Що відбувається, коли заражена програма починає роботу. Комп'ютерні віруси Що таке комп'ютерний вірус

Комп'ютерний вірус є невеликою за розмірами програмою, спеціально написаною для того, щоб заражати інші програми (тобто «приписувати» себе до них) і виконувати на комп'ютері небажані дії різного характеру. Зараженою, називається програма, з вірусом, що знаходиться всередині. Коли така програма починає роботу, спочатку управління отримує вірус. Комп'ютерні віруси знаходять і заражають інші програми, а також виконують всілякі шкідливі дії (наприклад, псують файлову таблицю вінчестера, або файли, засмічують оперативну пам'ять і т.п.).

Маскуючись, вірус не завжди виконує будь-які дії щодо зараження інших програм та заподіяння їм шкоди, а при виконанні певних дій на комп'ютері, вірус може розпочати свою роботу. Після виконання необхідних йому маніпуляцій, вірус передає управління програмі, де перебуває, і це програма продовжує працювати у звичайному режимі. Отже, зовні робота зараженої програми нічим себе не видає і виглядає як не заражена.

Багато різновидів вірусів влаштовані так, що при запуску зараженої програми, вірус залишається резидентно в пам'яті комп'ютера (до перезавантаження операційної системи) і по можливості заражає програми або виконують шкідливі дії на комп'ютері.

Всі дії вірусу виконуються досить швидко, не надаючи при цьому будь-яких попередніх повідомлень, тому користувач може не помітити, що в комп'ютері відбувається щось незвичайне. При зараженні на комп'ютері малої кількості програм наявність вірусу може бути практично непомітним. Але, через деякий час, на комп'ютері починає творитися щось дивне, наприклад:

  • деякі програми починають працювати неправильно чи взагалі перестають працювати;
  • на екрані з'являються сторонні символи, повідомлення тощо;
  • суттєво уповільнюється робота комп'ютера;
  • деякі файли виявляються зіпсованими і т.д.

Як правило, до цього моменту більшість програм, якими Ви користуєтеся, заражені вірусом, а деякі диски та файли зіпсовані. Крім того, заражені програми, вже могли бути перенесені з Вашого комп'ютера на інші комп'ютери по мережі або зовнішніми носіями.

Деякі віруси для комп'ютера та їх різновиди поводяться ще підступніше. Вони відразу непомітно заражають велику кількість програм, а потім завдають досить серйозних пошкоджень, наприклад, форматують весь жорсткий диск на комп'ютері. А є такі комп'ютерні віруси, які намагаються поводитись якомога непомітніше, але потроху і поступово псують дані, збережені на жорсткому диску комп'ютера.

З усього перерахованого вище, що, якщо не вживати заходів щодо захисту від вірусів, то наслідки зараженого комп'ютера будуть дуже серйозними. Наприклад, в 1989 році, американським студентом Моррісом був написаний вірус, за допомогою якого було заражено і виведено з ладу тисячі комп'ютерів, у тому числі і належать міністерству оборони США. Автор вірусу суд оштрафував на 270 тис. доларів і засудив до трьох місяців в'язниці. Покарання могло бути і суворішим, але суд врахував той факт, що вірус тільки розмножувався і не встиг зіпсувати дані.

Програма-вірус невелика за розміром і тому непомітна. Одні автори, створюють такі програми з пустощів, інші - прагнучи комусь нашкодити, або отримати доступ до інформації, або ресурсів комп'ютера. У будь-якому випадку, створена програма-вірус може поширюватися на всі комп'ютери, сумісні з тим, для якого вона була написана, і завдавати великих руйнувань.

Слід зазначити, що написання вірусу – не така вже складна задача, і цілком доступна студенту, що вивчає програмування. Тому все нові і нові віруси для комп'ютера з'являються в мережі щодня.


(9 Голосів)

Комп'ютерні віруси

Комп'ютерний вірус - поняття та класифікація.


Комп'ютерний вірус - це спеціально написана, невелика за розмірами програма (тобто деяка сукупність коду, що виконується), яка може "приписувати" себе до інших програм ("заражати" їх), створювати свої копії і впроваджувати їх у файли, системні області комп'ютера і т.д. .д., а також виконувати різні небажані дії на комп'ютері.
Програма, всередині якої міститься вірус, називається "зараженою". Коли така програма починає роботу, спочатку управління отримує вірус. Вірус знаходить та "заражає" інші програми, а також виконує якісь шкідливі дії (наприклад, псує файли або таблицю розміщення файлів на диску, "засмічує" оперативну пам'ять і т.д.). Для маскування вірусу дії із зараження інших програм та заподіяння шкоди можуть виконуватися не завжди, а, скажімо, при виконанні певних умов.

Наприклад, вірус Anti-MIT щорічно 1 грудня руйнує всю інформацію на жорсткому диску, вірус Tea Time заважає вводити інформацію з клавіатури з 15:10 до 15:13, а знаменитий One Half, який протягом усього минулого року «гуляв» і по нашому місту , непомітно шифрує дані на жорсткому диску 1989 року американський студент зумів створити вірус, який вивів з ладу близько 6000 комп'ютерів Міністерства оборони США. Епідемія відомого вірусу Dir-II вибухнула 1991 року. Вірус використовував справді оригінальну, принципово нову технологію і спочатку зумів широко поширитися за рахунок недосконалості традиційних антивірусних засобів. Крістофер Пайн вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме останній був найнебезпечнішим, його можна було накладати на перші два віруси, і через це після кожного прогону програми вони змінювали конфігурацію. Тому їх неможливо було знищити. Щоб розповсюдити віруси, Пайн скопіював комп'ютерні ігри та програми, заразив їх, а потім відправив назад до мережі. Користувачі завантажували у свої комп'ютери заражені програми та інфікували диски. Ситуація ускладнилася тим, що Пайн примудрився занести віруси і в програму, яка з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували ще одну. У результаті були знищені файли безлічі фірм, збитки становили мільйони фунтів стерлінгів.

Широку популярність отримав американський програміст Морріс. Він відомий як автор вірусу, який у листопаді 1988 року заразив близько 7 тисяч персональних комп'ютерів, підключених до Internet.
Перші дослідження штучних конструкцій, що саморозмножуються, проводилися в середині нинішнього століття. Термін "комп'ютерний вірус" з'явився пізніше - офіційно його автором вважається співробітник Лехайського університету (США) Ф.Коен у 1984 році на сьомій конференції з безпеки інформації.

Експерти вважають, що на сьогоднішній день кількість існуючих вірусів перевищила 20 тисяч, причому щодня з'являється від 6 до 9 нових. «Диких», тобто реально циркулюючих вірусів, нині налічується близько 260.


Один із найавторитетніших «вірусологів» країни Євген Касперський пропонує умовно класифікувати віруси за такими ознаками:

  1. середи проживання вірусу

  2. за способом зараження довкілля

  3. за деструктивними можливостями

  4. за особливостями алгоритму вірусу.

Більш детальну класифікацію всередині цих груп можна представити приблизно так:


мережеві

поширюються через комп'ютерну мережу

Середовище проживання:

файлові

впроваджуються у виконувані файли

завантажувальні

впроваджуються у завантажувальний сектор диска (Boot-сектор)

Способи

резидентні

знаходяться в пам'яті, активні до вимкнення комп'ютера

зараження:

нерезидентні

не заражають пам'ять, є активними обмежений час

нешкідливі

практично не впливають на роботу; зменшують вільну пам'ять на диску внаслідок свого поширення

Деструктивні

безпечні

зменшують вільну пам'ять, створюють звукові, графічні та інші ефекти.

можливості:

небезпечні

можуть призвести до серйозних збоїв у роботі

дуже небезпечні

можуть призвести до втрати програм або системних даних

віруси-«супутники»

віруси, які не змінюють файли, створюють для ЕХЕ-файлів файли-супутники з розширенням, СОМ

віруси-«хробаки»

розповсюджуються по мережі, розсилають свої копії, обчислюючи мережеві адреси

Особливості

«студентські»

примітив, містять велику кількість помилок

вірусу:

«Стелс»-віруси

(Невидимки)
перехоплюють звернення DOS до уражених файлів чи секторів і підставляють замість себе незаражені ділянки

віруси-примари

не мають жодної постійної ділянки коду, які важко виявляти, основне тіло вірусу зашифровано

макровіруси

пишуться не в машинних кодах, а на WordBasic, що живуть у документах Word, переписують себе в Normal.dot

Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі та лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.


Як працює вірус?
Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети.

Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкової завантаження, що зберігається у постійно запам'ятовуючому пристрої (ПЗУ) тобто. ПНЗ ПЗП.

Ця програма тестує обладнання і за успішного завершення перевірок намагається знайти дискету в дисководі А:

Будь-яка дискета розмічена т.зв. сектори та доріжки. Сектори поєднуються в кластери, але це для нас несуттєво.

Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (у цих секторах не можуть розміщуватись ваші дані). Серед службових секторів нас поки що цікавить один - т.зв. сектор початкового завантаження (boot-sector).

У секторі початкового завантаження зберігається інформація про дискеті - кількість поверхонь, кількість доріжок, кількість секторів та ін. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження (ПНЗ), яка має завантажити саму операційну систему та передати їй керування.

Таким чином, нормальна схема початкового завантаження така:

Тепер розглянемо вірус. У завантажувальних вірусах виділяють дві частини – т.зв. головута т.зв. хвіст. Хвіст, власне кажучи, може бути порожнім.

Нехай у вас є чиста дискета та заражений комп'ютер, під яким ми розуміємо комп'ютер із активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з'явилася відповідна жертва - у нашому випадку не захищена від запису і ще не заражена дискета, він починає зараження. Заражаючи дискету, вірус робить такі действия:


  1. виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, у найпростішому та традиційному випадку зайняті вірусом сектори позначаються як збійні (bad)

  2. копіює у виділену область диска свій хвіст та оригінальний (здоровий) завантажувальний сектор

  3. заміщає програму початкового завантаження у завантажувальному секторі (справжньому) своєю головою

  4. організує ланцюжок передачі управління згідно зі схемою.
Таким чином, голова вірусу тепер першою отримує управління, вірус встановлюється на згадку і передає управління оригінальному завантажувальному сектору. У ланцюжку

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

з'являється нова ланка:

ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА

Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. При цьому, на відміну від дискет на вінчестері, є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера першою бере на себе управління програма початкового завантаження MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, лише один з них позначений як завантажувальний (boot). Програма початкового завантаження MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні сектори завантаження відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів - програма початкового завантаження MBR і програма початкового завантаження boot-секторі завантажувального диска.

Ознаки вияву вірусу.


При зараженні комп'ютера вірусом важливо виявити його. І тому слід знати про основні ознаки прояви вірусів. До них можна віднести такі:

  1. припинення роботи або неправильна робота програм, що раніше успішно функціонували

  2. повільна робота комп'ютера

  3. неможливість завантаження операційної системи

  4. зникнення файлів і каталогів або спотворення їхнього вмісту

  5. зміна дати та часу модифікації файлів

  6. зміна розмірів файлів

  7. несподіване значне збільшення кількості файлів на диску

  8. суттєве зменшення розміру вільної оперативної пам'яті

  9. виведення на екран непередбачених повідомлень чи зображень

  10. подача непередбачених звукових сигналів

  11. часті зависання та збої в роботі комп'ютера
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
Методи захисту. Антивіруси.

Яким би не був вірус, користувач повинен знати основні методи захисту від комп'ютерних вірусів.

Для захисту від вірусів можна використовувати:


  1. загальні засоби захисту інформації, які корисні також як і страховка від фізичного псування дисків, що неправильно працюють програм або помилкових дій користувача;

  2. профілактичні заходи, що дають змогу зменшити ймовірність зараження вірусом;

  3. спеціалізовані програми захисту від вірусів.

Загальні засоби захисту корисні не тільки для захисту від вірусів. Є два основні різновиди цих коштів:


  1. копіювання інформації - створення копій файлів та системних областей дисків;

  2. розмежування доступу запобігає несанкціонованому використанню інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.

Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називаються антивірусними.Розрізняють такі види антивірусних програм:


  1. програми-детектори

  2. програми-лікарі чи фаги

  3. програми-ревізори

  4. програми-фільтри

  5. програми-вакцини або імунізатори
Програми-детекториздійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті та у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.

Програми-лікаріабо фаги, а також програми-вакцинияк знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення версій.

Програми-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється від змін, внесених вірусом. До програм-ревізорів належить широко поширена в Росії програма Adinf.

Програми-фільтриабо «сторожа»є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:


  1. спроби корекції файлів із розширеннями COM, EXE

  2. зміна атрибутів файлу

  3. прямий запис на диск за абсолютною адресою

  4. запис у завантажувальні сектори диска
При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є Vsafe, що входить до складу пакета утиліт MS DOS.

Вакциниабо імунізатори- це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.


Для того, щоб не піддати комп'ютер зараженню вірусами та забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:

  1. оснастіть свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest, Doctor Web, та постійно відновлюйте їх версії

  2. перед зчитуванням дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера

  3. при перенесенні на свій комп'ютер файлів в архівованому вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки лише новозаписаними файлами

  4. періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті та системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети

  5. завжди захищайте свої дискети від запису під час роботи на інших комп'ютерах, якщо на них не буде записуватися інформація

  6. обов'язково робіть архівні копії на дискетах цінної інформації

  7. не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб унеможливити зараження комп'ютера завантажувальними вірусами

  8. використовуйте антивірусні програми для вхідного контролю всіх файлів, що виконуються з комп'ютерних мереж

  9. Для забезпечення більшої безпеки застосування Aidstest та Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска Adinf.

Антивірусна програма AntiViral Toolkit Pro.

Антивірусна програма AVP розроблена провідною російською компанією "Лабораторія Касперського". Програма вийшла на світовий ринок і досить активно продається у багатьох країнах.
При запуску AVP завантажує антивірусні бази, тестує оперативну пам'ять, наявність резидентних вірусів і перевіряє себе на зараження вірусом. Після успішного завантаження у рядку стану з'являється повідомлення " Останнє оновлення: дата> , кількість> вірусів » де - дата останнього оновлення, а - кількість відомих вірусів (дані про віруси знаходяться у файлах з розширенням.AVC)

Головне вікно програми містить чотири пункти меню:


  1. файл

  2. пошук вірусів

  3. сервіс
п'ять вкладок:

  1. область

  2. об'єкти

  3. дії

  4. налаштування

  5. статистика
кнопки « П уск » (« Сто п » під час сканування диска) та вікно перегляду « Об'єкт - Результат » . При завантаженні автоматично відкривається вкладка « Область » (Рис.1.) . Для початку сканування потрібно вибрати на закладці « Область » диски та/або папки які ви хочете перевірити та натиснути кнопку « П уск » (або пункт меню « Пошук вірусів Пуск » ). Вибрати диск і/або папки, що перевіряється, можна клацнути на потрібному об'єкті двічі лівою клавішею миші. Щоб швидше виділити диски, потрібно поставити відповідні прапорці. « Л окальні диски » та/або « З е диски » та/або « Флопп і -дисководи » . Якщо ви хочете вибрати папку для сканування, то потрібно натиснути клавішу « Вибрати папку » , після чого перед вами з'явиться стандартне діалогове вікно Windows 95, в якому потрібно вибрати ім'я папки, яку потрібно додати в область тестування. Якщо натиснути кнопку "Пуск", без вибору об'єкта для перевірки, то AVP видасть повідомлення: Не встановлено область сканування. Будь ласка, позначте диски на закладці "Область". Якщо Ви бажаєте терміново зупинити тестування, натисніть кнопку «Стоп» або виберіть пункт меню « Пошук вірусів Стоп » .
Вкладка « Об'єкти » , задає список об'єктів, що підлягають скануванню, та типи файлів, які будуть тестуватись.

На вкладці об'єкти можна встановити такі прапорці:


  1. Пам'ять- увімкнути процедуру сканування системної пам'яті (у тому числі і High Memory Area)

  2. Сектори -включити у процедуру сканування перевірку системних секторів

  3. Файли- включити у процедуру сканування перевірку файлів (зокрема файлів з атрибутами Hidden, System, ReadOnly)

  4. Упаковані об'єкти- увімкнути Unpack Engine, що розпаковує для тестування файли
Архіви- Включити Extract Engine, що дозволяє проводити пошук вірусів в архівах.

"Тип файлів" містить чотири перемикачі:

Програми за форматом -сканувати програми (Файли.com, .exe, .vxd, .dll та формати Microsoft Office). Таким чином, при скануванні формату перевіряються всі файли, які можуть містити код вірусу.

Програми з розширення- сканувати всі файли, які мають розширення *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.

Усі файли- сканувати усі файли.

По масці- сканувати за маскою, заданою користувачем у рядку введення.


Вкладка «Дії» дозволяє задавати дії у разі виявлення заражених чи підозрілих об'єктів під час тестування.

Вкладка містить чотири кнопки та два прапорці.

За вашим бажанням програма буде або лише інформувати вас про знайдені віруси, лікувати заражений об'єкт, попередньо відкривши його або лікувати автоматично. Підозрювальні об'єкти можуть бути скопійовані або в зазначену вами папку, або в робочу папку програми.


Вкладка «Налаштування» дозволяє настроювати програму на різні режими.

Попередження включає додатковий механізм перевірки.

Аналізатор коду включає механізм, здатний виявити ще невідомі віруси в досліджуваних об'єктах.

Надмірне сканування включає механізм повного сканування вмісту файлу. Цей режим рекомендується включати, коли вірус не виявлено, але в роботі комп'ютера спостерігаються дивні явища - уповільнення роботи, часті мимовільні перезавантаження і т.п. В інших випадках використовувати цей режим не рекомендується, оскільки з'являється можливість помилкового спрацьовування під час сканування чистих файлів.




Налаштування дозволяють користувачеві показувати під час сканування ім'я об'єкта, що перевіряється в стовпці «Об'єкт», у вікні «Результат» навпроти імені об'єкта буде з'являтися повідомлення «в порядку», якщо об'єкт чистий. Можна також встановити подачу звукового сигналу при виявленні вірусу, що практично дуже корисно, оскільки процес сканування досить тривалий і одноманітний. Можна також стежити за послідовністю сканування (прапорець Стеження за звітом) або записати файл звіту, вказавши ім'я результуючого файлу (прапорець Файл звіту). Поставивши цей прапорець користувач отримує доступ до двох допоміжних прапорців:

  1. Додати- новий звіт дописуватиметься строго на кінець старого

  2. Обмеження розміру- обмеження розміру файлу звіту за бажанням користувача (за замовчуванням – 500 кілобайт)

Після закінчення перевірки зазначених об'єктів автоматично активізується вкладка Статистика




Ця вкладка містить результати роботи програми. Вкладка поділена на дві частини, що містять інформацію про кількість перевірених об'єктів, файлів, папок та кількість знайдених вірусів, попереджень, зіпсованих об'єктів тощо.
База сигнатур AVP одна з найбільших – остання версія програми містить понад 25000 вірусів. Потрібно відзначити, що робота з програмою не викликає труднощів навіть у недосвідченого користувача, а отримати нову версію легко можна з Internet.

СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ


Ахметов К. Курс молодого бійця. Москва, Комп'ютер-прес,1997.
Касперський Е. Комп'ютерні віруси в MS-DOS. Москва, Едель-Ренесанс,1992.
Світ ПК. №4,1998.

Характеристика комп'ютерних вірусів

Сутність та прояв комп'ютерних вірусів

Масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері. Проникнувши до одного комп'ютера, комп'ютерний вірус здатний поширитися інші комп'ютери. Комп'ютерним вірусомназивається спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера та в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення різноманітних перешкод у роботі на комп'ютері.Причини появи та поширення комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту та протидії з боку операційної системи персонального комп'ютера .Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами та розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами та захисту від них. Зараження жорсткого диска вірусами може статися під час завантаження комп'ютера з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисковода А: і перезавантажили комп'ютер, у своїй дискета може бути системної. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст. Заражений диск- це диск, в завантажувальному секторі якого знаходиться програма - вірус. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, мають розширення ЕХЕ, .СОМ, SYS чи ВАТ. Вкрай рідко заражаються текстові та графічні файли. Заражена програма- Це програма, що містить впроваджену в неї програму-вірус. При зараженні комп'ютера вірусом дуже важливо своєчасно його виявити. І тому слід знати про основні ознаки прояви вірусів. До них можна віднести такі:
  • припинення роботи або неправильна робота програм, що раніше успішно функціонували;
  • повільна робота комп'ютера;
  • неможливість завантаження операційної системи;
  • зникнення файлів та каталогів або спотворення їхнього вмісту;
  • зміна дати та часу модифікації файлів;
  • зміна розмірів файлів;
  • несподіване значне збільшення кількості файлів на диску;
  • суттєве зменшення розміру вільної оперативної пам'яті;
  • виведення на екран непередбачених повідомлень чи зображень;
  • подання непередбачених звукових сигналів;
  • часті зависання та збої в роботі комп'ютера.
Слід зазначити, що перелічені вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера. Основні види вірусів В даний час відомо більше 5000 програмних вірусів,їх можна класифікувати за такими ознаками (рис. 11.10): Рис. 11.10. Класифікація комп'ютерних вірусів: а - за місцем існування; б - за способом зараження; в - за ступенем впливу; г - за особливостями алгоритмів від довкіллявіруси можна розділити на мережні, файлові, завантажувальні та файлово-завантажувальні. Мережеві вірусипоширюються різними комп'ютерними мережами. Файлові вірусивпроваджуються головним чином виконувані модулі, тобто. у файли, що мають розширення СОМ та ЕХЕ. Файлові віруси можуть впроваджуватися й інші типи файлів, але, зазвичай, записані у таких файлах, вони будь-коли отримують управління і, отже, втрачають здатність до розмноження. Завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска (Master Boot Record). Файлово-завантажувальні вірусизаражають як файли, так і завантажувальні сектори дисків. за способу зараженнявіруси поділяються на резидентні та нерезидентні. Резидентний віруспри зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків тощо) та впроваджується у них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимкнення або перезавантаження комп'ютера. Нерезидентні вірусине заражають пам'ять комп'ютера і є активними обмежений час. ступеня впливувіруси можна розділити на такі види:
  • безпечні, що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті та пам'яті на дисках, дії таких вірусів виявляються у будь-яких графічних або звукових ефектах;
  • небезпечнівіруси, які можуть призвести до різних порушень у роботі комп'ютера;
  • дуже небезпечні,вплив яких може призвести до втрати програм, знищення даних, стирання інформації в системних областях диска.
за особливостям алгоритмувіруси важко класифікувати через велику різноманітність. Найпростіші віруси паразитичні, вони змінюють вміст файлів та секторів диска і можуть бути досить легко виявлені та знищені. Можна відмітити віруси-реплікатори, звані хробаками, які розповсюджуються по комп'ютерних мережах, обчислюють адреси мережевих комп'ютерів та записують на ці адреси свої копії. Відомі віруси-невидимки, звані стелс-вірусами,які дуже важко виявити та знешкодити, оскільки вони перехоплюють звернення операційної системи до уражених файлів та секторів дисків і підставляють замість свого незаражені ділянки диска. Найбільш важко виявити віруси-мутанти, що містять алгоритми шифрування-розшифрування, завдяки яким копії одного і того ж вірусу не мають жодного ланцюжка байтів, що повторюється. Є і так звані квазівірусні або "троянські" програми, які хоч і не здатні до самопоширення, але дуже небезпечні, оскільки маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.

ПРОГРАМИ ВИЗНАЧЕННЯ І ЗАХИСТУ ВІД ВІРУСІВ

Характеристика антивірусних програмДня виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм (рис. 11.11): Програми-детекториздійснюють пошук характерної для конкретного вірусу послідовності байтів (сигнатури вірусу) в оперативній пам'яті та у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних про-Рис. 11.11. Види антивірусних програм
грам є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм. Програми-лікаріабо фаги,а також програми-вакцинияк знаходять заражені вірусами файли, а й " лікують " їх, тобто. видаляють із файлу тіло програми вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до "лікування" файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомими поліфагами є програми Aidstest , Scan, Norton AntiVirusта Doctor Web . Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення їх версій. Програма-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється від змін, внесених вірусом. До програм-ревізорів належить широко поширена в Росії програма Adinf фірми "Діалог-Наука". Програми-фільтриабо "сторожа"є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:
  • спроби корекції файлів з розширеннями СОМ та ЕХЕ;
  • зміна атрибутів файлів;
  • прямий запис на диск за абсолютною адресою;
  • запис у завантажувальні сектори диска.
При спробі будь-якої програми зробити зазначені дії "сторож" надсилає користувачеві повідомлення н пропонує заборонити або дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги. До недоліків програм-сторожів можна віднести їх "настирливість" (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є програма Vsafe,входить до складу пакета утиліт операційної системи MS DOS. Вакциниабо імунізатори- це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які "лікують" цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування. Своєчасне виявлення заражених вірусами файлів та дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери. Антивірусний комплект АТ "Діалог-Наука"Серед великої кількості сучасних програмних засобів боротьби з комп'ютерними вірусами перевагу слід віддати антивірусному комплекту АТ "Діалог-Наука", до якого входять чотири програмні продукти: поліфаги Aidstest і Doctor Web (скорочено Dr.Web), ревізор диска ADinf та лікувальний блок ADinf Cure Module. Розглянемо коротко, як і коли треба використовувати ці антивірусні програми. Програма-поліфаг Aidstest . Aidstest -це програма, яка вміє виявляти та знищувати понад 1300 комп'ютерних вірусів, що набули найбільш широкого поширення в Росії. Версії Aidstestрегулярно оновлюються та поповнюються інформацією про нові віруси. Для виклику Aidstestслід ввести команду: AIDSTEST []де path - ім'я диска, повне ім'я або специфікація файлу, маска групи файлів:* - всі розділи жорсткого диска,** - всі диски, включаючи мережеві та диски CD ROM;options - будь-яка комбінація наступних ключів:/F - виправляти заражені програми і стирати зіпсовані; / G - перевіряти всі файли поспіль (не тільки СОМ, ЕХЕ і SYS); / S - повільна робота для пошуку зіпсованих вірусів; / X - стирати всі файли з порушеннями в структурі вірусу; / Q - запитувати дозвіл на видалення зіпсованих файлів; / В - не пропонувати обробку наступної дискети. Приклад 11.27 Aidstestдля перевірки та "лікування" диска У:. Виявлені заражені програми будуть виправлені. Перевіряються всі файли диска. Якщо файл виправити не вдасться, то програма проситиме дозвіл на його видалення: aidstest b: /f/g/q Програма-поліфаг Doctor Web. Ця програма призначена насамперед для боротьби з поліморфними вірусами, які порівняно недавно з'явилися у комп'ютерному світі. Використання Dr. Webдля перевірки дисків та видалення виявлених вірусів в цілому подібно до програми Aidstest.При цьому дублювання перевірки практично не відбувається, оскільки Aidstestі Dr.Webпрацюють на різних наборах вірусів. Програма Dr.Webможе ефективно боротися зі складними вірусами-мутантами, які виявляються не під силу програмі Aidstest.На відміну від Aidstestпрограма Dr.Webздатна виявляти зміни у власному програмному коді, ефективно визначати файли, заражені новими, невідомими вірусами, проникаючи у зашифровані та упаковані файли, а також долаючи "вакцинне прикриття". Це досягається завдяки наявності досить потужного евристичного аналізатора. У режимі евристичного аналізу програма Dr.Webдосліджує файли та системні області дисків, намагаючись виявити нові чи невідомі їй віруси за характерними для вірусів кодовими послідовностями. Якщо такі будуть знайдені, то виводиться попередження про те, що об'єкт, можливо, інфікований невідомим вірусом. Передбачено три рівні евристичного аналізу. У режимі евристичного аналізу можливі помилкові спрацьовування, тобто. детектування файлів, які не заражені. Рівень "евристики" має на увазі рівень аналізу коду без наявності хибних спрацьовувань. Чим вищий рівень "евристики", тим вищий відсоток помилок або помилкових спрацьовувань. Рекомендуються перші два рівні роботи евристичного аналізатора. Третій рівень евристичного аналізу передбачає додаткову перевірку файлів на "підозрілий" час їх створення. Деякі віруси під час зараження файлів встановлюють некоректне час створення, як ознака зараженості даних файлів. Наприклад, для заражених файлів секунди можуть мати значення 62, а рік створення може бути збільшений на 100 років. У комплект поставки антивірусної програми Dr.Webможуть входити також файли-доповнення до основної вірусної бази програми, які розширюють її можливості. Працювати із програмою Dr. Webможна у двох режимах:
  • у режимі повноекранного інтерфейсу з використанням меню та діалогових вікон;
  • у режимі керування через командний рядок.
Для разового нерегулярного застосування зручніший перший режим, але для регулярного застосування з метою систематичного вхідного контролю дискет краще застосовувати другий режим. У разі використання другого режиму відповідна команда запуску Dr. Webповинна бути включена або в меню користувача операційної оболонки Norton Соmmander, або у спеціальний командний файл. Командний рядок для запуску Dr. Web виглядає так: DrWeb [диск: [шлях] ] [ключи]де диск:Х: - логічний пристрій жорсткого диска або фізичний пристрій гнучкого диска, наприклад F: або А:, * - всі логічні пристрої на жорсткому диску,шлях - це шлях або маска необхідних файлів. Найбільш важливі ключі: / AL - діагностика всіх файлів на заданому пристрої; / CU [P] - "лікування" дисків і файлів, видалення знайдених вірусів; P - видалення вірусів з підтвердженням користувача; / DL - видалення файлів, коректне лікування яких неможливо; / НА [рівень] - евристичний аналіз файлів і пошук у них невідомих вірусів, де рівень може приймати значення О, 1, 2; / RР [ім'я файлу] - запис протоколу роботи у файл (за замовчуванням файл REPORT.WEB);/CL - запуск програми в режимі командного рядка, при тестуванні файлів і системних областей не використовується повноекранний інтерфейс;/QU - вихід у DOS відразу після тестування;/? - виведення на екран короткої довідки. Якщо в командному рядку Dr.Web не вказано жодного ключа, то вся інформація для поточного запуску зчитуватиметься з файлу конфігурації DRWEB.INI, розташованого в тому ж каталозі, що і файл DRWEB.EXE. Файл конфігурації створюється у процесі роботи з програмою Dr.Webза допомогою команди збереження параметрів, необхідних тестування. Приклад 11.28. Запуск антивірусної програми Dr.Webдля перевірки та лікування диска У:.Виявлені заражені файли будуть "виліковані". Перевіряються всі файли диска. Якщо файл "вилікувати" не вдасться, то програма проситиме дозвіл на його видалення. Для пошуку вірусів повинен використовуватися евристичний рівень аналізу 1. Програма повинна виконуватися тільки в режимі командного рядка з виходом у DOS після завершення тестування: DrWeb: AL / CUP / HA1 / QU / CL Технологія роботи із програмою Dr. Web у режимі повноекранного інтерфейсу.Для запуску в режимі повноекранного інтерфейсу достатньо ввести в командний рядок ім'я програми. Відразу після завантаження програми почнеться тестування оперативної пам'яті комп'ютера, якщо воно не вимкнено попередньою установкою параметрів. Перебіг тестування відображається у вікні тестування. Після завершення тестування пам'яті станеться зупинка. Роботу програми можна продовжити, якщо скористатися основним меню, розташованим у верхньому рядку екрана. Щоб активувати меню, натисніть клавішу .Основне меню містить наступні режими:Dr.WebТест Налаштування ДоповненняПри виборі будь-якого режиму відкривається відповідне підменю. Dr.Webдозволяє тимчасово вийти в DOS, отримати коротку інформацію про програму Dr.Web і про її автора або залишити програму. за допомогою діалогових вікон параметрів налаштування програми, встановлення шляхів та масок пошуку та збереження параметрів у файлі конфігурації DRWEB.INI.Для підключення файлів-доповнень до основної вірусної бази програми, що розширюють її можливості, використовується режим Доповнення.Антивірус-ревізор диска ADinf. Ревізор ADinf дозволяє виявити появу будь-якого вірусу, включаючи стелс-віруси, віруси-мутанти та невідомі на сьогоднішній день віруси. Програма ADinfзапам'ятовує:
  • інформацію про завантажувальні сектори;
  • інформацію про збійні кластери;
  • довжину та контрольні суми файлів;
  • дату та час створення файлів.
Протягом усієї роботи комп'ютера програма ADinfстежить за збереженням цих показників. У режимі повсякденного контролю ADinfзапускається автоматично щодня під час першого увімкнення комп'ютера. Особливо відстежуються вірусоподібні зміни, які негайно видається попередження. Окрім контролю за цілісністю файлів ADinfстежить за створенням та видаленням підкаталогів, створенням, видаленням, переміщенням та перейменуванням файлів, появою нових збійних кластерів, збереженням завантажувальних секторів та за багатьом іншим. Перекриваються всі можливі місця запровадження вірусу у систему. Adinfперевіряє диски, не використовуючи DOS, читаючи їх за секторами прямим зверненням до BIOS. Завдяки такому способу перевірки ADinfвиявляє стелс-віруси, що маскуються, і забезпечує високу швидкість перевірки диска. Лікуючий блок ADinfCure Module. ADinfCure Module -це програма, яка допомагає "вилікувати" комп'ютер від нового вірусу, не чекаючи свіжих версій поліфагів Aidstest або Dr.Web,яким цей вірус буде відомий. Програма ADinfCure Moduleвикористовує той факт, що, незважаючи на велику різноманітність вірусів, існує зовсім небагато різних методів їх впровадження у файли. Під час нормальної роботи, при регулярному запуску ревізора Adinf він повідомляє ADinf Cure Moduleпро те, які файли змінилися після останнього запуску. Adinf Cure Moduleаналізує ці файли та записує у свої таблиці інформацію, яка може знадобитися для відновлення файлу при зараженні вірусом. Якщо зараження відбулося, ADinf помітить зміни і знову викличе Adinf Cure Module,який на основі аналізу зараженого файлу та зіставлення його із записаною інформацією спробує відновити вихідний стан файлу. Основні заходи щодо захисту від вірусівДля того щоб не піддати комп'ютер зараженню вірусами та забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:
  • оснастіть свій комп'ютер сучасними антивірусними програмами, наприклад Aidstestабо Doctor Web,та постійно оновлюйте їх версії;
  • перед зчитуванням дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера;
  • при перенесенні на свій комп'ютер файлів в архівованому вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки тільки записаними файлами;
  • періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті та системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему також із захищеної від запису системної дискети;
  • завжди захищайте свої дискети від запису під час роботи на інших комп'ютерах, якщо на них не буде записуватися інформація;
  • обов'язково робіть архівні копії на дискетах цінної вам інформації;
  • не залишайте в кишені дисковода А: дискети при включенні або перезавантаженні операційної системи, щоб унеможливити зараження комп'ютера завантажувальними вірусами;
  • використовуйте антивірусні програми для вхідного контролю всіх файлів, що виконуються з комп'ютерних мереж;
  • для забезпечення більшої безпеки застосування Aidstestі Doctor Webнеобхідно поєднувати з повсякденним використанням ревізора диска ADinf.


Подібні публікації