznam pracovního protokolu do souboru (standardně v souboru REPORT. WEB);/CL - spuštění programu v režimu příkazového řádku; při testování souborů a systémových oblastí , celoobrazovkové rozhraní se nepoužívá;/QU - ukončení do DOSu ihned po testování;/? - zobrazení stručné nápovědy na obrazovce Pokud není na příkazovém řádku Dr.Web uvedena žádná klávesa, pak se všechny informace pro aktuální spuštění načtou z konfiguračního souboru DRWEB.INI, který se nachází ve stejném adresáři jako soubor DRWEB.EXE . Konfigurační soubor se vytváří při práci s programem Dr.Web pomocí příkazu uložíte parametry potřebné pro testování. Příklad 11.28. Spuštění antivirového programu Dr.Web pro kontrolu a ošetření disku V:. Zjištěné infikované soubory budou „vyléčeny“. Všechny soubory na disku podléhají kontrole. Pokud soubor nelze „vyléčit“, program požádá o povolení jej smazat. Pro vyhledávání virů by měla být použita heuristická analýza úrovně 1. Program by měl být spuštěn pouze v režimu příkazového řádku s ukončením DOS po dokončení testování: DrWeb In: /AL /CUP /HA1 /QU / CL Technologie pro práci s programem Dr. Web v režimu rozhraní celé obrazovky. Pro spuštění v režimu rozhraní na celou obrazovku stačí do příkazového řádku zadat pouze název programu. Ihned po načtení programu začne testování paměti RAM počítače, pokud nebyla zakázána předchozím nastavením. Průběh testování se zobrazuje v testovacím okně. Jakmile je test paměti dokončen, zastaví se. Pokud použijete hlavní nabídku umístěnou na horním řádku obrazovky, můžete pokračovat ve spuštění programu. Pro aktivaci menu stiskněte klávesu .Hlavní nabídka obsahuje následující režimy: Nastavení Dr.WebTest Doplňky Když vyberete jakýkoli režim, otevře se odpovídající podnabídka. Dr.Web umožňuje dočasně ukončit DOS, získat stručné informace o programu Dr.Web a jeho autorovi nebo program opustit Podnabídka Test umožňuje provádět základní operace testování a dezinfekce souborů a disků a prohlížet zprávy o provedené akce Podnabídka Nastavení slouží k instalaci pomocí dialogových oken pro nastavení programu, nastavení vyhledávacích cest a masek a uložení parametrů do konfiguračního souboru DRWEB.INI Pro připojení doplňkových souborů k hlavní virové databázi programu rozbalení jeho schopnosti, režim Doplňky.Anti-Virus Disk Auditor ADinf. Inspektor ADinf vám umožňuje detekovat výskyt jakéhokoli viru, včetně virů stealth, mutantních virů a aktuálně neznámých virů. Program ADinf vzpomíná:
  • informace o boot sektorech;
  • informace o neúspěšných klastrech;
  • délka a kontrolní součty souborů;
  • datum a čas vytvoření souborů.
Po celou dobu provozu počítače program ADinf sleduje zachování těchto vlastností. V režimu denního ovládání ADinf spustí se automaticky každý den při prvním zapnutí počítače. Změny podobné virům jsou zvláště monitorovány a je vydáváno okamžité varování. Kromě sledování integrity souborů ADinf sleduje vytváření a mazání podadresářů, vytváření, mazání, přesun a přejmenování souborů, vznik nových neúspěšných clusterů, bezpečnost boot sektorů a mnoho dalšího. Všechna možná místa pro vstup viru do systému jsou blokována. Adinf kontroluje disky bez použití DOSu, čte je sektor po sektoru přímým přístupem do BIOSu. Díky tomuto způsobu ověřování ADinf detekuje maskované stealth viry a poskytuje vysokorychlostní skenování disku. Léčebný blok ADinfCure Module. Modul ADinfCure - jedná se o program, který pomáhá „vyléčit“ váš počítač před novým virem, aniž byste museli čekat na nejnovější verze Aidstest nebo Dr.Web, komu bude tento virus znám. Program Modul ADinfCure využívá skutečnosti, že navzdory obrovské rozmanitosti virů existuje jen velmi málo různých metod pro jejich vkládání do souborů. Při běžném provozu, kdy je Adinf auditor pravidelně spouštěn, hlásí ADinf Cure Module o tom, které soubory se od posledního spuštění změnily. Adinf Cure Module analyzuje tyto soubory a do svých tabulek zaznamenává informace, které mohou být potřebné k obnovení souboru, pokud je infikován virem. Pokud dojde k infekci, ADinf zaznamená změny a zavolá znovu Adinf Cure Module, který se na základě analýzy infikovaného souboru a jeho porovnání se zaznamenanými informacemi pokusí obnovit původní stav souboru. Základní opatření k ochraně před viry Abyste zabránili vystavení počítače virům a zajistili spolehlivé ukládání informací na disky, musíte dodržovat následující pravidla:
  • vybavte svůj počítač aktuálním antivirovým softwarem, jako je např Aidstest nebo Doktor Web, a neustále aktualizovat jejich verze;
  • Před čtením informací zaznamenaných na jiných počítačích z disket vždy zkontrolujte, zda tyto diskety neobsahují viry spuštěním antivirových programů na vašem počítači;
  • při přenosu souborů v archivované podobě do počítače je zkontrolujte ihned po rozbalení na pevném disku a omezte oblast skenování pouze na nově nahrané soubory;
  • pravidelně kontrolujte pevné disky vašeho počítače na výskyt virů spouštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu, po načtení operačního systému také ze systémové diskety chráněné proti zápisu;
  • Při práci na jiných počítačích vždy chraňte své diskety před zápisem, pokud na ně nebudou zaznamenány informace;
  • nezapomeňte vytvořit záložní kopie informací, které jsou pro vás cenné, na diskety;
  • nenechávejte diskety v kapse jednotky A: při zapínání nebo restartu operačního systému, abyste zabránili napadení počítače zaváděcími viry;
  • používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí;
  • aby byla zajištěna větší bezpečnost používání Aidstest A Doktor Web musí být kombinováno s každodenním používáním nástroje Disk Auditor ADinf.


Související publikace