Комп'ютерні віруси і
боротьба з ними h2>
Реферат з інформатики
виконав учень 11 - "А" класу Тітенко Дмитро Сергійович p>
Муніципальне
загальноосвітній заклад середньої загальноосвітньої школи № 1 p>
Краснодарський край, м.
Апшеронськ p>
2005 p>
Вступ h2>
Від малих причин бувають дуже важливі
наслідки. p>
Козьма Прутков p>
Ми живемо на межі двох тисячоліть, коли
людство вступило в епоху нової науково-технічної революції. p>
До кінця двадцятого століття люди оволоділи
багатьма таємницями перетворення речовини та енергії і зуміли використати ці знання
для покращення свого життя. Але крім речовини і енергії в житті людини
величезну роль грає ще одна складова - інформація. Це самі
різноманітні відомості, повідомлення, звістки, знання, вміння. p>
У середині нашого століття з'явилися
спеціальні пристрої - комп'ютери, орієнтовані на зберігання і
перетворення інформації і сталася комп'ютерна революція. p>
Сьогодні масове застосування персональних
комп'ютерів, на жаль, виявилося пов'язаним з появою
самовідтворюються програм-вірусів, що перешкоджають нормальній роботі
комп'ютера, руйнують файлову структуру дисків і завдають шкоди, яка зберiгається в
комп'ютерні копії. p>
Незважаючи на прийняті в багатьох країнах
закони про боротьбу з комп'ютерними злочинами і розробку спеціальних
програмних засобів захисту від вірусів, кількість нових програмних вірусів
постійно зростає. Це вимагає від користувача персонального комп'ютера знань про
природу вірусів, способи зараження вірусами і захисту від них. p>
1.Історія виникнення комп'ютерних вірусів. h2>
Думок з приводу народження першого
комп'ютерного вірусу дуже багато. Нам достеменно відомо лише одне: на
машині Чарльза Беббіджа, що вважається винахідником першого комп'ютера, вірусів
не було, а на Univax 1108 і IBM 360/370 в середині 1970-х років вони вже були. p>
Незважаючи на це, сама ідея комп'ютерних
вірусів з'явилася значно раніше. Відправною точкою можна вважати праці
Джона фон Неймана по вивченню самовідтворюються математичних автоматів,
які стали відомі в 1940-х роках. У 1951 р. цей знаменитий учений
запропонував метод, який демонстрував можливість створення таких автоматів.
Пізніше, в 1959 р. журнал "Scientific American" опублікував статтю
Л.С. Пенроуза, яка також була присвячена самовідтворюються механічним
структурам. На відміну від раніше відомих робіт, тут була описана проста
двовимірна модель подібних структур, здатних до активації, розмноження, мутацій,
захопленню. Пізніше, слідами цієї статті інший учений Ф.Ж. Шталь реалізував
модель на практиці за допомогою машинного коду на IBM 650. p>
Необхідно відзначити, що з самого початку
ці дослідження були направлені зовсім не на створення теоретичної основи для
майбутнього розвитку комп'ютерних вірусів. Навпаки, учені прагнули
удосконалити світ, зробити його більш пристосованим для життя людини.
Адже саме ці праці лягли в основу багатьох більш пізніх робіт з
робототехніки і штучного інтелекту. І в тому, що наступні покоління
зловжили плодами технічного прогресу, немає провини цих чудових
вчених. p>
У 1962 р. інженери з американської
компанії Bell Telephone Laboratories - В.А. Висоцький, Г.Д. Макілрой і Роберт
Морріс - створили гру "Дарвін". Гра припускала присутність в
пам'яті обчислювальної машини так званого супервізора, що визначав правила
і порядок боротьби між собою програм-суперників, що створювалися гравцями.
Програми мали функції дослідження простору, розмноження і знищення.
Сенс гри полягав у видаленні всіх копій програми супротивника і захопленні поля
битви. p>
На цьому теоретичні дослідження учених
і нешкідливі вправи інженерів пішли в тінь, і зовсім скоро світ дізнався, що
теорія саморозмножуються структур з не меншим успіхом може бути застосована й
в дещо інших цілях. p>
2.Компьютерние віруси. h2>
2.1.Свойства комп'ютерних вірусів h2>
Вірус - чи не головний ворог
комп'ютера. Крихітні шкідливі програмки зможуть одразу зіпсувати плоди
вашого багатомісячного праці, знищити текстові файли та електронні таблиці,
а то і взагалі зіпсувати файлову систему на жорсткому диску ... p>
На жаль, деякі авторитетні
видання час від часу публікують «найсвіжіші новини з комп'ютерних
фронтів », які при ближчому розгляді виявляються наслідком не цілком
ясного розуміння предмета. p>
Перш за все, вірус - це програма.
Вірус може перевернути зображення на вашому моніторі, але не може перевернути
сам монітор. До легенд про віруси-убивць, «знищують операторів за допомогою
виводу на екран небезпечної для людини кольорової гами 25-м кадром »також не варто
ставитися серйозно. p>
Ведуть себе комп'ютерні віруси точно так
само, як віруси живі: вони ховають свій код в тілі «здорової» програми і при
кожному її запуску активуються і починають бурхливо «розмножуватися», безконтрольно
поширюючись по всьому комп'ютеру. p>
Це - одна сторона діяльності вірусу.
Чи не найстрашніша, до речі. Якби вірус просто множився, не заважаючи роботі
програм, то з ним, напевно, не варто було б і зв'язуватися. Тим більше, що
значне число існуючих вірусів належить саме до цієї, щодо
нешкідливої категорії. p>
Але, крім розмноження, у вірусу є ще
та інше «хобі» - руйнувати і пакостити. Ступінь «капосної» вірусу може
бути різна - одні обмежуються тим, що виводять на екран нав'язливу
картинку, що заважає вашій роботі, інші, особливо не роздумуючи, повністю
знищують дані на жорсткому диску. p>
На щастя, такі «жорстокі» віруси
зустрічаються нечасто. У всякому разі, особисто я зіткнувся з такою заразою
тільки одного разу. Але, можливо, мені просто пощастило? P>
У будь-якому випадку, реальний шкода від вірусів
сьогодні куди більше, ніж, скажімо, від відомої на весь світ «помилки 2000 року».
Шкода тільки, що на відміну від цього «мильної бульбашки» віруси не відчувають бажання враз покинути наш грішний світ з
приходом нового тисячоліття. І немає надії впоратися з ними остаточно в
якісь доступні для огляду терміни - бо таланту авторів антивірусних програм
протистоїть збочена фантазія комп'ютерних графоманів. p>
Адже написати вірус - завдання не сильно
складна. Студентських мізків і вміння, принаймні, на це вистачає. А якщо
ще й студент талановитий попадеться - буде створена ним «зараза» гуляти
світу протягом довгих років. p>
Взагалі-то століття вірусу недовгий.
Антивірусні програми, на відміну від нього, бідолахи, розумнішають не по днях, а по
щогодини. І вірус, ще вчора здавався невловимим, сьогодні моментально видаляється
і знешкоджується. Тому й важко знайти сьогодні віруси, чий вік перевищує
рік-два - решта вже давно збереглися лише в колекціях. p>
Сьогодні науці відомо близько 100 тисяч
комп'ютерних вірусів - маленьких шкідливих програмок, що прямують до своєї
життя тільки трьом заповідей - плід, Ховатися та псуватися. p>
Як і звичайні віруси, віруси комп'ютерні
- Паразити, для розмноження їм потрібен «носій»-господар, здорова програма або
документ, в тіло якої вони ховають ділянки свого програмного коду. Сам вірус
невеликий - його розмір рідко вимірюється кілобайтами. Однак накоїти ця «крихта»
може чимало. У той момент, коли ви, нічого не підозрюючи, запускаєте на своєму
комп'ютері заражену програму або відкриваєте документ, вірус активізується і
змушує комп'ютер слідувати не вашим, а його, вірусу, інструкцій. І - прости
прощай, ваша улюблена інформація! Бути їй віддаленої, причому найчастіше --
безповоротно. Мало того, сучасні віруси умудряються псувати не тільки
програми, а й «залізо». Наприклад, начисто знищують вміст BIOS материнської плати або калічать жорсткий
диск. p>
А стоїть за всім цим ... просте людське
марнославство, дурість і інстинктивна тяга до руйнування. Ми посміхаємося, почувши, бачачи
зосереджено Знищую піщаний замок або старий журнал дитини, - а
пізніше такі ось підросли, але так і не виросли діти калічать наші комп'ютери. p>
... А почалася ця історія не багато не мало
- Років тридцять тому. Саме тоді, в кінці 60-х, коли про «персоналках» можна
було прочитати лише у фантастичних романах, в кількох «великих»
комп'ютерах, розташованих у великих дослідницьких центрах США,
виявилися дуже незвичайні програми. На відміну від програм нормальних,
слухняно що ходили «по струнці» і виконували всі розпорядження людини, ці
гуляли самі по собі. Займалися в надрах комп'ютера якимись зрозумілими тільки
їм справами, по ходу справи сильно сповільнюючи роботу комп'ютера. Добре хоч, що
нічого при цьому не псували і не розмножувалися. p>
Проте тривало це недовго. Вже в 70-х
роках були зареєстровані перші справжні віруси, здатні до розмноження і
навіть отримали свої власні імена: великий комп'ютер Univac 1108 «захворів» вірусом Pervading Animal, а на комп'ютерах зі славного сімейства IBM-360/370 поселився вірус Christmas tree. p>
До 1980-х років число активних вірусів
вимірювався вже сотнями. А поява та поширення персональних комп'ютерів
породило справжню епідемію - рахунок вірусів пішов на тисячі. Правда, термін
«Комп'ютерний вірус» з'явився тільки в 1984 році: вперше його використовував у
своїй доповіді на конференції з інформаційної безпеки співробітник
Лехайского Університету США Ф. Коен. P>
Перші «персоналочние» віруси були
істотами простими і невибагливими - особливо від користувачів не ховалися,
«Скрашували» свою руйнівну дію (видалення файлів, руйнування
логічної структури диска) виведеними на екран картинками і каверзними «жартами»:
«Назвіть точну висоту гори Кіліманджаро в міліметрах! При введенні
неправильного відповіді всі дані на вашому вінчестері будуть знищені !!!».
Виявити такі віруси було неважко: вони «приклеювалися» до виконуваним (*. com або *. exe) файлів, змінюючи їх оригінальні
розміри, - чим і користувалися перші антивіруси, успішно виявляються нахаб. p>
Пізніше віруси стали хитріше - вони
навчилися маскуватися, запрятивая свій програмний код в таких питаннях
куточках, до яких, як їм здавалося, ні один антивірус добратися не міг.
Спочатку - дійсно, не добиралися. Тому й називалися такі віруси
«Невидимками» (stealth). P>
Здавалося, фантазія вірусописьменників
нарешті-то зменшилась. І коли проти stealth-вірусів було нарешті знайдено
«Протиотруту», комп'ютерний народ зітхнув з полегшенням. А все ще тільки
починалося ... p>
2.2.Классіфікація вірусів h2>
2.2.1.Віруси-програми ( b> W b> 32) b> p>
З часом віруси, ховали свій код в
тілі інших програм, здали свої позиції. Багато в чому це відбулося через те,
що розміри самих вірусів стали більше - а сховати код розміром в сотні
кілобайт не так-то просто. Та й самі програми та операційні системи різко
порозумнішали, навчившись перевіряти цілісність власних файлів. p>
В результаті сталося те, що і мало
трапитися - «виконувані» віруси перестали маскуватися, поставши перед
публікою в «чистому» вигляді. Вірус перетворився на абсолютно окрему, незалежну
програму, що не потребує «господаря-переносники». Однак відразу ж перед
вірусописьменниками постало інше питання - а як змусити користувачів завантажити і
запустити в себе на машині цей самий вірус? p>
«Програмні» віруси, написані для
операційної системи Windows,
вирішили цю проблему, маскуючись під різні «корисні» утиліти - наприклад, під
«Ломалки» для умовно-безкоштовних програм або мультимедійні презентації.
Інший улюблений прийом розповсюджувачів зарази - наряджати свої дітища в
«Одяг» оновлень для операційної системи або навіть ... антивірусної програми!
На жаль, до цих пір багато користувачів, не замислюючись, запускають невідомі програми,
що прийшли у вигляді вкладень в електронні листи нібито від Microsoft або «Лабораторії Касперського» - але ж
це самий вірний шлях поселити на свій комп'ютер вірус! p>
Більшість вірусів люди запускають на
своєму комп'ютері самостійно! - На жаль, не дивлячись на всі зусилля борців з
вірусами, якісь стереотипи людської психології виявляються нездоланними ... p>
У 1995-1999 рр.. на просторах Інтернету
весело розвивалася добра сотня «Windows-сумісних» вірусів. Ці милі
звірятка, зрозуміло, розвинулися не просто так ... Тільки за період літа 1998 - літа
1999 Світ пережив кілька справді руйнівних вірусних атак: в
Внаслідок діяльності вірусу Win95.CIH, що вражає BIOS системної плати, з ладу були виведені
близько мільйона комп'ютерів у всіх країнах світу. p>
Повідомлення про помилку --
результат роботи вірусу Blaster p>
p>
А зовсім недавно, в середині 2003р., Мережа
опинилася уражена новим «хробаком» SoBig, поширюються у вигляді вкладення в електронні листи.
Незважаючи на те, що про шкідливі «вкладеннях» вже давно сурмили вся преса,
люди запускали файл-вірус без найменших побоювань. І ось результат: за даними
аналітиків, на початку 2003 р. кожне 17-е лист містив у собі начинку у вигляді
SoBig! P>
Втім, деякі віруси здатні
атакувати ваш комп'ютер навіть в тому випадку, якщо його «тіло» фізично знаходиться
в іншому місці. Наприклад, один з найбільш «модних» вірусів 2003 р. - Blaster - був здатний атакувати всі комп'ютери
в локальній мережі з однією-єдиною машини! Скануючи локальну мережу,
програма виявляла проломи в захисті кожного комп'ютера, і самостійно
пропихається в цю «дірку» шкідливий код. p>
Для боротьби з W32-вірусами однієї антивірусної програми,
на жаль, недостатньо - головною умовою вашої безпеки є обов'язкова та
регулярна завантаження оновлень до Windows. А саме - файлів-«латочок»,
призначених для закриття вже виявлених «дір» у системі захисту
операційної системи. p>
Для отримання нових «латочок» вам необхідно
відвідати центр оновлення Windows
- Сайт Windows Update (http://windowsupdate.microsoft.com). При цьому зовсім не обов'язково
набирати його адресу в рядку браузера вручну - досить зайти в меню Сервіс
програми Internet Explorer
і вибрати пункт Windows Update. p>
На що відкрилася сторінці ви побачите
повний список оновлень, доступних для завантаження. Зауважте - всі оновлення з
розділу «Критичні оновлення» необхідно встановлювати в обов'язковому
порядку! p>
Відвідуйте сайт Windows Update не рідше разу на місяць, регулярно
оновлюйте бази даних вашого антивірусного пакету - і можете вважати, що від
левової частки неприємностей ви застраховані ... p>
2.2.2.Загрузочние віруси h2>
Відомі на поточний момент
завантажувальні віруси заражають завантажувальний (boot) сектор гнучкого диска і
boot-сектор або Master Boot Record (MBR) вінчестера. Принцип дії
завантажувальних вірусів заснований на алгоритмах запуску операційної системи при
включення або перезавантаження комп'ютера - після необхідних тестів встановленого
обладнання (пам'яті, дисків і т.д.) програма системної завантаження зчитує
перший фізичний сектор завантажувального диска (A:, C: або CD-ROM в залежності від
параметрів, встановлених в BIOS Setup) і передає на нього управління. p>
При зараженні дисків
завантажувальні віруси «підставляють» свій код замість якої-небудь програми,
одержує управління при завантаженні системи. Принцип зараження, таким чином,
однаковий у всіх описаних вище способи: вірус «змушує» систему при її
перезапуску віддати управління не оригінального коду завантажувача, а коду вірусу. p>
Зараження дискет
проводиться єдиним відомим способом - вірус записує свій код замість
оригінального коду boot-сектору дискети. Вінчестер заражається трьома можливими
способами - вірус записується або замість коду MBR, або замість коду
boot-сектора завантажувального диска (зазвичай диска C:), або модифікує адреса
активного boot-сектора в таблиці розділів диска (Disk Partition Table),
розташованої в MBR вінчестера. p>
При інфікуванні диска
вірус в більшості випадків переносить оригінальний boot-сектор (або MBR) в
будь-який інший сектор диска (наприклад, в першу вільний). Якщо довжина
вірусу більше довжини сектора, то в заражаємо сектор поміщається перша частина
вірусу, інші частини розміщуються в інших секторах (наприклад, в першу
вільних). p>
2.2.3.Файловие віруси h2>
За способом зараження файлів
віруси діляться in: p>
перезаписувані
(overwriting); p>
паразитичні (parasitic);
p>
віруси-компаньйони
(companion); p>
віруси-посилання (link); p>
віруси, що заражають
об'єктні модулі (OBJ); p>
віруси, що заражають
бібліотеки компіляторів (LIB); p>
віруси, що заражають вихідні
тексти програм. p>
Overwriting p>
Даний метод заражений?? ия
є найбільш простим: вірус записує свій код замість коду заражаємо
файлу, знищуючи його вміст. Природно, що при цьому файл перестає
працювати і не відновлюється. Такі віруси дуже швидко виявляють себе,
тому що операційна система і програми досить швидко перестають працювати. p>
Parasitic p>
До паразитичним відносяться
всі файлові віруси, які при поширенні своїх копій обов'язково
змінюють вміст файлів, залишаючи самі файли при цьому повністю або частково
працездатними. p>
Основними типами таких
вірусів є віруси, записуються в початок файлів (prepending), в кінець
файлів (appending) і в середину файлів (inserting). У свою чергу, впровадження
вірусів в середину файлів відбувається різноманітними методами - шляхом перенесення частини
файлу в його кінець або копіювання свого коду в явно не використовуються дані
файлу (cavity-віруси). p>
Проникнення вірусу в початок
файлу p>
Відомі два способи
впровадження паразитичного файлового вірусу в початок файлу. Перший спосіб
полягає в тому, що вірус переписує початок заражає файли в його кінець,
а сам копіюється в місце, що звільнилося. При зараженні файлу другим способом
вірус дописує заражає файли до свого тіла. p>
Таким чином, при запуску
зараженого файлу перший управління отримує код вірусу. При цьому віруси, щоб
зберегти працездатність програми, або лікують заражений файл, повторно
запускають його, чекають закінчення його роботи і знову записуються в його початок (іноді
для цього використовується тимчасовий файл, в який записується знешкоджений
файл), або відновлюють код програми в пам'яті комп'ютера і налаштовують
необхідні адреси в її тілі (тобто дублюють роботу ОС). p>
Проникнення вірусу в кінець
файлу p>
Найбільш поширеним
способом впровадження вірусу в файл є дописування вірусу в його кінець. При
це вірус змінює початок файлу таким чином, що першими виконуваними
командами програми, що міститься у файлі, є команди вірусу. p>
Для того щоб отримати управління
при старті файлу, вірус коригує стартовий адресу програми (адреса точки
входу). Для цього вірус виробляє необхідні зміни в заголовку файлу. P>
Проникнення вірусу в середину
файлу p>
Існує кілька
методів впровадження вірусу в середину файлу. У найбільш простому з них вірус
переносить частину файлу в його кінець або «розсовує» файл і записує свій код в
звільнилося простір. Цей спосіб багато в чому аналогічний методам,
перерахованим вище. Деякі віруси при цьому компрессіруют переносимий блок
файлу так, що довжина файлу при зараженні не змінюється. p>
Другим є метод
«Cavity», при якому вірус записується в явно невживані області
файлу. Вірус може бути скопійований в незадіяні області заголовок
EXE-файлу, в «дірки» між секціями EXE-файлів або в область текстових повідомлень
популярних компіляторів. Існують віруси, що заражають тільки ті файли, які
містять блоки, заповнені яких-небудь постійним байтом, при цьому вірус
записує свій код замість такого блоку. p>
Крім того, копіювання
вірусу в середину файлу може відбутися в результаті помилки вірусу, в цьому
випадку файл може бути безповоротно зіпсований. p>
Віруси без точки входу p>
Окремо слід зазначити
досить незначну групу вірусів, що не мають «точки входу» (EPO-віруси --
Entry Point Obscuring viruses). До них відносяться віруси, що не змінюють адреса
точки старту в заголовку EXE-файлів. Такі віруси записують команду переходу
на свій код в будь-яке місце в середину файлу і отримують управління не
безпосередньо при запуску зараженого файлу, а при виклику процедури,
яка містить код передачі управління на тіло вірусу. Причому виконуватися ця
процедура може вкрай рідко (наприклад, при виводі повідомлення про будь-яку
специфічної помилку). В результаті вірус може довгі роки «спати» всередині
файла і вискочити на волю лише при деяких обмежених умовах. Перед
тим, як записати в середину файлу команду переходу на свій код, вірусу
необхідно вибрати «правильний» адреса у файлі - інакше заражений файл може
опинитися зіпсованим. Відомі декілька способів, за допомогою яких віруси
визначають такі адреси всередині файлів, наприклад, пошук у файлі
послідовності стандартного коду заголовків процедур мов
програмування (C/Pascal), дізассемблірованіе коду файлу або заміна адрес
імпортованих функцій. p>
Companion p>
До категорії «companion»
відносяться віруси, що не змінюють заражає файли. Алгоритм роботи цих вірусів
полягає в тому, що для заражає файли створюється файл-двійник, причому при
запуску зараженого файлу керування одержує саме цей двійник, тобто вірус. p>
До вірусів даного типу
відносяться ті з них, які при зараженні перейменовують файл в який-небудь
інше ім'я, запам'ятовують його (для наступного запуску файлу-господаря) і
записують свій код на диск під ім'ям заражає файли. Наприклад, файл
NOTEPAD.EXE перейменовується в NOTEPAD.EXD, а вірус записується під ім'ям
NOTEPAD.EXE. При запуску управління отримує код вірусу, який потім
запускає оригінальний NOTEPAD. p>
Можливо існування і
інших типів вірусів-компаньйонів, що використовують інші оригінальні ідеї або
особливості інших операційних систем. Наприклад, PATH-компаньйони, які
розміщують свої копії в основному катагоге Windows, використовуючи той факт, що цей
каталог є першим у списку PATH, і файли для запуску Windows в першу
чергу буде шукати саме в ньому. Даними способом самозапуску користуються
також багато комп'ютерних черв'яки і троянські програми. p>
Інші способи зараження p>
Існують віруси, які
жодним чином не пов'язують свою присутність з яким-небудь виконуваним файлом.
При розмноженні вони всього лише копіюють свій код в будь-які каталоги дисків в
надії, що ці нові копії будуть коли-небудь запущені користувачем. Іноді
ці віруси дають своїм копій «спеціальні» імена, щоб підштовхнути
користувача на запуск своєї копії - наприклад, INSTALL.EXE або WINSTART.BAT. p>
Деякі віруси записують
свої копії в архіви (ARJ, ZIP, RAR). Інші записують команду запуску
зараженого файлу в BAT-файли. p>
Link-віруси також не
змінюють фізичного вмісту файлів, однак при запуску зараженого файлу
«Змушують» ОС виконати свій код. Цієї мети вони досягають модифікацією
необхідних полів файлової системи. p>
2.2.4.Поліморфние віруси h2>
Більшість питань пов'язано з терміном
«Поліморфний вірус». Цей вид комп'ютерних вірусів представляється на
сьогоднішній день найбільш небезпечним. Що це таке. p>
поліморфних вірусів - віруси,
модифікуючі свій код в заражених програмах таким чином, що дві
екземпляри одного і того самого вірусу можуть не збігатися ні в одному бите. p>
Такі віруси не тільки шифрують свій код,
використовуючи різні шляхи шифрування, але й містять код генерації шіфровщіка і
розшифровувача, що відрізняє їх від звичайних шифрувальних вірусів, які також
можуть шифрувати ділянки свого коду, але мають при цьому постійний код
шифрувальника і розшифровувача. p>
поліморфні віруси - це віруси з
самомодіфіцірующіміся розшифровувача. Мета такого шифрування: маючи заражений
і оригінальний файли, ви все одно не зможете проаналізувати його код з
допомогою звичайного дізассемблірованія. Цей код зашифрований і являє собою
безглуздий набір команд. Розшифровка виробляється самим вірусом вже
безпосередньо під час виконання. При цьому можливі варіанти: він може
розшифрувати себе все відразу, а може виконати таку розшифровку «по ходу
справи », може знову шифрувати вже відпрацьовані ділянки. Все це робиться заради
утруднення аналізу коду вірусу. p>
2.2.5.Стелс-віруси h2>
У ході перевірки комп'ютера антивірусні
програми зчитують дані - файли та системні області з жорстких дисків та
дискет, користуючись засобами операційної системи і базової системи
введення/виведення BIOS. Ряд вірусів, після запуску залишають в оперативній пам'яті
комп'ютера спеціальні модулі, що перехоплюють звернення програм до дискової
підсистемі комп'ютера. Якщо такий модуль виявляє, що програма намагається
прочитати заражений файл або системну область диска, він на ходу підмінює
читаються дані, як ніби вірусу на диску немає. p>
Стелс-віруси обманюють антивірусні
програми і в результаті залишаються непоміченими. Тим не менш, існує
простий спосіб відключити механізм маскування стелс-вірусів. Досить
завантажити комп'ютер з не зараженої системної дискети і відразу, не запускаючи
інших програм з диска комп'ютера (які також можуть виявитися зараженими),
перевірити комп'ютер антивірусною програмою. p>
При завантаженні з системної дискети вірус не
може отримати управління і встановити в оперативній пам'яті резидентний модуль,
реалізує стелс-механізм. Антивірусна програма зможе прочитати інформацію,
дійсно записану на диску, і легко виявить вірус. p>
2.2.6.Макровіруси h2>
В епоху «класичних» вірусів будь-який
більш-менш грамотний користувач прекрасно знав: джерелом вірусної зарази
можуть бути тільки програми. І вже навряд чи навіть у страшному сні могло наснитися,
що через кілька років смертоносної начинкою обзаведуться ... текстові документи!
Втім, такі повідомлення час від часу проскакували ще наприкінці 80-х років.
Але з'явилися вони переважно першого квітня, так що ніякої реакції, крім
сміху, викликати не могли. p>
Як виявилося, сміялися марно ... p>
У 1995 р., після появи операційної
системи Windows
95 Microsoft з великою
помпою оголосила: старим DOS-вірусів
кінець, Windows захищена від
них на 100%, ну а нових вірусів найближчим часом не передбачається. Якби ж то! Вже
в тому ж 1995 р. було зареєстровано кілька потужних вірусних атак і створений
перший вірус, що працює під Windows
95. P>
А менше ніж через півроку людство
було приголомшений вірусами нового, зовсім невідомого типу і принципу
дії. На відміну від усіх «пристойних» вірусів, новачки паразитували не на
виконуваних файлах, а на документах, підготовлених у популярних програмах з
комплекту Microsoft Office. p>
Ларчик відкривався просто: в текстовий
редактор Microsoft Word
і табличний редактор Microsoft Excel
був вбудований свою власну мову програмування - Visual Basic for Applications (VBA), призначений для створінь
спеціальних додатків до редакторів - макросів. Ці макроси зберігалися в тілі
документів Microsoft Office
і легко могли бути замінені вірусами. Після відкриття зараженого файлу вірус
активувався і заражав всі документи Microsoft Office на вашому диску. p>
Спочатку макровіруси - а саме так
називали новий клас вірусів, - вели себе досить пристойно. У крайньому випадку
- Псували текстові документи. Проте вже незабаром макровіруси перейшли
до своїх звичайних обов'язків - видалення інформації. p>
До такого повороту справ борці з вірусами
явно не були готові. І тому буквально через кілька днів Concept вірус, що вражає документи Word, поширився по всій планеті.
Заражені файли Word
з ласим змістом (наприклад, списками паролів до інтернет-серверів)
подорожували від користувача до користувача через Інтернет. Довірливі
хапали «наживку» не задумуючись - адже навіть найрозумніші з них були переконані:
через тексти віруси не передаються! У підсумку за чотири роки, що минули з моменту
появи першого «макровіруси», цей клас вірусів став самим численним і
небезпечним. p>
Одна з найбільш потужних атак макровірусів
була зареєстрована в березні 1999 р., коли вірус Melissa, створений програмістом Дивідом Смітом,
всього за кілька годин поширився по всьому світу. І хоча цей вірус був
порівняно безпечним (Melissa
обмежувалася тим, що заражала всі існуючі документи і розсилала свої
копії людям, внесених до списку контактів Microsoft Outlook), його поява наробило чимало галасу.
Саме поява Melissa
змусило Microsoft
терміново оснастити програми Microsoft Office
захистом від запуску макросів. При відкритті будь-якого документа, що містить
вбудовані макроси, розумний Word
і Excel обов'язково
запитає користувача: а ви впевнені, що замість всіляких корисностей вам не
підсовують в документі всіляку бяку? І чи варто ці макроси завантажувати?
Натисніть кнопку Ні - і вірусу буде поставлений надійний заслін. Просто
дивно, що незважаючи на таку простоту захисту більшість користувачів
ігнорує попередження програми. І заражаються ... p>
«Майка лідера» належала макровірусами
близько п'яти років - термін, за мірками комп'ютерного світу, чималий. Вижити і
досягти успіху їм допоміг Інтернет - протягом останніх років віруси цього типу
поширилися в основному по електронній пошті. Джерелом зараження міг бути
і присланий комп'ютерної фірмою прайс-лист, або оповіданнячко, відісланий у вигляді
файлу-вкладення горопашним одним. p>
Сьогодні число макровірусів знизилося в
кілька разів - сьогодні їм належить не більше 15% усього вірусного «ринку».
Проте небезпека зараження макровірусами як і раніше висока - і тому будьте
особливо обережні, якщо вам часто доводиться мати справу з документами,
створеними на інших комп'ютерах. Якісний антивірус в поєднанні з
включеної захистом від макросів в програмах Microsoft Office можуть надійно захистити вас від
подібної напасті. p>
2.2.7.Скріпт-віруси h2>
Насправді макровіруси є не
самостійним «видом», а всього лише одним з різновидів великої
сімейства шкідливих програм - скрипт-вірусів. Їх відокремлення пов'язане хіба
що з тим фактором, що саме макровіруси поклали початок всього цього
сімейства, до того ж віруси, «заточені» під програми Microsoft Office, отримали найбільше поширення з
всього клану. Слід зазначити також, що
скрипт-віруси є підгрупою файлових вірусів. Дані віруси, написані на
різних скрипт-мовами (VBS, JS, BAT, PHP і т.д.). p>
Загальна риса скрипт-вірусів - це прив'язка
до одного з «вбудованих» мов програмування. Кожний вірус прив'язаний до
конкретної «дірки» у захисті однієї з програм Windows і представляє собою не самостійну
програму, а набір інструкцій, які змушують загалом необразливий
«Движок» програми здійснювати не властиві йому руйнівні дії. P>
Як і у випадку з документами Word, саме по собі використання
мікропрограм (скриптів, Java-аплетів
і т.д.) не є криміналом, - більшість з них цілком мирно трудиться,
роблячи сторінку більш привабливою або більш зручною. Чат, гостьова книга,
система голосування, лічильник - всім цим зручностей наші сторінки зобов'язані
вбудоване-«скриптам». Що ж до Java-аплетів, то їх присутність на сторінці
теж обгрунтовано - вони дозволяють, наприклад, вивести на екран зручне і
функціональне меню, що розгортається під курсором мишки ... p>
Вигоди зручностями, але не варто
забувати, всі ці аплети і скрипти - справжні, повноцінні програми.
Причому багато хто з них запускаються і працюють не десь там, на невідомому
сервер, а безпосередньо на вашому комп'ютері! І, вмонтувавши в них вірус,
творці сторінки зможуть отримати доступ до вмісту вашого жорсткого диска.
Наслідки вже відомі - від простої крадіжки пароля до форматування жорсткого
диска. p>
Зрозуміло, із «скриптами-вбивцями» вам
доведеться стикатися у сто разів рідше, ніж із звичайними вірусами. До речі, на
звичайні антивіруси в цьому випадку надії мало, однак відкрита разом зі
сторінкою шкідлива програма повинна буде подолати захист самого браузера,
творці якого прекрасно інформовані про подібні штучки. p>
p>
Налаштування рівня безпеки Internet Explorer p>
Повернімося на хвильку до настройок Internet Explorer, - а саме в меню Сервіс/Властивості
оглядача/Безпека. Internet Explorer
пропонує нам декілька рівнів безпеки. Крім стандартного рівня
захисту (зона Інтернет) ми можемо підсилити (зона Обмежити) або послабити свою
пильність (зона Надійні вузли). Натиснувши кнопку Інший, ми можемо вручну
відрегулювати захист браузера. p>
Втім, більша частина скрипт-вірусів
поширюється через електронну пошту (такі віруси частіше називають
«Інтернет-хробаками»). Мабуть, найяскравішими представниками цього сімейства
є віруси LoveLetter
і Anna Kournikova, атаки яких припали на сезон
2001-2002 р. Обидва цих вірусу використовували один і той самий прийом, заснований не
тільки на слабкій захисту операційної системи, але і на наївності користувачів. p>
Ми пам'ятаємо що переносниками вірусів у
більшості випадків є повідомлення електронної пошти, що містять вкладені
файли. Пам'ятаємоі те, що вірус може проникнути в комп'ютер або через програми
(виконувані файли з розширенням *. exe, *. com.),
або через документи Microsoft Office.
Пам'ятаємо і те, що з боку картинок або звукових файлів нам ніяка
неприємність загрожувати начебто не може. А тому, розкопавши неждано-негадано в
поштовій скриньці лист з прикріпленим до нього (судячи з імені файлу та розширення)
картинкою, тут же радісно її запускаємо ... І виявляємо, під картинкою
переховувався шкідливий вірусний «скрипт». Добре ще, що виявляємо відразу, а
не після того, як вірус встиг повністю знищити всі ваші дані. p>
Хитрість творців вірусу проста - файл,
який видався нам картинкою, мав подвійне розширення! Наприклад, AnnaKournikova.jpg.vbs p>
Ось саме друге розширення і є
дійсним типом файлу, в той час як перша є просто частиною його імені. А
оскільки розширення vbs
Windows добре
знайомо, вона, не довго думаючи, ховає його від очей, залишаючи на
екрані лише ім'я AnnaKournikova.jpg p>
І Windows чинить так з усіма
зареєстрованими типами файлів: дозвіл відкидається а про тип файлу
повинен свідчити значок. На який, на жаль, ми рідко звертаємо увагу. P>
Хороша пастка, але розрізнити її легше
легкого: фокус з «подвійним розширенням» не проходить, якщо ми заздалегідь активуємо
режим відображення типів файлів. Зробити це можна за допомогою меню Параметри папки
на панелі управління Windows:
клацніть по цьому значку, потім відкрийте закладку Вигляд і зніміть галочку з
рядка Приховувати розширення для зареєстрованих типів файлів. p>
Запам'ятайте: як «вкладення» в лист
припустимі лише кілька типів файлів. Щодо безпечні файли txt, jpg, gif, tif, bmp, mp3, wma. P>
А ось список безумовно небезпечних типів
файлів: p>
asx p>
com p>
inf p>
msi p>
bas p>
cpl p>
ins p>
pif p>
bat p>
crt p>
js p>
reg p>
cmd p>
exe p>
msc p>
vbs p>
Власне кажучи, список потенційних
«Вірусоносіїв» включає ще не один десяток типів файлів. Але ці зустрічаються
частіше за інших. p>
2.2.8. «троянські програми», програмні
закладки та мережеві черв'яки. h2>
Троянський кінь - це програма,
що містить у собі деяку руйнує функцію, яка активізується при
настанні деякого умови спрацьовування. Зазвичай такі програми маскуються
під які-небудь корисні утиліти. Віруси можуть нести в собі троянських коней
або "троянізіровать" інші програми - вносити до них руйнують
функції. p>
«троянські коні» являють собою
програми, що реалізують крім функцій, що описані в документації, і деякі
інші функції, пов'язані з порушенням безпеки і деструктивними
діями. Відмічені випадки створення таких програм з метою полегшення
розповсюдження вірусів. Списки таких програм широко публікуються в зарубіжній
друку. Зазвичай вони маскуються під ігрові або розважальні програми та
завдають шкоди під красиві картинки або музику. p>
Програмні закладки також містять
деяку фун