Реферат p>
за темою «Комп'ютерні віруси». p>
Комп'ютерний вірус - спеціально написана програма, здатнамимовільно приєднуватися до інших програм, створювати свої копії тавпроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі зметою порушення роботи програм, псування файлів і каталогів, створеннявсіляких перешкод у роботі комп'ютера.
В даний час відомо більше 23000 програмних вірусів, число якихбезперервно зростає. p>
Історія виникнення і розвитку комп'ютерних вірусів. p>
Вважають, що ідея створення комп'ютерних вірусів була придуманаписьменником-фантастом Т. Дж. Райн, який в одній зі своїх книг,опублікованій в США в 1977 р., описав епідемію, за короткий часвразила більше 7000 комп'ютерів. Причиною епідемії став комп'ютернийвірус, який, передаючись від одного комп'ютера до іншого, впроваджувався в їхопераційні системи і виводив їх з-під контролю людини. p>
Збиток, що наноситься комп'ютерними вірусами, швидко зростає, а їхнебезпеку для таких життєво важливих систем, як оборона, транспорт, зв'язок,поставила проблему комп'ютерних вірусів в ряд тих, які зазвичай знаходятьсяпід пильною увагою органів державної безпеки. p>
Вважається визнаним, що в останні роки найбільше вірусівстворювалося в СРСР, а потім в Росії та інших країнах СНД. Але і в іншихкраїнах, у тому числі в США, значний шкоди, що завдається вірусами. В СШАборотьба з вірусами ведеться на найвищому рівні. p>
У Кримінальному Кодексі Росії позначена стаття 273 за "Створення,використання і поширення шкідливих програм для ЕОМ ", якаговорить: p>
1. Створення програм для ЕОМ або внесення змін до існуючихпрограми, свідомо призводять до несанкціонованого знищення,блокування, модифікації або копіювання інформації, порушення роботи
ЕОМ, системи ЕОМ або їх мережі а так само використання або поширеннятаких програм або машинних носіїв з такими програмами - караютьсяпозбавленням волі на строк до 3 років зі штрафом у розмірі від двохсот доп'ятисот мінімальних розмірів оплати праці або в розмірі заробітної платиабо іншого доходу засудженого за період від двох до п'яти місяців. p>
2. Ті самі дії, що спричинили з необережності тяжкі наслідки, --караються позбавленням волі на строк від трьох до семи років. p>
У США, незабаром після оголошення в 1993 році Білим домом про підключенняпрезидента Білла Клінтона і віце-президента Альберта Гора до мережі Internet,адміністрація підтримала ідею проведення Національного дня боротьби зкомп'ютерними вірусами. Такий день відзначається тепер щороку. Національною асоціацією з комп'ютерної захисту США (NCSA) і компанією Dataquestопубліковано такі дані за результатами досліджень вірусноїпроблеми: p>
- 63% опитаних постраждали від комп'ютерних вірусів; p>
- передбачувані втрати американського бізнесу від комп'ютерних вірусівв 1999 році складуть близько 3 млрд. доларів; p>
- ідентифіковано понад 23000 комп'ютерних вірусів; p>
- щомісяця з'являється понад 50 нових вірусів; p>
- в середньому від кожної вірусної атаки страждає 142 персональнихкомп'ютера: на її відображення в середньому йде 2,4 дня; p>
- для компенсації збитків у 114 випадків було потрібно більше 5 днів. p>
Починаючи з кінця 1990 р., з'явилася нова тенденція, отрималаназву "експонентний вірусний вибух". Кількість нових вірусів,що виявляють у місяць, стало обчислюватися десятками, а згодом ісотнями. Спочатку епіцентром цього вибуху була Болгарія, потім вінперемістився в Росію. Після 1994 р. темп зростання вірусів пішов на спад,хоча їх загальна кількість продовжує збільшуватися. Це пов'язано з тим, що
ОС MS D0S, яка і дає 99% існуючих комп'ютерних вірусів,поступово здає свої лідируючі позиції як операційна система дляперсональних комп'ютерів, поступаючись Windows, 0S2, UNIX і т.п. p>
Крім того, віруси постійно розширюють свою "середовище існування" іреалізують принципово нові алгоритми впровадження та поведінки. Так, у 1995році з'явилися представники, які спростовують ключові принципи антивірусноїзахисту - те, що комп'ютер, завантажений зі свідомо чистої системноїдискети, не може містити вірус, і те, що віруси не заражають файли зданими. p>
Першим з'явився вірус, який таким чином коригуєконфігурацію комп'ютера, що при спробі завантаження з дискети він все однозавантажується з зараженого жорсткого диска, і вірус активізується в системі. p>
Інший вірус, що з'явився в середині серпня 1995 р. у США та низцікраїн Західної Європи, використовує можливість подання інформації ввигляді конгломерату даних і програм. Він заражає документи, підготовленів системі MS Word for Windows - файли типу. DOC. Так як такі файлищоденно десятками тисяч циркулюють в локальних і глобальних мережах, цяздатність вірусу забезпечила його миттєве розповсюдження по всьомусвітлі протягом декількох днів і 25 серпня він був виявлений в Москві.
Вірус написаний на макромови пакету Word. Він переносить себе в областьглобальних макросів, перевизначають макрос FileSaveAs і копіює себе вкожен файл, зберігається за допомогою команди Save As. При цьому він переводитьфайл з категорії "документ" в категорію "шаблон", що робить, неможливимйого подальше редагування. Виявити наявність цього вірусу можна запояви у файлі winword6.ini рядка ww6i = 1. p>
Новим словом у вірусології став вірус під назвою «Чорнобиль» або
WIN95.CIH. Даний вірус на відміну від своїх побратимів в залежності відмодифікації міг знищувати MBR жорсткого диска, таблицю розміщення даних іне захищених від перезапису Flash-пам'ять. Хвиля епідемії цього вірусупрокотилася по всьому світу. Величезний матеріальний збиток був нанесений в
Швеції. 26 квітня 1999 постраждала велика кількість користувачів і в
Росії. P>
Найбільш відомий викликав всесвітню сенсацію і привернув увагудо вірусної проблеми інцидент з вірусом-хробаком в глобальній мережі Internet.
Другого листопада 1988 студент Корнелловского університету Роберт Моррісзапустив на комп'ютері Массачусетського технологічного інститутупрограму-черв'як, яка передавала свій код з машини на машину, використовуючипомилки в системі UNIX на комп'ютерах VAX і Sun. Протягом 6 годин буливражені 6000 комп'ютерів, в тому числі Стенфордського університету,
Массачусетського технологічного інституту, університету Берклі та багатьохінших. Крім того, були вражені комп'ютери Дослідницького інституту
НАСА і Національної лабораторії Лоуренса в Ліверморі - об'єкти, на якихпроводяться найпотаємніші стратегічні дослідження і розробки. Хробакявляв собою програму з 4000 рядків мовою "С" і вхідному мовоюкомандного інтерпретатора системи UNIX. Слід зазначити, що вірус тільки розповсюджувався по мережі і не здійснював будь-яких руйнують дій.
Однак це стало ясно тільки на етапі аналізу його коду, а поки віруспоширювався, в обчислювальних центрах панувала справжня паніка. Тисячікомп'ютерів були зупинені, збиток склав багато мільйонів доларів. p>
Класифікація вірусів p>
Відомі програмні віруси можна класифікувати за наступнимиознаками:середовищі існуванняспособом зараження середовища проживаннявпливуособливостями алгоритму p>
Залежно від середовища перебування віруси можна розділити на: o мережеві o файлові o завантажувальні o файлово-завантажувальні. p>
Мережні віруси поширюються по різних комп'ютерних мереж. p> < p> Файлові віруси впроваджуються головним чином у виконувані модулі, тобтоу файли, що мають розширення COM та EXE. Вони можуть впроваджуватися і в іншітипи файлів, але, як правило, записані в таких файлах, вони ніколи неотримують управління і, отже, втрачають здатність до розмноження. p>
Завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор)або в сектор, що містить програму завантаження системного диска (Master Boot
Record). P>
Файлово-завантажувальні віруси заражають як файли, так і завантажувальнісектора дисків. p>
За способом зараження віруси поділяються на: o резидентні o нерезидентні. p>
Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає воперативної пам'яті свою резидентну частина, яка потім перехоплюєзвертання операційної системи до об'єктів зараження (файлів, завантажувальнимсекторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться впам'яті і є активними аж до вимикання або перезавантаженнякомп'ютера. p>
Нерезидентні віруси не заражають пам'ять комп'ютера і єактивними обмежений час. p>
За ступенем впливу віруси можна розділити на наступні види: p>
5. безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів проявляються в будь-яких графічних або звукових ефектах p>
6. небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера p>
7. дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації в системних областях диска. p>
За особливостями алгоритму віруси важко класифікувати черезвеликої різноманітності. Найпростіші віруси - паразитичні, вони змінюютьвміст файлів і секторів диска і можуть бути досить легко виявленіі знищені. Віруси-станції, звані хробаками, якірозповсюджуються по комп'ютерних мережах, обчислюють адреси мережнихкомп'ютерів і записують за цими адресами свої копії. Віруси-невидимки,звані стелс-вірусами, які дуже важко виявити та знешкодити,так як вони перехоплюють звертання операційної системи до ураженихфайлів і секторів дисків та підставляють замість свого тіла незараженіділянки диска. Найбільш важко виявити віруси-мутанти (поліморфнівіруси), що містять алгоритми шифрування-розшифровки, завдяки яким копіїодного і того ж вірусу не мають ні одного повторюється ланцюжка байтів.
Є і так звані квазівірусние або «троянські» програми, якіхоча і не здатні до самопоширення, але дуже небезпечні, тому що,маскуючись під корисну програму, руйнують завантажувальний сектор та файловусистему дисків. p>
Файлові віруси p>
На відміну від завантажувальних вірусів, які практично завждирезидентних, файлові віруси не обов'язково резидентних. Областю існуванняфайлових вірусів є файли. p>
Якщо файловий вірус не резидентний, то при запуску інфікованоговиконуваного файлу вірус записує свій код в тіло програмного файлутаким чином, що при запуску програми вірус перший отримує управління.
Зробивши деякі дії, вірус передає управління зараженоїпрограмі. При запуску вірус сканує локальні диски комп'ютера і мережнікаталоги в пошуках нового об'єкта для зараження. Після того як відповіднийпрограмний файл буде знайдений, вірус записує в нього свій код, щоботримати управління при запуску цього файлу. p>
Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримаєможливість заражати файли і виявляти інші здібності не тільки підчас роботи зараженого файлу. p>
Щодо нової різновидом файлового вірусу ємакрокомандний вірус, що поширюється з документами офісних додатків,таких як Microsoft Word for Windows або Microsoft Excel for Windows. p>
Документи офісних додатків містять в собі не тільки текст іграфічні зображення, а й дії, які являють собоюніщо інше, як програми. Ці програми складаються на мові,нагадує Бейсік. Вірус може змінювати існуючі дії ідодавати нові, впроваджуючи своє тіло в файл документа. p>
Механізм розповсюдження макрокомандних вірусів заснований на тому, щоіснують дії, які запускаються при відкритті документа дляредагування або при виконанні інших операцій. Розробникмакрокомандного вірусу бере файл з ім'ям, наприклад, readme.doc, ізаписує в нього одну або кілька вірусних макрокоманд, наприклад,вірусну дії з ім'ям AutoExec. Коли користувач відкриває такийфайл за допомогою текстового процесора Microsoft Word for Windows, цяМакрокоманда буде автоматично запущена на виконання. При цьому вірусотримає управління і може заразити інші документи, що зберігаються на дисках.
Якщо вірусна Макрокоманда має ім'я FileSaveAs, то поширення вірусубуде відбуватися при збереженні документа. p>
Для запобігання зараження вірусами макрокоманднимі необхідноперед переглядом або редагуванням перевіряти нові файли документів здопомогою антивірусних програм, здатних шукати такі віруси. p>
Завантажувальні віруси p>
Друга велика група вірусів - це так звані завантажувальні віруси.
Розповсюдження і активізація цих вірусів відбувається в момент завантаженняопераційної системи, ще до того, як користувач встиг запустити яку -або антивірусне програмне забезпечення. p>
Відразу після включення електроживлення комп'ютера починає працюватипрограма ініціалізації, записана в ПЗП базової системи введення/виводу
BIOS. Ця програма перевіряє оперативну пам'ять і інші пристроїкомп'ютера, а потім передає керування програмі початкового завантаження,яка також знаходиться в BIOS. p>
Програма початкового завантаження намагається прочитати в оперативну пам'ятьвміст самого першого сектора нульової доріжки жорсткого диска, в якомузнаходиться головна запис завантаження Master Boot Record (MBR), абовміст самого першого сектора нульової доріжки дискети, вставленою впристрій A:. Цей сектор містить завантажувальний запис Boot Record (BR). P>
Існує дві можливості завантажити операційну систему - з жорсткогодиска або з дискети. p>
При завантаженні з жорсткого диска в пам'ять за фіксованим адресоючитається зміст головної завантажувального запису. Ця запис представляєє програмою, завданням якої є завантаження операційної системи злогічного диска. p>
Завантажувач, розташований в головний запис завантаження MBRпереглядає таблицю розділів диска Partition Table, яка знаходиться втому ж секторі диска, що і сам запис MBR. Після того, як в цій таблицібуде знайдений розділ, позначений як активний, виконується читання самогопершого сектора цього розділу в оперативну пам'ять, - сектора завантажувальноїзапису BR. У цьому секторі знаходиться ще один завантажувач. P>
Завданням завантажувача BR є зчитування в оперативну пам'ятьстартових модулів операційної системи та передача їм управління. Спосібзавантаження залежить від операційної системи, тому кожна операційнасистема має свій власний завантажувач BR. p>
Завантаження з дискети відбувається простіше, тому що формат дискети в точностівідповідає формату логічного диска. Найперший сектор нульовоїдоріжки дискети містить завантажувальний запис BR, яка читається на згадку.
Після читання їй передається керування. P>
Дискети можуть бути системними і несистемними. P>
Системну дискету MS-DOS можна підготувати за допомогою команди format,вказавши їй параметр/s, або за допомогою команди sys. І в тому, і в іншомувипадку в першу сектор нульової доріжки дискети записується програмапочаткового завантаження MS-DOS. p>
Якщо ж дискета була відформатована командою format без параметра/s,вона буде несистемної. Тим не менш, у першому сектор нульової доріжкидискети все одно записується програма, єдиним призначенням якоїє виведення повідомлення про необхідність вставити в НГМД системну дискету. p>
Дана обставина - присутність завантажувального запису на несистемноїдискеті - відіграє важливу роль при розповсюдженні завантажувальних вірусів. p>
Завантаження операційної системи є багатоступінчастим процесом, хідякого залежить від різних обставин. У цьому процесі задіяно трипрограми, які служать об'єктом нападу завантажувальних вірусів:головна запис завантаження;завантажувальний запис на логічному диску;завантажувальний запис на дискеті p>
Віруси можуть заміняти деякі або всі перераховані вище об'єкти,вбудовуючи в них своє тіло і зберігаючи вміст оригінальному завантажувальногосектора в якому-небудь більш-менш відповідному для цього місці на дискукомп'ютера. В результаті при включенні комп'ютера програма завантаження,розташована в BIOS, завантажує в пам'ять вірусний код і передає йомууправління. Подальша завантаження операційної системи відбувається підконтролем вірусу, що ускладнює, а в деяких випадках і виключає йоговиявлення антивірусними програмами. p>
Комбіновані файлово-завантажувальні віруси p>
Найбільш довершені і найбільш небезпечні віруси використовують методипоширення, характерні і для файлових, і для завантажувальних вірусів.
Такі віруси записують своє тіло в файли і в загрузоч?? ті записи дискет ідисків. p>
поліморфних вірусів p>
Цей вид комп'ютерних вірусів представляється на сьогоднішній деньнайбільш небезпечним. p>
поліморфних вірусів - віруси, що модифікують свій код в зараженихпрограмах таким чином, що два примірники одного і того самого вірусу можутьне збігатися ні в одному бите. p>
Такі віруси не тільки шифрують свій код, використовуючи різні шляхишифрування, але й містять код генерації шіфровщіка і розшифровувача, щовідрізняє їх від звичайних шифрувальних вірусів, які також можуть шифруватиділянки свого коду, але мають при цьому постійний код шифрувальника ірозшифровувача. p>
поліморфні віруси - це віруси з самомодіфіцірующімісярозшифровувача. Мета такого шифрування: унеможливитипроаналізувати код вірусу за допомогою звичайного дізассемблірованія, навітьмаючи заражений і оригінальний файли. Цей код зашифрований і являєсобою безглуздий набір команд. Розшифровка виробляється самим вірусомвже безпосередньо під час виконання. При цьому можливі варіанти: вінможе розшифрувати себе все відразу, а може виконати таку розшифровку вході роботи, може знову шифрувати вже відпрацьовані ділянки. Все церобиться заради ускладнення аналізу коду вірусу. p>
Стелс-віруси p>
У ході перевірки комп'ютера антивірусні програми зчитують дані --файли та системні області з жорстких дисків та дискет, користуючись засобамиопераційної системи та базової системи введення/виводу BIOS. Ряд вірусів,після запуску залишають в оперативній пам'яті комп'ютера спеціальні модулі,перехоплюють звернення програм до дискової підсистеми комп'ютера. Якщотакий модуль виявляє, що програма намагається прочитати заражений файлабо системну область диска, він на ходу підмінює читаються дані, якніби вірусу на диску немає. p>
Стелс-віруси обманюють антивірусні програми і в результаті залишаютьсянепоміченими. Тим не менш, існує простий спосіб відключити механізммаскування стелс-вірусів. Досить завантажити комп'ютер з не зараженоїсистемної дискети і відразу, не запускаючи інших програм з диска комп'ютера
(які також можуть виявитися зараженими), перевірити комп'ютерантивірусною програмою. p>
При завантаженні з системної дискети вірус не може отримати управління івстановити в оперативній пам'яті резидентний модуль, що реалізує стелс -механізм. Антивірусна програма зможе прочитати інформацію, що дійснозаписану на диску, і легко виявить вірус. p>
Системна дискета для антивірусного контролю повинна бути підготовленазаздалегідь. Крім системних файлів, на неї слід записати антивірусніпрограми. p>
троянські коні, програмні закладки та мережеві черв'яки p>
Троянський кінь - це програма, яка містить в собі деякуруйнує функцію, яка активізується при настанні деякогоумови спрацювання. Зазвичай такі програми маскуються під які-небудькорисні утиліти. Віруси можуть нести в собі троянських коней або
"троянізіровать" інші програми - вносити до них руйнують функції. p>
«троянські коні» являють собою програми, що реалізують крімфункцій, що описані в документації, і деякі інші функції, пов'язані зпорушенням безпеки і деструктивними діями. Відмічені випадкистворення таких програм з метою полегшення розповсюдження вірусів. Спискитаких програм широко публікуються в зарубіжній пресі. Зазвичай вонимаскуються під ігрові або розважальні програми та завдають шкоди підкрасиві картинки або музику. p>
Програмні закладки також містять деяку функцію, що завдаєзбиток НД, але ця функція, навпаки, намагається бути якомога непомітніше,тому що чим довше програма не буде викликати підозр, тим довшезакладка зможе працювати. p>
Як приклад наведемо можливі деструктивні функції,реалізовані «троянськими кіньми» та програмними закладками: p>
1. Знищення інформації. Конкретний вибір об'єктів і способівзнищення залежить тільки від фантазії автора такої програми іможливостей ОС. Ця функція є спільною для троянських коней ізакладок. p>
2. Перехоплення і передача інформації. Як приклад можна навестиреалізацію закладки для виділення паролів, що набираються на клавіатурі. p>
3. Цілеспрямована модифікація коду програми, що цікавитьпорушника. Як правило, це програми, що реалізують функції безпеки ізахисту. p>
Якщо віруси і «троянські коні» завдають шкоди за допомогоюлавиноподібного саморозмноження або явного руйнування, то основна функціявірусів типу «хробак», що діють в комп'ютерних мережах, - злом атакуєтьсясистеми, тобто подолання захисту з метою порушення безпеки іцілісності. p>
У більш 80% комп'ютерних злочинів, що розслідуються ФБР, "зломщики"проникають в атакується систему через глобальну мережу Internet. Коли такаспроба вдається, майбутнє компанії, на створення якої пішли роки, можебути поставлено під загрозу за якісь секунди. p>
Цей процес може бути автоматизовано за допомогою вірусу, званогомережевий черв'як. p>
хробаками називають віруси, які розповсюджуються з глобальнихмережам, вражаючи цілі системи, а не окремі програми. Це найнебезпечнішавид вірусів, тому що об'єктами нападу в цьому випадку стаютьінформаційні системи державного масштабу. З появою глобальноїмережі Internet цей вид порушення безпеки представляє найбільшузагрозу, тому що йому в будь-який момент може зазнати будь-який з 40 мільйонівкомп'ютерів, підключених до цієї мережі. p>
Ознаки появи вірусів p>
При зараженні комп'ютера вірусом важливо його виявити. Для цьогослід знати про основні ознаки прояву вірусів. До них можна віднестинаступні:
1. припинення роботи або неправильна робота раніше успішно функціонуючих програм
2. повільна робота комп'ютера
3. неможливість завантаження операційної системи
4. зникнення файлів і каталогів чи спотворення їх вмісту
5. зміна дати і часу модифікації файлів
6. зміна розмірів файлів
7. несподіване значне збільшення кількості файлів на диску
8. істотне зменшення розміру вільної оперативної пам'яті
9. виведення на екран непередбачених повідомлень та зображень
10. подача непередбачуваних звукових сигналів
11. часті зависання і збої в роботі комп'ютера p>
Слід зазначити, що перераховані вище явища необов'язкововикликаються присутністю вірусу, а можуть бути наслідком інших причин.
Тому завжди утруднена правильна діагностика стану комп'ютера. P>
Заходи щодо захисту від вірусів і профілактики їх появи. P>
Антивірусні програми p>
Для виявлення, видалення і захисту від комп'ютерних вірусіврозроблено декілька видів спеціальних програм, які дозволяютьвиявляти і знищувати віруси. Такі програми називаються антивірусними.
Розрізняють такі види антивірусних програм:програми-детекторипрограми-доктора або фагипрограми-ревізорипрограми-фільтрипрограми-вакцини або іммунізатори. p>
Програми-детектори здійснюють пошук характерної для конкретноговірусу сигнатури в оперативній пам'яті й у файлах і при виявленні видаютьвідповідне повідомлення. Недоліком таких антивірусних програм єте, що вони можуть знаходити тільки ті віруси, які відомі розробникамтаких програм. p>
Програми-доктора або фаги, а також програми-вакцини не тількизнаходять заражені вірусами файли, але і «лікують» їх, тобто видаляють з файлутіло програми-вірусу, повертаючи файли в початковий стан. На початку своєїроботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потімпереходять до «лікування» файлів. Серед фагів виділяють поліфаг, тобто програми -доктора, призначені для пошуку і знищення великої кількостівірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus,
Doctor Web. P>
огляду на те, що постійно з'являються нові віруси, програми-детектори тапрограми-доктори швидко старіють, і потрібно регулярне оновленняверсій. p>
Програми-ревізори відносяться до найнадійніших засобів захисту відвірусів. Ревізори запам'ятовують початковий стан програм, каталогів тасистемних областей диска тоді, коли комп'ютер не заражений вірусом, а потімперіодично або за бажанням користувача порівнюють поточний стан звихідним. Виявлені зміни виводяться на екран монітора. Як правило,порівняння станів проводять відразу після завантаження операційної системи.
При порівнянні перевіряються довжина файлу, код циклічного контролю
(контрольна сума файла), дата і час модифікації, інші параметри.
Програми-ревізори мають достатньо розвинуті алгоритми, виявляють стелс -віруси і можуть навіть очистити зміни версії перевіряється програми відзмін, внесених вірусом. До числа програм-ревізорів належить широкопоширена в Росії програма Adinf. p>
Програми-фільтри або «сторожа» є невеликимирезидентні програми, призначені для виявлення підозрілихдій при роботі комп'ютера, характерних для вірусів. Такими діямиможуть бути:спроби корекції файлів з розширеннями COM, EXEзміна атрибутів файлупрямий запис на диск по абсолютному адресоюзапис у завантажувальні сектори дисказавантаження резидентного програми p>
При спробі будь-якої програми здійснити зазначені дії
«Сторож» посилає користувачеві повідомлення і пропонує заборонити абодозволити відповідна дія. Програми-фільтри досить корисні, такяк здатні виявити вірус на ранній стадії його існування дорозмноження. Однак, вони не «лікують» файли і диски. Для знищення вірусівпотрібно застосувати інші програми, наприклад фаги. p>
Вакцини або іммунізатори - це резидентні програми, що запобігаютьзараження файлів. Вакцини застосовують, якщо відсутні програми-доктори,
«Лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів.
Вакцина модифікує програму або диск таким чином, щоб це невідбивалося на їх роботі, а вірус буде сприймати їх зараженими ітому не впровадити. В даний час програми-вакцини маютьобмежене застосування. p>
Своєчасне виявлення заражених вірусами файлів і дисків, повнезнищення виявлених вірусів на кожному комп'ютері дозволяють уникнутирозповсюдження вірусної епідемії на інші комп'ютери. p>
Головною зброєю в боротьбі з вірусами є антивірусні програми.
Вони дозволяють не тільки виявити віруси, у тому числі віруси, які використовуютьрізні методи маскування, але і видалити їх з комп'ютера. Останняоперація може бути досить складною і зайняти деякий час. p>
Існує кілька основних методів пошуку вірусів, якізастосовуються антивірусними програмами:
Сканування
Евристичний аналіз
Виявлення змін
Резидентні монітори p>
Антивірусні програми можуть реалізовувати всі перераховані вищеметодики, або тільки деякі з них. p>
Сканування p>
Сканування є найбільш традиційним методом пошуку вірусів.
Воно полягає в пошуку сигнатур, виділених з раніше виявленихвірусів. Антивірусні програми-сканери, здатні видалити виявленівіруси, зазвичай називаються поліфагом. p>
Недоліком простих сканерів є їх нездатність виявитиполіморфні віруси, повністю міняють свій код. Для цього необхідновикористовувати більш складні алгоритми пошуку, що включають евристичнийаналіз перевіряються програм. p>
Крім того, сканери можуть виявити тільки вже відомі іпопередньо вивчені віруси, для яких була визначена сигнатура.
Тому програми-сканери не захистять ваш комп'ютер від проникнення новихвірусів, яких, до речі, з'являється по кілька штук на день. Якрезультат, сканери застарівають вже в момент виходу нової версії. p>
Евристичний аналіз p>
Евристичний аналіз найчастіше використовується спільно з скануваннямдля пошуку шифруються і поліморфних вірусів. У більшості випадківевристичний аналіз дозволяє також виявляти і раніше невідомівіруси. У цьому випадку, швидше за все їх лікування буде неможливо. P>
Якщо евристичний аналізатор повідомляє, що файл або завантажувальнийсектор, можливо, заражений вірусом, ви повинні поставитися до цього з великимувагою. Необхідно додатково перевірити такі файли за допомогою самихостанніх версій антивірусних програм сканерів або передати їх длядослідження авторам антивірусних програм. p>
Виявлення змін p>
заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописуєсвій код в заражає файли, змінює системні області диска і т. д. Навиявленні таких змін грунтуються робота антивірусних програм -ревізорів. p>
Антивірусні програми-ревізори запам'ятовують характеристики всіхобластей диска, які можуть піддадуться нападу вірусу, а потімперіодично перевіряють їх. У разі виявлення змін, видаєтьсяповідомлення про те, що можливо на комп'ютер напав вірус. p>
Слід враховувати, що не всі зміни викликані вторгненням вірусів.
Так, запис завантаження може зміниться при оновленні версії операційноїсистеми, а деякі програми записують усередині свого здійснимо файлудані. p>
Резидентні монітори p>
Антивірусні програми, які постійно перебувають в оперативній пам'ятікомп'ютера і відслідковують всі підозрілі дії, що виконуються іншимипрограмами, носять назву резидентних моніторів або сторожів. Дожаль, резидентні монітори мають дуже багато недоліків, якіроблять цей клас програм малопридатними для використання. Вони дратуютькористувачів великою кількістю повідомлень, здебільшого не маютьвідносини до вірусного зараження, в результаті чого їх відключають. p>
Основні заходи захисту від вірусів p>
Для того, щоб не піддати комп'ютер зараження вірусами ізабезпечити надійне зберігання інформації на дисках, необхідно дотримуватисянаступних правил:оснастити комп'ютер сучасними антивірусними програмами, наприклад
Aidstest, Doctor Web, і постійно оновлювати їх версіїперед зчитуванням з дискет, що зберігаються на інших комп'ютерах,завжди перевіряти ці дискети на наявність вірусів, запускаючи антивірусніпрограмипри перенесенні на комп'ютер фото в архівованих вигляді перевіряти їх відразуж після розархівації на жорсткому диску, обмежуючи область перевірки тількизнову записаними файламиперіодично перевіряти на наявність вірусів жорсткі диски комп'ютера,запускаючи антивірусні програми для тестування файлів, пам'яті й системнихобластей дисків із захищеної від запису дискети, попередньо завантажившиопераційну систему із захищеної від запису системної дискетизавжди захищати дискети від запису при роботі на інших комп'ютерах, якщо наних не буде проводиться запис інформаціїобов'язково робити архівні копії на дискетах цінної інформаціїне залишати в кишені дисководу А дискети під час увімкнення або перезавантаженняопераційної системи, щоб виключити зараження комп'ютера завантажувальнимивірусамивикористовувати антивірусні програми для вхідного контролю усіх виконуванихфайлів, одержуваних із комп'ютерних мереждля забезпечення більшої безпеки застосування Aidstest і Doctor Webнеобхідно поєднувати з повсякденним використанням ревізора диска Adinf p>
Антивірусна профілактика p>
Необхідно завжди мати системну дискету, створену на не зараженомукомп'ютері. На системну дискету треба записати останні версіїантивірусних програм-поліфагом, таких як Aidstest, Doctor Web або
Antiviral Toolkit Pro. Крім антивірусних програм, на дискету кориснозаписати драйвери зовнішніх пристроїв комп'ютера, наприклад драйвер пристроючитання компакт-дисків, програми для форматування дисків - format іперенесення операційної системи - sys, програму для ремонту файлової системи
Norton Disk Doctor або ScanDisk. P>
Системна дискета буде корисна не тільки у разі нападу вірусів.
Їй можна скористатися для завантаження комп'ютера в разі пошкодженняфайлів операційної системи. p>
Необхідно періодично перевіряти комп'ютер на зараження вірусами.
Найкраще вбудувати виклик антивірусної програми в файл конфігураціїautoexec.bat, щоб перевірка здійснювалася при кожному включеннікомп'ютера. Перевіряти не тільки здійсненних файлів, що маютьрозширення COM, EXE, але також пакетних файлів BAT і системних областейдисків. p>
Якщо в комп'ютері записано багато файлів, їх перевірка антивірусами -поліфагом, швидше за все, буде забирати досить багато часу. Томуубагатьох випадках краще для повсякденної перевірки використовуватипрограми-ревізори, а нові і змінені файли піддавати перевірціполіфагом. p>
Практично всі ревізори у разі зміни системних областей диска
(головний запис завантаження і завантажувального запису) дозволяють відновитиїх, навіть у тому випадку, якщо не відомо, який саме вірус їх заразив.
Лікуючий модуль ADinf Cure Module навіть дозволяє видаляти невідоміфайлові віруси. p>
Практично всі сучасні антивіруси можуть правильно працювати навітьна зараженому комп'ютері, коли в його оперативної пам'яті знаходиться активнийвірус. Однак перед видаленням вірусу все ж рекомендується заздалегідьзавантажити комп'ютер з системної дискети, щоб вірус не змогла завадитилікуванню. p>
Коли проводиться завантаження комп'ютера з системної дискети, слідзвернути увагу на два важливі моменти. p>
По-перше, для перезавантаження комп'ютера треба використовувати кнопку Reset,розташовану на корпусі системного блоку, або навіть тимчасово вимкнути йогохарчування. Не використовувати для перезавантаження комбінацію з трьох відомихклавіш. Деякі віруси можуть залишитися в пам'яті навіть після цієї процедури. P>
По-друге, перед перезавантаженням комп'ютера з дискети перевіритиконфігурацію дискової підсистеми комп'ютера і особливо параметри дисководіві порядок завантаження операційної системи (повинна бути встановленапріоритетна завантаження з дискети), записану в незалежній пам'яті.
Існують віруси, спритно змінюють параметри, записані в незалежнійпам'яті комп'ютера, в результаті чого комп'ютер завантажується з зараженоговірусом жорсткого диска, у той час як оператор думає, що завантаженнявідбувається з чистим системної дискети. p>
Обов'язково перевіряти за допомогою антивірусних програм ви дискети івсі програми, що надходять на комп'ютер через будь-які носії або через модем. Якщокомп'ютер підключений до локальної мережі, необхідно перевіряти файли,отримані через мережу від інших користувачів. p>
З появою вірусів, що поширюються через дії текстовогопроцесора Microsoft Word та електронної таблиці Microsoft Excel, необхідноособливо уважно перевіряти не тільки здійсненні файли програм ісистемні області дисків, але також і файли документів. p>
Вкрай важливо постійно стежити за виходом нових версій застосовуванихантивірусних засобів і своєчасно виконувати їх оновлення на системнійдискеті та комп'ютері; використовувати для відновлення заражених файлів ісистемних областей диска тільки останні версії антивірусів. p>
Шкрабков В.М. p>
p>