Čo sa stane, keď infikovaný program začne fungovať. Počítačové vírusy. Čo je počítačový vírus
Počítačový vírus je malý program špeciálne napísaný na to, aby infikoval iné programy (t. j. „pripísal“ sa im) a vykonával v počítači nežiaduce akcie rôznych typov. Infikovaný program je program s vírusom vo vnútri. Keď takýto program začne fungovať, vírus spočiatku prevezme kontrolu. Počítačové vírusy nachádzajú a infikujú iné programy a tiež vykonávajú najrôznejšie škodlivé akcie (napríklad poškodzujú tabuľku súborov na pevnom disku alebo samotné súbory, upchávajú RAM atď.).
Počas maskovania vírus nevykonáva vždy žiadne akcie, aby infikoval iné programy a spôsobil im škodu, a keď sa na počítači vykonajú určité akcie, vírus môže začať svoju prácu. Po vykonaní potrebných manipulácií vírus odovzdá riadenie programu, v ktorom sa nachádza, a tento program pokračuje v práci ako obvykle. Takže navonok sa práca infikovaného programu nijako neprejavuje a vyzerá, že nie je infikovaná.
Mnoho typov vírusov je navrhnutých tak, že pri spustení infikovaného programu vírus zostáva rezidentný v pamäti počítača (až do reštartu operačného systému) a ak je to možné, infikuje spustené programy alebo vykonáva škodlivé akcie v počítači.
Všetky akcie vírusu sa vykonávajú pomerne rýchlo, bez vydávania predbežných správ, takže používateľ si nemusí všimnúť, že sa na jeho počítači deje niečo neobvyklé. Keď je v počítači infikovaný malý počet programov, prítomnosť vírusu môže byť takmer neviditeľná. Po chvíli sa však na počítači začne diať niečo zvláštne, napríklad:
- niektoré programy začnú pracovať nesprávne alebo prestanú fungovať úplne;
- na obrazovke sa objavujú cudzie znaky, správy atď.;
- Počítač sa výrazne spomalí;
- niektoré súbory sa ukážu ako poškodené atď.
V tomto čase je spravidla väčšina programov, ktoré používate, infikovaná vírusom a niektoré disky a súbory sú poškodené. Okrem toho infikované programy už mohli byť prenesené z vášho počítača do iných počítačov cez sieť alebo externé médium.
Niektoré počítačové vírusy a ich varianty sú ešte zákernejšie. Potichu infikujú veľké množstvo programov naraz a potom spôsobia dosť vážne škody, napríklad naformátujú celý pevný disk v počítači. A existujú počítačové vírusy, ktoré sa snažia správať tak nenápadne, ako je to len možné, ale postupne a postupne poškodzujú údaje uložené na pevnom disku počítača.
Zo všetkého vyššie uvedeného vyplýva, že ak neprijmete opatrenia na ochranu pred vírusmi, následky infikovaného počítača budú veľmi vážne. Napríklad v roku 1989 americký študent Morris napísal vírus, ktorý infikoval a znefunkčnil tisíce počítačov vrátane tých, ktoré patrili americkému ministerstvu obrany. Súd uložil autorovi vírusu pokutu 270 000 dolárov a odsúdil ho na tri mesiace väzenia. Trest mohol byť prísnejší, no súd zohľadnil fakt, že vírus sa len množil a nestihol pokaziť dáta.
Vírusový program má malú veľkosť, a preto je neviditeľný. Niektorí autori vytvárajú takéto programy zo škodoradosti, iní - snažia sa niekomu ublížiť alebo získať prístup k informáciám alebo počítačovým zdrojom. V každom prípade sa vytvorený vírusový program môže rozšíriť na všetky počítače kompatibilné s tým, pre ktorý bol napísaný a spôsobiť veľmi veľké zničenie.
Treba poznamenať, že napísanie vírusu nie je taká náročná úloha a je celkom prístupná pre študenta, ktorý študuje programovanie. Na internete sa preto každým dňom objavuje stále viac nových počítačových vírusov.
(9 hlasov)
Počítačové vírusy
Počítačový vírus - pojem a klasifikácia.
Počítačový vírus je špeciálne napísaný program malej veľkosti (t. j. určitá množina spustiteľného kódu), ktorý sa môže „pripísať“ iným programom („infikovať“ ich), vytvárať svoje kópie a vkladať ich do súborov, systémových oblastí počítača , atď. .d. a tiež vykonávať rôzne nechcené akcie na počítači.
Program obsahujúci vírus sa nazýva „infikovaný“. Keď takýto program začne fungovať, vírus najprv prevezme kontrolu. Vírus nájde a „infikuje“ iné programy a tiež vykoná niektoré škodlivé akcie (napríklad poškodí súbory alebo tabuľku prideľovania súborov na disku, „upchá“ RAM atď.). Ak chcete zamaskovať vírus, akcie na infikovanie iných programov a spôsobenie škody sa nemusia vykonať vždy, ale povedzme, keď sú splnené určité podmienky.
Napríklad vírus Anti-MIT zničí každý rok 1. decembra všetky informácie na pevnom disku, vírus Tea Time znemožňuje zadávať informácie z klávesnice od 15:10 do 15:13 a známy One Half, ktorý má „prechádzky“ po našom meste počas minulého roka, potichu šifruje údaje na vašom pevnom disku. V roku 1989 sa americkému študentovi podarilo vytvoriť vírus, ktorý znefunkčnil približne 6000 počítačov amerického ministerstva obrany. Epidémia známeho vírusu Dir-II vypukla v roku 1991. Vírus využíval skutočne originálnu, zásadne novú technológiu a spočiatku sa mu podarilo rozšíriť vďaka nedokonalosti tradičných antivírusových nástrojov. Christopherovi Pyneovi sa podarilo vytvoriť vírusy Pathogen a Queeq, ako aj vírus Smeg. Práve ten posledný bol najnebezpečnejší, mohol byť superponovaný na prvé dva vírusy, a preto po každom spustení programu menili konfiguráciu. Preto ich nebolo možné zničiť. Na šírenie vírusov Pine skopíroval počítačové hry a programy, infikoval ich a potom ich poslal späť do siete. Používatelia si stiahli infikované programy do svojich počítačov a infikovali ich disky. Situáciu zhoršila skutočnosť, že Pine dokázal zaviesť vírusy do programu, ktorý s nimi bojuje. Jeho spustením používatelia namiesto ničenia vírusov dostali ďalší. V dôsledku toho boli súbory mnohých spoločností zničené, čo spôsobilo straty vo výške miliónov libier.
Americký programátor Morris sa stal všeobecne známym. Je známy ako tvorca vírusu, ktorý v novembri 1988 infikoval asi 7 tisíc osobných počítačov pripojených na internet.
Prvé štúdie samoreprodukujúcich sa umelých štruktúr sa uskutočnili v polovici tohto storočia. Termín "počítačový vírus"
sa objavil až neskôr – oficiálne sa za jeho autora považuje pracovník Lehigh University (USA) F. Cohena v roku 1984 na siedmej konferencii o informačnej bezpečnosti.
Odborníci sa domnievajú, že dnes počet existujúcich vírusov prekročil 20 tisíc, pričom každý deň sa objaví 6 až 9 nových. V súčasnosti existuje asi 260 „divokých“, teda skutočne cirkulujúcich vírusov.
Jeden z najuznávanejších „virológov“ v krajine, Evgeny Kaspersky, navrhuje podmienečne klasifikovať vírusy podľa nasledujúcich kritérií:
podľa biotopu vírusu
podľa spôsobu infekcie biotopu
podľa deštruktívnych možností
podľa charakteristík vírusového algoritmu.
Podrobnejšia klasifikácia v rámci týchto skupín môže byť prezentovaná takto:
siete |
šíri cez počítačovú sieť |
||
Habitat: |
súbor |
vložené do spustiteľných súborov |
|
boot |
sú vložené do boot sektora disku (Boot sektor) |
||
Metódy |
rezident |
sú v pamäti, aktívne, kým sa počítač nevypne |
|
infekcie: |
nie tunajší, cezpoľný |
neinfikujú pamäť, sú aktívne na obmedzený čas |
|
neškodný |
prakticky neovplyvňujú prácu; znížiť voľné miesto na disku v dôsledku ich rozšírenia |
||
Deštruktívne |
nie je nebezpečný |
znížiť voľnú pamäť, vytvoriť zvukové, grafické a iné efekty |
|
možnosti: |
nebezpečné |
môže viesť k vážnym poruchám |
|
veľmi nebezpečné |
môže viesť k strate programov alebo systémových údajov |
||
„satelitné“ vírusy |
vírusy, ktoré nemenia súbory, vytvárajú satelitné súbory pre súbory EXE s príponou COM |
||
červí vírusy |
šíria po sieti, posielajú svoje kópie, vypočítavajú sieťové adresy |
||
Zvláštnosti |
"študent" |
primitívne, obsahujú veľké množstvo chýb |
|
vírus: |
stealth vírusy (neviditeľný) |
zachytiť volania DOS na infikované súbory alebo sektory a nahradiť neinfikované oblasti na ich mieste |
|
duchovné vírusy |
nemajú jediný trvalý kód, je ťažké ich odhaliť, hlavné telo vírusu je zašifrované |
||
makrovírusy |
sú napísané nie v strojových kódoch, ale vo WordBasic, žijú v dokumentoch Word, prepisujú sa v Normal.dot |
Hlavnými spôsobmi, akými vírusy vstupujú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Pevný disk sa môže infikovať vírusmi pri načítaní programu z diskety, ktorá obsahuje vírus. Takáto infekcia môže byť aj náhodná, napríklad ak disketa nebola vybratá z jednotky A a počítač bol reštartovaný a disketa nemusí byť systémová. Je oveľa jednoduchšie infikovať disketu. Vírus sa naň môže dostať aj vtedy, ak sa disketa jednoducho vloží do diskovej jednotky infikovaného počítača a napríklad sa prečíta jej obsah.
Ako funguje vírus.
Pozrime sa na fungovanie veľmi jednoduchého boot vírusu, ktorý infikuje diskety.
Čo sa stane, keď zapnete počítač? Najprv sa riadenie prenesie do zavádzacieho programu, ktorý je uložený v pamäti iba na čítanie (ROM), t.j. PNZ ROM.
Tento program otestuje hardvér a ak sú testy úspešné, pokúsi sa nájsť disketu v jednotke A:
Každá disketa je označená tzv. sektory a stopy. Sektory sa spájajú do zhlukov, ale to pre nás nie je podstatné.
Medzi sektormi je niekoľko sektorov, ktoré používa operačný systém pre svoje potreby (tieto sektory nemôžu obsahovať vaše údaje). Spomedzi sektorov služieb nás momentálne zaujíma jeden – tzv. boot sektor (boot-sector).
V boot sektore sú uložené informácie o diskete - počet povrchov, počet skladieb, počet sektorov atď. Čo nás však teraz zaujíma nie je táto informácia, ale malý bootovací program (BLP), ktorý musí načítať samotný operačný systém a preniesť naň riadenie.
Takže normálna bootstrap schéma je nasledovná:
Teraz sa pozrime na vírus. Boot vírusy majú dve časti – tzv. hlavu atď. chvost. Chvost môže byť vo všeobecnosti prázdny.
Predpokladajme, že máte čistú disketu a infikovaný počítač, čím myslíme počítač s aktívnym rezidentným vírusom. Akonáhle tento vírus zistí, že sa v mechanike objavila vhodná obeť – v našom prípade disketa, ktorá nie je chránená proti zápisu a ešte nebola infikovaná, začne infikovať. Pri infikovaní diskety vírus vykoná nasledujúce akcie:
pridelí určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, dá sa to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé (zlé)
skopíruje svoj chvost a pôvodný (zdravý) zavádzací sektor do vybranej oblasti disku
nahradí zavádzací program v zavádzacom sektore (ten skutočný) svojou hlavou
organizuje reťaz prenosu kontroly podľa schémy.
PNZ (ROM) - PNZ (disk) - SYSTÉM
objaví sa nový odkaz:
PNZ (ROM) - VÍRUS - PNZ (disk) - SYSTÉM
Preskúmali sme schému fungovania jednoduchého zavádzacieho vírusu, ktorý žije v zavádzacích sektoroch diskiet. Vírusy môžu spravidla infikovať nielen boot sektory diskiet, ale aj boot sektory pevných diskov. Navyše na rozdiel od diskiet má pevný disk dva typy zavádzacích sektorov obsahujúcich zavádzacie programy, ktoré dostávajú kontrolu. Keď sa počítač zavedie z pevného disku, najprv prevezme kontrolu zavádzací program v MBR (Master Boot Record). Ak je váš pevný disk rozdelený na niekoľko oddielov, iba jeden z nich je označený ako zavádzací. Zavádzací program v MBR nájde zavádzaciu oblasť pevného disku a prenesie riadenie na zavádzací program tejto oblasti. Kód tohto sa zhoduje s kódom zavádzacieho programu na bežných disketách a príslušné zavádzacie sektory sa líšia iba v tabuľkách parametrov. Na pevnom disku sú teda dva objekty útoku zavádzacích vírusov - zavádzací program v MBR a zavádzací program v zavádzacom sektore zavádzacieho disku.
Známky vírusu.
Keď je váš počítač infikovaný vírusom, je dôležité ho odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch vírusov. Patria sem nasledujúce položky:
zastavenie prevádzky alebo nesprávne fungovanie predtým úspešne fungujúcich programov
pomalý počítač
nemožnosť načítať operačný systém
zmiznutie súborov a adresárov alebo poškodenie ich obsahu
zmena dátumu a času úpravy súboru
zmena veľkosti súborov
neočakávané výrazné zvýšenie počtu súborov na disku
výrazné zníženie veľkosti voľnej pamäte RAM
Zobrazovanie neočakávaných správ alebo obrázkov na obrazovke
vydáva neočakávané zvukové signály
Časté zamrznutie a pády v počítači
Metódy ochrany. Antivírusy.
Bez ohľadu na vírus musí používateľ poznať základné metódy ochrany pred počítačovými vírusmi.
Na ochranu pred vírusmi môžete použiť:
všeobecné nástroje na ochranu informácií, ktoré sú užitočné aj ako poistenie proti fyzickému poškodeniu diskov, nefunkčnosti programov alebo chybným zásahom používateľa;
preventívne opatrenia na zníženie pravdepodobnosti nákazy vírusom;
špecializované programy na ochranu pred vírusmi.
Všeobecné nástroje zabezpečenia informácií sú užitočné nielen na ochranu pred vírusmi. Existujú dva hlavné typy týchto fondov:
kopírovanie informácií - vytváranie kópií súborov a systémových oblastí diskov;
kontrola prístupu zabraňuje neoprávnenému použitiu informácií, najmä ochrana pred zmenami programov a údajov vírusmi, nefunkčnými programami a chybným konaním používateľa.
Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a ničiť vírusy. Takéto programy sú tzv antivírus. Existujú nasledujúce typy antivírusových programov:
detektorové programy
doktorské programy alebo fágy
programy auditu
filtračné programy
očkovacie alebo imunizačné programy
Lekárske programy alebo fágy, a očkovacie programy súbory infikované vírusmi nielen nájsť, ale aj „liečiť“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „čistení“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. Lekárske programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a vyžadujú sa pravidelné aktualizácie verzií.
Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Porovnávanie stavov sa spravidla vykonáva ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú dostatočne vyvinuté algoritmy, detegujú stealth vírusy a dokonca dokážu vyčistiť zmeny vo verzii kontrolovaného programu od zmien vykonaných vírusom. Medzi programy auditu patrí program Adinf, ktorý sa v Rusku bežne používa.
Filtrovať programy alebo "strážca" sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, charakteristické pre vírusy. Takéto akcie môžu byť:
sa pokúša opraviť súbory s príponami COM, EXE
zmena atribútov súboru
priamy zápis na disk na absolútnu adresu
zápis do zavádzacích sektorov disku
Vakcíny alebo imunizátory- Toto sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní jeho činnosť a vírus ho bude vnímať ako infikovaný, a preto sa nezakorení. V súčasnosti majú očkovacie programy obmedzené využitie.
Včasná detekcia súborov a diskov infikovaných vírusmi a úplné zničenie zistených vírusov na každom počítači pomáha zabrániť šíreniu vírusovej epidémie na ďalšie počítače.
Aby ste predišli vystaveniu počítača vírusom a zabezpečili spoľahlivé ukladanie informácií na disky, musíte dodržiavať nasledujúce pravidlá:
vybavte svoj počítač modernými antivírusovými programami, ako sú Aidstest, Doctor Web a neustále aktualizujte ich verzie
Pred čítaním informácií uložených na iných počítačoch z diskiet vždy skontrolujte, či tieto diskety neobsahujú vírusy spustením antivírusových programov vášho počítača.
Pri prenose súborov v archivovanej forme do počítača ich naskenujte ihneď po ich rozbalení na pevnom disku, čím obmedzíte oblasť skenovania len na novo zaznamenané súbory
pravidelne kontrolujte pevné disky vášho počítača na prítomnosť vírusov spustením antivírusových programov na testovanie súborov, pamäte a systémových oblastí diskov z diskety chránenej proti zápisu po načítaní operačného systému zo systémovej diskety chránenej proti zápisu
Pri práci na iných počítačoch vždy chráňte svoje diskety proti zápisu, pokiaľ na ne nebudú zapísané informácie
Nezabudnite si vytvoriť záložné kópie informácií, ktoré sú pre vás cenné, na diskety
nenechávajte diskety vo vrecku pri zapnutí alebo reštartovaní operačného systému, aby ste zabránili infikovaniu počítača zavádzacími vírusmi
používať antivírusové programy na kontrolu vstupu všetkých spustiteľných súborov prijatých z počítačových sietí
Pre zaistenie vyššej bezpečnosti je potrebné Aidstest a Doctor Web kombinovať s každodenným používaním Adinf disku audítora.
Antivírusový program AntiViral Toolkit Pro.
Antivírusový program AVP bol vyvinutý poprednou ruskou spoločnosťou Kaspersky Lab. Program vstúpil na svetový trh a pomerne aktívne sa predáva v mnohých krajinách.
Po spustení AVP načíta antivírusové databázy, testuje RAM na prítomnosť rezidentných vírusov a kontroluje sa na vírusovú infekciu. Po úspešnom stiahnutí sa v stavovom riadku zobrazí správa " Posledná aktualizácia:
dátum> ,
množstvo> vírusy »
, kde je dátum poslednej aktualizácie a počet známych vírusov (údaje o vírusoch sú v súboroch s príponou .AVC)
Hlavné okno programu obsahuje štyri položky ponuky:
súbor
vírusová kontrola
služby
regiónu
predmety
akcie
nastavenie
štatistiky
Tab "predmety" , určuje zoznam objektov, ktoré sa majú kontrolovať, a typy súborov, ktoré sa budú testovať.
Na karte Objekty môžete začiarknuť nasledujúce políčka:
Pamäť- povoliť procedúru skenovania systémovej pamäte (vrátane oblasti vysokej pamäte)
Sektory - zahrnúť kontrolu systémových sektorov do postupu skenovania
Súbory- zahrnúť kontrolu súborov do procedúry kontroly (vrátane súborov s atribútmi Hidden, System, ReadOnly)
Zabalené predmety- povoliť Unpack Engine, ktorý rozbalí súbory na testovanie
"Typ súboru" obsahuje štyri prepínače:
Programy podľa formátu - skenovacie programy (formáty Files.com, .exe, .vxd, .dll a Microsoft Office). Pri skenovaní podľa formátu sa teda kontrolujú všetky súbory, ktoré môžu obsahovať vírusový kód.
Rozširujúce programy- skenovať všetky súbory s príponou *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.
Všetky súbory- skenovať všetky súbory.
Podľa masky- skenovanie pomocou masky špecifikovanej používateľom vo vstupnom riadku.
Tab "akcie" umožňuje nastaviť akcie v prípade zistenia infikovaných alebo podozrivých objektov počas testovania.
Karta obsahuje štyri tlačidlá a dve začiarkavacie políčka.
Na vašu žiadosť vás program buď len informuje o zistených vírusoch, infikovaný objekt ošetrí po jeho otvorení, alebo ho ošetrí automaticky. Podozrivé objekty je možné skopírovať buď do priečinka, ktorý určíte, alebo do pracovného priečinka programu.
Tab "Nastavenie" umožňuje konfigurovať program pre rôzne režimy.
Varovania – umožňuje dodatočný kontrolný mechanizmus.
Analyzátor kódu - obsahuje mechanizmus schopný detekovať zatiaľ neznáme vírusy v skúmaných objektoch.
Redundantné skenovanie – umožňuje mechanizmu úplne skenovať obsah súboru. Tento režim sa odporúča povoliť, keď nie je zistený vírus, ale v prevádzke počítača sú pozorované zvláštne javy - spomalenia, časté spontánne reštarty atď. V ostatných prípadoch sa používanie tohto režimu neodporúča, pretože pri skenovaní čistých súborov existuje možnosť falošných poplachov.
Nastavenia umožňujú užívateľovi zobraziť názov kontrolovaného objektu v stĺpci „Objekt“ počas kontroly, v okne „Výsledok“ sa oproti názvu objektu zobrazí hlásenie „ok“, ak je objekt čistý. Môžete tiež nastaviť zvukový signál, ktorý zaznie pri detekcii vírusu, čo je v praxi veľmi užitočné, pretože proces skenovania je pomerne dlhý a monotónny. Môžete tiež sledovať postupnosť skenovania (zaškrtávacie políčko Nahlásiť sledovanie) alebo napíšte súbor s prehľadom a uveďte názov výsledného súboru (zaškrtávacie políčko Súbor správa). Zaškrtnutím tohto políčka získa používateľ prístup k dvom pomocným začiarkavacím políčkam:
Pridať- nový prehľad bude pridaný presne na koniec starého
Obmedzenie veľkosti- obmedziť veľkosť súboru s prehľadom na žiadosť používateľa (štandardne - 500 kilobajtov)
Po kontrole zadaných objektov sa karta automaticky aktivuje "štatistika"
Táto karta obsahuje výsledky programu. Karta je rozdelená na dve časti obsahujúce informácie o počte kontrolovaných objektov, súborov, priečinkov a počte nájdených vírusov, varovaní, poškodených objektov atď.
Databáza podpisov AVP je jednou z najväčších – najnovšia verzia programu obsahuje viac ako 25 000 vírusov. Treba poznamenať, že práca s programom nespôsobuje ťažkosti ani neskúsenému používateľovi a novú verziu môžete ľahko získať z internetu.
ZOZNAM POUŽITÝCH REFERENCIÍ
Achmetov K. Kurz mladého bojovníka. Moskva, Computer Press, 1997.
Kaspersky E. Počítačové vírusy v systéme MS-DOS. Moskva, Edel-Renesancia, 1992.
PC svet. č. 4,1998.
Charakteristika počítačových vírusov
Podstata a prejav počítačových vírusov
Široké používanie osobných počítačov, žiaľ, sa ukázalo byť spojené so vznikom samoreprodukujúcich sa vírusových programov, ktoré narúšajú normálnu prevádzku počítača, ničia súborovú štruktúru diskov a poškodzujú informácie uložené v počítači. Akonáhle počítačový vírus prenikne do jedného počítača, môže sa šíriť do ďalších počítačov. Počítačový vírus je špeciálne napísaný program, ktorý je schopný spontánne sa pripojiť k iným programom, vytvárať svoje kópie a vkladať ich do súborov, systémových oblastí počítača a do počítačových sietí s cieľom narušiť činnosť programov, poškodiť súbory a adresáre a vytvoriť všetky druhy zásahov do práce na počítači Príčiny vzniku a šírenia počítačových vírusov sú na jednej strane skryté v psychológii ľudskej osobnosti a jej tieňových stránkach (závisť, pomsta, ješitnosť neuznávaných tvorcov, neschopnosť konštruktívne využívať svoje schopnosti), na druhej strane v dôsledku chýbajúcej hardvérovej ochrany a protireakcie zo strany operačného systému osobného počítača. chrániť pred vírusmi, počet nových softvérových vírusov neustále rastie. To si vyžaduje, aby používateľ osobného počítača mal znalosti o povahe vírusov, spôsoboch napadnutia vírusmi a ochrane pred nimi.Hlavnými cestami, ktorými sa vírusy dostávajú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete . Váš pevný disk sa môže nakaziť vírusmi, keď spustíte počítač z diskety, ktorá obsahuje vírus. Takáto infekcia môže byť aj náhodná, napríklad ak disketa nebola vybratá z jednotky A: a počítač bol reštartovaný, pričom disketa nemusí byť systémová. Je oveľa jednoduchšie infikovať disketu. Vírus sa naň môže dostať aj vtedy, ak sa disketa jednoducho vloží do diskovej jednotky infikovaného počítača a napríklad sa prečíta jej obsah. Infikovaný disk- toto je disk, v ktorého boot sektore sa nachádza program - vírus Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory. Najčastejšie je vírusom napadnutý boot sektor disku a spustiteľné súbory s príponami EXE, .COM, SYS alebo BAT. Infikovanie textových a grafických súborov je extrémne zriedkavé. Infikovaný program je program, ktorý obsahuje v sebe zabudovaný vírusový program Keď je počítač napadnutý vírusom, je veľmi dôležité ho včas odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch vírusov. Patria sem nasledujúce položky:- zastavenie prevádzky alebo nesprávne fungovanie predtým úspešne fungujúcich programov;
- pomalý výkon počítača;
- nemožnosť načítať operačný systém;
- zmiznutie súborov a adresárov alebo poškodenie ich obsahu;
- zmena dátumu a času úpravy súboru;
- zmena veľkosti súborov;
- neočakávané výrazné zvýšenie počtu súborov na disku;
- výrazné zníženie veľkosti voľnej pamäte RAM;
- zobrazovanie neočakávaných správ alebo obrázkov na obrazovke;
- dávať neočakávané zvukové signály;
- Časté zamrznutie a pády v počítači.
- nie je nebezpečný, nezasahuje do prevádzky počítača, ale znižuje množstvo voľnej pamäte RAM a disku, akcie takýchto vírusov sa prejavujú v niektorých grafických alebo zvukových efektoch;
- nebezpečné vírusy, ktoré môžu viesť k rôznym problémom s počítačom;
- veľmi nebezpečné ktorých dopad môže viesť k strate programov, zničeniu údajov a vymazaniu informácií v systémových oblastiach disku.
PROGRAMY NA DETEKCIU A OCHRANU VÍRUSOV
Charakteristika antivírusových programov Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a ničiť vírusy. Takéto programy sú tzv antivírus. Existujú nasledujúce typy antivírusových programov (obr. 11.11): Programy detektorov Hľadajú sekvenciu bajtov (vírusovú signatúru) charakteristickú pre konkrétny vírus v RAM a súboroch a keď sa nájdu, vydajú zodpovedajúcu správu. Nevýhodou takéhoto antivírusového pro-Obr. 11.11. Typy antivírusových programovgram je, že môžu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov. Lekárske programy alebo fágy, a očkovacie programy súbory infikované vírusmi nielen nájsť, ale aj „liečiť“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „čistení“ súborov. Medzi fágmi sú polyfágy, tie. Lekárske programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie polyfágy sú programy Aidstest , Skenovanie, Norton AntiVirus a Doctor Web . Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a je potrebné pravidelne aktualizovať ich verzie. Audítorský program patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke video monitora. Porovnávanie stavov sa spravidla vykonáva ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú dobre vyvinuté algoritmy, detegujú stealth vírusy a dokonca dokážu rozlíšiť zmeny vo verzii kontrolovaného programu od zmien vykonaných vírusom. Medzi audítorskými programami je v Rusku široko používaný program Adinf od Dialog-Science. Filtrovať programy alebo "strážca" sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, charakteristické pre vírusy. Takéto akcie môžu byť:
- pokúsi sa opraviť súbory s príponami COM a EXE;
- zmena atribútov súboru;
- priamy zápis na disk na absolútnu adresu;
- zápis do zavádzacích sektorov disku.
- v režime rozhrania na celú obrazovku pomocou ponúk a dialógových okien;
- v režime ovládania príkazového riadku.
- informácie o zavádzacích sektoroch;
- informácie o zlyhaných klastroch;
- dĺžka a kontrolné súčty súborov;
- dátum a čas vytvorenia súborov.
- vybavte svoj počítač aktuálnym antivírusovým softvérom, ako napr Aidstest alebo Doctor Web, a neustále aktualizovať ich verzie;
- Pred čítaním informácií zaznamenaných na iných počítačoch z diskiet vždy skontrolujte tieto diskety na prítomnosť vírusov spustením antivírusových programov na vašom počítači;
- pri prenose súborov v archivovanej forme do počítača ich skontrolujte ihneď po ich rozbalení na pevnom disku, pričom oblasť skenovania obmedzte len na novo zaznamenané súbory;
- pravidelne kontrolujte prítomnosť vírusov na pevných diskoch počítača spustením antivírusových programov na testovanie súborov, pamäte a systémových oblastí diskov z diskety chránenej proti zápisu, po načítaní operačného systému aj zo systémovej diskety chránenej proti zápisu;
- Pri práci na iných počítačoch vždy chráňte svoje diskety pred zápisom, ak na ne nebudú zaznamenané informácie;
- nezabudnite si vytvoriť záložné kópie informácií, ktoré sú pre vás cenné, na diskety;
- nenechávajte diskety vo vrecku jednotky A: pri zapínaní alebo reštartovaní operačného systému, aby ste zabránili infikovaniu počítača zavádzacími vírusmi;
- používať antivírusové programy na kontrolu vstupu všetkých spustiteľných súborov prijatých z počítačových sietí;
- aby sa zabezpečila väčšia bezpečnosť používania Aidstest A Doctor Web musia byť kombinované s každodenným používaním nástroja Disk Auditor ADinf.