Музично-математична гімназія № 2 p>
Екзаменаційний реферат з інформатики p>
Комп'ютерні віруси p>
Виконав: учень 9 класу "Б" p>
Кочетков Максим p>
Викладач: Вайнштейн А.С. p>
Самара 1999 p>
ЗМІСТ p>
КОМП'ЮТЕРНИЙ ВІРУС p>
1.1. Що таке комп'ютерний вірус ... ... ... ... ... ... ... ... ... ... ... ... ... ... 3 p>
1.2. Як проявляють себе віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 3 p>
1. ТИПИ ВІРУСІВ p>
2.1.Віруси - супутники ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .4 p>
2.2.Файловие віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 5 p>
2.3.Загрузочние віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. .5 p>
2.4.Віруси, що поєднують в собі властивості файлових і завантажувальних вірусів ... ... ... ... ... ... ... ... .... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .5 p>
2.5.Віруси DIR ... ... ... .... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... .... 5 p>
2.6.Макровіруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... ... ... ... .. 5 p>
2. МЕХАНІЗМ ЗАХИСТУ ВІРУСІВ від виявлення p>
3.1.Стелс-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... ... .... ... ... .6 P>
3.2 . Віруси-примари ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... ... 6 p>
3. ЩО МОЖЕ І ЧОГО НЕ МОЖЕ КОМП'ЮТЕРНИЙ ВІРУС p>
4.1.Файли, що піддаються зараженню ... ... ... ... ... ... ... ... ... .. ... ... .. 6 p>
4.2.Случаі, коли можна заразити свій комп'ютер ... ... ... ... .. ... ... ... 7 p>
4. ЯК НЕ ЗАРАЗ КОМП'ЮТЕРНІ ВІРУСИ p>
5.1.Профілактіческіе заходи ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... ... ... 8 p>
5.2.Профілактіка зараження вірусом комп'ютерів групового користування ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 9 p>
5. ЩО РОБИТИ, якщо зараження ВЖЕ СТАЛОСЯ p>
6.1.Стандартние дії при зараженні вірусом ... ... ... ... ... ... ... .10 p>
6.2.Нестандартние ситуації ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 11 p>
6. Види програм для захисту від вірусів. P>
7.1. Програми-ревізори ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 12 p>
7.2. Програми-детектори та доктора ... ... ... ... ... ... ... ... ... ... ... ... ... 12 p>
7.3.Программи-фільтри ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 13 p>
ВИСНОВОК ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... .. 13 p>
ДОДАТОК 1 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 14 p>
ДОДАТОК 2 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... ... ... 16 p>
СЛОВНИК ТЕРМІНІВ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .19 p>
СПИСОК ЛІТЕРАТУРИ ... ... ... ... ... ... ... ... ... ... ... ... .. ... ... ... ... ... .. 23 p>
1.КОМПЬЮТЕРНИЙ ВІРУС p>
З проблемою комп'ютерних вірусів та їх можливостей пов'язано, мабуть, найбільшу кількість легенд і перебільшень. Багато людей, а іноді й цілі організації панічно боятися зараження своїх машин. Насправді все не так страшно. Щоб не заразити свої комп'ютери, досить дотримуватися лише невелике число елементарних правил, але дотримуватися їх неухильно. P>
1.1. Що таке комп'ютерний вірус p>
У загальному випадку комп'ютерний вірус - це невеликапрограма, яка приписує себе в кінець виконуваних файлів,
«Драйверів», або «поселяється» у завантажувального сектору диска. При запускузаражених програм і драйверів спочатку відбувається виконання вірусу, авже потім управління передається самій програмі. Якщо ж вірус
«Оселився» в завантажувальному секторі, то його активізація відбувається в моментзавантаження операційної системи з такого диска. У той момент, колиуправління належить вірусу, звичайно виконуються різні неприємні длякористувача, але необхідні для продовження життя даного вірусу дії.
Це знаходження і зараження інших програм, псування даних і т.д. Вірус можетакож залишитися в пам'яті резидентний і продовжувати шкодити до перезавантаженнякомп'ютера. Після закінчення роботи вірусу управління передається зараженоїпрограмі, яка зазвичай працює «як ні в чому не бувало», маскуючи тимсамим наявність у системі вірусу. На жаль, дуже часто вірусвиявляється занадто пізно, коли більшість програм вже заражено. Уцих випадках втрати від зловмисних дій вірусу можуть бути дуже великі. p>
Останнім часом з'явилися так звані макровіруси. Вонипередаються разом з документами, в яких передбачено виконаннямакрокоманд (наприклад, документи текстового редактора Word), звідси і їхназву. Макровіруси представляють собою дії, які наказуютьпереносити тіло вірусу в інші документи. і, по можливості, здійснюватирізні шкідливі дії. Найбільше поширення в даний часотримали макровіруси, що заражають документи текстового редактора Word
6.0/7.0 для Windows і табличного редактора Excel 5.0/7.0 для Windows. P>
1.2. Як проявляють себе віруси p>
Прояв вірусів досить різні: p>
- Сильне уповільнення роботи комп'ютера. P>
- Несподівана поява на екрані сторонніх фраз. P>
- Поява різних відеоефектів (наприклад, перевертиваніе екрану). p>
- пропажа інформації з екрана (один із хранителів екрану під назвою Worms в Norton Commander 5.0 дуже точно імітує роботу відомого вірусу - «поїдання» інформації своєрідною гусеницею) . p>
- Генерація різних звуків. p>
- Деякі програми перестають працювати, а інші ведуть себе дуже дивно. p>
- На дисках з'являється велика кількість зіпсованих файлів даних, текстових файлів. p>
- Разом рушиться вся файлова система на одному з дисків. p>
- Операційна система несподівано перестає бачити вінчестер. p>
- Довільно змінюється довжина окремих файлів. p>
- Несподівані проблеми з 32-х бітним доступом до диска і файлів в p>
Windows 3.11 або Windows 95. p>
Різні віруси можуть вести себе по-різному. Деякітільки розмножуються, не здійснюючи шкідливих дій, інші жвідразу після зараження здійснюють безліч дуже неприємнихдій. Є такі, що спочатку ведуть себе непомітно, а попісля якогось часу раптом разом псують всі дані (скажімо,форматується вінчестер). А бувають віруси, які намагаються ввести себе якомога більше непомітно, але потроху і поступово псуютьдані на жорсткому диску комп'ютера. p>
Таким чином, якщо не вживати заходів захисту від вірусу,то наслідки зараження комп'ютера можуть бути дуже серйозними.
Наприклад, в1989г, вірусом, написаним американським студентом
Морісом, були заражені і виведені з ладу тисячікомп'ютерів, у тому числі що належать міністерству оборони США.
Автор вірусу був засуджений судом до трьох місяців ув'язнення і штрафу в 270тис.дол. Покарання могло бути і більш суворим, але суд врахував, що вірус непсував дані. а тільки множився. p>
Для того щоб програма-вірус була непомітною, вона повиннабути невеликою. Тому, як правило, віруси пишуться на мовіасемблера. Деякі автори таких програм створили їх з пустощів,деякі - з прагнення «насолити» кому-небудь або з ненависті до всього роду людського. У будь-якому випадку створенапрограма-вірус може (потенційно) поширитися на всіхкомп'ютерах, сумісних з тим, для якого вона була написана, і завдатидуже великі руйнування. p>
Слід зауважити, що написання вірусу - не така вже й складне завдання,цілком доступна що вивчає програмування студенту. Томутижні в світі з'являються все нові й нові віруси. І багато з нихзроблені в нашій країні і в інших недостатньо цивілізованихкраїнах: Болгарії, Пакистані і т.д. p>
2.ТІПИ ВІРУСІВ p>
Віруси різняться між собою як за способом проникнення в систему, так і за способом функціонування. Розглянемо основні класи вірусів. P>
2.1.Віруси - супутники. P>
Найбільш примітивний тип вірусів. Для кожного файлу з розширенням
. ехе створюють той же файл з тим же ім'ям,. але з розширенням. сом,що містить тіло вірусу. При запуску файлу операційна системаспочатку шукає. сом файли, а потім. exe файли. Тому спочаткууправління отримує вірус, а потім уже він сам викликаєнеобхідний. exe файл. p>
2.2.Файловие віруси. p>
Вражають файли з розширенням. com,. exe, рідше. sys або оверлейноймодулі. exe файлів. Ці віруси дописують своє тіло на початок, серединуабо кінець файлу і змінюють його таким чином, щоб першимиотримати управління. Деякі з цих вірусів не піклуються про збереженнязаражає файли. В результаті чого він виявляється непрацездатним, іщо найсумніше, такий файл не можна відновити. Частина цих вірусівпісля запуску залишається в пам'яті резидентної. p>
2.3.Загрузочние віруси. p>
Вражають завантажувальні сектори дисків. Інфікування нових дисківвідбувається в той момент, коли в заражений комп'ютер вставляють новудискету і починають з нею працювати. Часто вірус не поміщається цілком узавантажувального запису, туди пишеться тільки його початок, а продовження тілавірусу зберігається в іншому місці диска. Після запуску залишаються в пам'ятірезидентної. p>
2.4.Віруси, що поєднують в собі властивості файлових і завантажувальних вірусів. p>
Такі віруси можуть вражати як файли, так і завантажувальні секторидисків. p>
2.5.Віруси DIR. p>
Цікавий клас вірусів, що з'явився недавно. Ці віруси змінюютьфайлову систему диска дуже хитрим чином. У таблиці розміщення файлів
(FAT) для всіх виконуваних файлів посилання на початок замінюються посиланнями натіло вірусу. Адреси ж почала фото в закодованому вигляді містяться вневживані елементи директорії. У результаті, як тільки ви запускаєтебудь-яку програму, управління автоматично отримує вірус. Він залишається впам'яті резидентний і при роботі відновлює правильні посилання на початкуфайлів. Якщо диск, заражений вірусом DIR, потрапляє на чистий комп'ютер,рахувати з нього дані, природно, виявляється неможливим (читаєтьсятільки один кластер). Під час спроби протестувати файлову структуру --скажімо, Norton Disk Doctor - на екран видається повідомлення про величезнийкількості помилок, але варто запустити хоч одну програму з зараженогодиска, як файлова система тут же «відновлюється». Насправді жвідбувається інфікування ще одного комп'ютера. p>
2.6.Макровіруси. p>
Досить оригінальний клас вірусів (хоча вірусами в повному розумінніцього слова їх навіть не можна назвати), що заражає документи, в якихпередбачено виконання макрокоманд. При відкритті таких документів спочаткувиконуються дії (спеціальні програми високого рівня),що містяться в цьому документі, - макровіруси як раз і єтаку дії. Таким чином, як тільки буде відкритий зараженийдокумент, вірус отримає управління і здійснить всі шкідливі дії (уЗокрема, знайде і заразить ще не заражені документи). p>
3.МЕХАНІЗМ ЗАХИСТУ ВІРУСІВ від виявлення p>
Як правило, віруси легко виявляються з особливих ділянок коду тіла вірусу. Щоправда, останнім часом широкого поширення набули два нові типи вірусів - віруси-невидимки (або стелс-віруси) і самомодіфіцірующіеся віруси (віруси-примари), які дуже важко виявити. P>
3.1.Стелс-віруси p>
Стелс-віруси. (від англійського steflth) реалізують дуже хитриймеханізм, що утруднює їх виявлення. При зараженні ці віруси залишаються впам'яті резидентний і при зверненні до заражених файлів і областях дискапідміняють інформацію так, що «замовник» отримує її в незараженою,початковому вигляді. Досягається це перехоплювання звернень DOS і установкоюсвоїх векторів переривань. Побачити такий вірус можна або на незараженоюкомп'ютері (наприклад, завантажившись з свідомо чистої дискети), або в томувипадку, коли програма не користується засобами DOS, а безпосередньо звертаєтьсядо диска. p>
3.2.Віруси-примари p>
Віруси-примари маскуються за допомогою іншого механізму. Ці вірусипостійно модифікують себе таким чином, що не містять однаковихфрагментів. Такі віруси зберігають своє тіло у закодованому вигляді та постійнозмінюють параметри цієї кодування. Стартова ж частина, що займаєтьсядекодуванням безпосередньо самого тіла, може генеруватися вельмискладним способом. При перенесенні вірусу даного типу з комп'ютера накомп'ютер код вірусу змінюється таким чином, що вже не має нічогоспільного зі своїм попереднім варіантом. А частина вірусів можесамомодіфіціроваться і в межах одного комп'ютера. Виявлення такихвірусів досить складно, хоча частина антивірусних програм намагаєтьсязнаходити їх по ділянках коду, характерним для стартової частини. p>
4.ЧТО МОЖЕ І ЧОГО НЕ МОЖЕ КОМП'ЮТЕРНИЙ ВІРУС p>
4.1.Файли, що піддаються зараженню. p>
Комп'ютерний вірус може заразити величезну кількість файлів. Перерахуємоці файли. У першу чергу це виконувані файли з розширенням. Com і
. exe, потім - драйвери пристроїв з розширеннями. sys і тим же. exe,динамічні бібліотеки (розширення. dll) і, нарешті, оверлейной модулівиконуваних файлів (як правило, мають розширення. ovl). p>
Існують віруси, що заражають пакетні. bat файли, але ці вірусивкрай примітивні і надходять дуже просто: вони вставляють у пакетні файликоманди свого виклику. Спіймати такі віруси не становить труднощів. P>
Також можуть бути піддані зараженню файли документів і шаблонівредакторів, в яких при відкритті документа передбачено виконаннямакрокоманд. Зокрема, це. Doc і. Dot файли текстового редактора Word,
. xls і. xlt файли табличного редактора Excel. p>
Ні за яких умов не можуть бути піддані зараженню текстові
(. txt) і графічні файли (. tif,. gif,. bmp, тощо), файли даних іінформаційні файли. p>
4.2.Случаі, коли можна заразити свій комп'ютер p>
Заразитися комп'ютерним вірусом можна тільки в дуже обмеженомукількості випадків. Це: p>
- Запуск на комп'ютері виконуваної програми, зараженої вірусом. P>
- Завантаження комп'ютера з дискети, яка містить завантажувальний вірус. P>
- Підключення до системи зараженого драйвера. p>
- Відкриття документа, зараженого макровірусів. p>
- Установка на комп'ютері зараженої операційної системи.
Комп'ютер не може бути заражений, якщо: p>
- На нього листувалися текстові і графічні файли, файли даних та інформаційні файли (за винятком файлів, що передбачають виконання макрокоманд). P>
- На ньому вироблялося копіювання з однієї дискети на іншу за умови, що ні один файл з дискети не запускався. p>
- На комп'ютері проводиться обробка принесених ззовні текстових і графічних файлів, файлів даних і інформаційних файлів (за винятком файлів, що передбачають виконання макрокоманд ). p>
Примітка: Переписування на комп'ютер зараженого вірусом файлу ще неозначає зараження його вірусом. Щоб зараження відбулося, потрібно абозапустити заражену програму, або підключити заражений драйвер, абовідкрити заражений документ (або, природно, завантажитися з зараженоїдискети). p>
Інакше кажучи, заразити свій комп'ютер можна тільки в тому випадку, якщозапустити на ньому неперевірені програми і (або) програмні продукти,встановити неперевірені драйвери і (або) операційні системи, завантажитисяз неперевіреною системної дискети або відкрити неперевірені документи,піддані зараженню макровірусами. p>
Не варто приписувати все збої в роботі обладнання або програмдії комп'ютерного вірусу. Вірус - це звичайна програма, причомуневеликого розміру, і вона не може робити ніяких надприроднихдій. Так, ні одна програма не в змозі спалити процесор, не підсилу це і вірусу. Єдине, на що здатні віруси, - це викликатитимчасову непрацездатність комп'ютера (зазвичай усуваються виключенням івключенням харчування). p>
5.Які не заразитися КОМП'ЮТЕРНІ ВІРУСИ p>
Правила, яких необхідно дотримуватися p>
Ці правила потрібно дотримувати завжди. Порушивши їх всього один раз, ви ризикуєте заразити свій комп'ютер, а набагато простіше запобігти захворюванню, ніж займатися потім його лікуванням. P>
5.1.Профілактіческіе заходи p>
Всі важливі програми і дані необхідно мати поза комп'ютера:наприклад, зберігати їх на дискетах. Це дозволить у разі псування вірусом абочерез збої в роботі обладнання швидко відновити втраченуінформацію. p>
Результати своєї поточної роботи рекомендується зберігати на дискетах НЕрідше ніж раз на тиждень, тоді втрати від вірусів і збоїв у роботі обладнаннябудуть не такі великі. p>
Будь-які програми та драйвери, які ви збираєтеся використовувати накомп'ютері перед першим запуском, обов'язково необхідно перевірити нанаявність вірусів програмами-детекторами (ці програми дозволяють перевіритифайли на інфікованість їх вірусом),. скажімо, AIDSTEST або (а ще кращеи) Dr.Web. Ці програми постійно оновлюються (в них додаєтьсявиявлення нових вірусів), тому рекомендується завжди мати саміостанні версії. Крім того, Dr.Web має у своєму складі евристичнийаналізатор, що дозволяє виявляти підозрілі ділянки коду,характерні для самомодіфіцірующіхся вірусів. Обидві програми мають простийінтерфейс російською мовою, до того ж до них додається вельми докладнийопис (також російською мовою), тому робота з ними тут нерозглядається. p>
Всі документи (файли документів і шаблонів Word, Excel і т.д.),що передбачають виконання макрокоманд, необхідно перевірити на наявністьмакровірусів. Зробити це можна. Наприклад, за допомогою все того ж Dr.Web. P>
Якщо програми надійшли до васв заархівує вигляді, то передперевіркою архів необхідно розгорнути. Але до перевірки не треба запускатибудь-які програми з цього архіву. p>
Якщо ви встановлюєте не поодинокі програму, а великий програмнийпродукт, то необхідно перевірити всі файли з дистрибутива до установки, авідразу після установки провести повторну перевірку, по можливостіпопередньо завантажившись з дискети. p>
Рекомендується завантажуватися тільки зі своїх, причому свідомонезаражених дискет. Строго кажучи, краще мати для цих цілей спеціальнудискету, а всі інші диски форматувати без переносу операційноїсистеми. p>
Щоб випадково не завантажитися з дискети, залишеної в дисководі А:,рекомендується в SETUP відключити завантаження з диска А:. p>
Якщо з яких-небудь причин ви хочете завантажитися з чужої дискети, то передЗавантаження та перевірте її на наявність вірусів. p>
При постійному перенесення на ваш комп'ютер нових файлів рекомендуєтьсявстановити одну з програм-ревізорів, скажімо пакет Adinf (ці програмивідстежують зміни в системі - зміни на дисках, розподілпам'яті, включення і відключення драйверів - і при підозрілих діяхпопереджають користувача). Це певною мірою застрахує вас відпояви нових вірусів. Відразу після установки нової програми (особливоневідомого походження) необхідно також на деякий час встановитиодну з програм-фільтрів (програм, що відслідковують поточні операції здиском і пам'яттю і які повідомляють про тих з них, які можуть бути викликанівірусом). Якщо протягом декількох днів ніяких підозрілих дій невиявиться, то програму-фільтр можна відключити. p>
5.2.Профілактіка зараження вірусом комп'ютерів груповогокористування p>
Забезпечити захист комп'ютерів групового користування набагато складніше.
Для таких комп'ютерів є кілька додаткових рекомендацій. P>
Запобігти ситуацію, коли різні групи користувачів приносять накомп'ютер різні програми, як показує практика, неможливо. Можнане сумніватися, що хтось обов'язково принесе вірус. Рекомендуєтьсяпоступити наступним чином: дозволити приносити будь-які програми, у томучислі й ігор, але за однієї умови - всі ці програми перевіряє на наявністьвірусів і встановлює на комп'ютери системний адміністратор даноїорганізації. Якщо цю умову порушено, то винного чекають штрафні санкції.
Цей метод діє досить ефективно, треба тільки стежити, щоб ігрибули не на шкоду роботі (чого, як правило, і не буває). p>
Інший вихід - розмежування доступу. На комп'ютері створюєтьсясистемний логічний диск і диски для кожної групи користувачів.
Розбиття відбувається за допомогою одного з існуючих менеджерів диска, ідиски захищаються паролем. У звичайному режимі для читання доступний тількисистемний диск і диск даної групи користувачів, а для запису - тількидиск даної групи користувачів. Всі інші диски просто недоступні.
Системний адміністратор знає всі паролі і може отримати доступ до будь-якогодиску. Цей метод дозволяє досить ефективно боротися із зараженням,але, на жаль, частина вірусів обходить і такий захист. p>
У випадку колективного користування можна рекомендувати ще один спосіб
- Відключити дисководи. Щоправда, на практиці його можна реалізувати тільки втому випадку, коли комп'ютери об'єднані в мережу. Дисководи залишаютьсяпідключеними лише на сервері, за яким постійно сидить системнийадміністратор, який контролює всі принесені файли. p>
6.ЧТО РОБИТИ, якщо зараження ВЖЕ СТАЛОСЯ p>
Розглянемо тепер дії при зараженні комп'ютера. Припустимо, не дивлячись на всі ваші старання, комп'ютерного вірусу вдалося проникнути до вас в систему. P>
6.1.Стандартние дії при зараженні вірусом p>
Ви повинні: p>
1. Відразу ж вимкнути живлення, щоб вірус перестав поширюватися далі. Єдине, що можна зробити до виключення живлення, - це зберегти результати поточної роботи. Не слід використовувати гарячу перезавантаження (Ctrl + Alt + Del), тому що деякі віруси при цьому зберігають свою активність. p>
2. Увійти в SETUP і включити завантаження з диска А. Заодно рекомендується перевірити правильність всіх установок, включаючи параметри жорстких дисків. Якщо відбулися які-небудь зміни, то необхідно відновити старі значення. P>
3. Ні в якому разі не запускати жодної нової програми, яка знаходиться на жорсткому диску. P>
4. Необхідно завантажитися з дискети (вона повинна бути захищена від запису) і запустити по черзі програми-детектори, що знаходяться на дискеті. Якщо одна з програм виявить завантажувальний вірус, то його можна відразу видалити, аналогічно треба вчинити і при наявності вірусу DIR. Врахуйте, що вірусів може бути багато. P>
5. Якщо програма-детектор виявить файловий вірус, то можливі два варіанти дій. Якщо у вас встановлена програма-ревізор з лікарем, модулем, то відновлення файлів краще робити з її допомогою. Якщо такої програми немає, то необхідно скористатися для лікування одним з детекторів. Зіпсовані файли (якщо, звичайно, вони не текстові або не файли даних) необхідно видалити. P>
6. Після того як всі віруси видалені, необхідно заново перенести операційну систему на жорсткий диск (за допомогою команди SYS). P>
7. Необхідно перевірити цілісність файлової системи на вінчестері (за допомогою CHKDSK) і виправити всі пошкодження. Якщо таких пошкоджень дуже багато, то перед виправленням файлової структури необхідно спробувати скопіювати найбільш важливі файли на дискети. P>
8. Необхідно ще раз перевірити жорсткий диск на наявність вірусів, якщо таких не буде, то можна перезавантажити з вінчестера. Після перезавантаження вінчестера необхідно оцінити втрати від дій вірусу. Якщо пошкоджень дуже багато, то простіше заново переформатувати вінчестер (при необхідності зберігши найважливіші файли). P>
9. Необхідно відновити всі необхідні файли і програми за допомогою архіву - і для страховки, ще раз завантажившись з дискети, протестувати вінчестер. Якщо знову буде виявлений вірус, то вам не пощастило, ваш архів також заражений вірусом. У цьому випадку ви повинні протестувати весь ваш архів. P>
10. Якщо все гаразд, то необхідно перевірити всі дискети, які могли виявитися зараженими вірусом і при необхідності перелічити їх. Не забудьте тільки відключити завантаження з диска A:. P>
11. Після того, як вірус дезактивувати, ви можете продовжувати свою роботу. Рекомендується тільки підключити на деякий час одну з програм-фільтрів. P>
6.2.Нестандартние ситуації p>
Під час вірусної атаки може виникнути ряд нестандартних ситуацій. P>
Наприклад.
Якщо у вас встановлений менеджер диска, то при завантаженні з дискети частинадисків може бути недоступна. Тоді необхідно перелічити спочатку вседоступні на даний момент диски, потім завантажитися з жорсткого системногодиска і перелічити все, що залишилися, логічні диски. p>
Якщо при завантаженні з дискети з'ясовується, що система просто «не бачить»ваш вінчестер, то швидше за все вірус пошкодив таблицю розбиття жорсткогодиска. У цьому випадку необхідно ще раз перевірити установки SETUP і спробувати відновити розбиття за допомогою Norton Disk Doctor (або,якщо ви добре уявляєте собі свої дії, за допомогою Norton Disk
Edit). Якщо це не допоможе, то, вся інформація з вінчестеразагублена, залишається тільки скористатися програмою EDISK. p>
Якщо ви зіткнулися з невідомим вірусом, то справа йде трохискладніше. По-перше, ви можете скористатися програмою-ревізором, якщовона у вас встановлена. Цілком можливо, що вона допоможе знешкодитиваш вірус. Якщо її немає або вона не допомогла, то залишається тільки зановоперенести на диск операційну систему, а потім видалити з ньоговсі виконуючі і пакетні файли, драйвери і оверлейной файли, післячого відновити їх з архіву. Можна також скористатися послугамиантивірусної швидкої допомоги. p>
І на закінчення одне зауваження. Не варто приписувати всеваші неприємності дій вірусу. Говорити ж про дію невідомоговірусу, а тим більше вдаватися до радикальних заходів слід тількитоді, коли не залишається жодних сумнівів. Варто спочатку спробувативідновити файли, і, тільки якщо це не вдається, видалити їх. p>
Ситуація, яка склалася зараз в області вірусної безпеки, вельмистабільна. Різні організації (крім, звичайно, інститутські навчальніцентри, на яких пробують свої сили юні автори вірусів) піддаютьсявірусним атакам дуже рідко, - не кажучи вже про індивідуальнікористувачів. p>
7.Віди програм для захисту від вірусів. p>
7.1Программи-ревізори p>
Програми-ревізори є самим надійним засобомзахисту від вірусів і повинні входити в арсенал кожного користувача. Ревізорице єдиний засіб, що дозволяє стежити за цілісністю системнихфайлів і змінами у використовуваних каталогах. Слід зазначити, щоотримується за допомогою ревізорів інформація істотно полегшуєорієнтування в лабіринті каталогів і "нововведення" серед трансляторів івикористовуваних утиліт. Тому їх не можна розглядати тільки в контекстізахисту від вірусів - в даний час вони повинні бути робочимінструментом кожного поважає свою працю програміста. p>
Існують два основних типи програм-ревізорів: пакетні ірезидентні. p>
Програм-ревізори мають дві стадії роботи. Спочатку вони запам'ятовуютьвідомості про стан програм і системних областей дисків. Після цього здопомогою програми-ревізора можна в будь-який момент порівняти стан програмі системних областей дисків з вихідними. Про виявлені невідповідностіповідомляється користувачеві. p>
Доктора-ревізори. p>
Останнім часом з'явилися дуже корисні гібриди ревізорів ідокторів - програми, які не тільки виявляють зміни у файлах, алеі можуть у разі змін автоматично повернути їх в початковий стан.
Такі програми можуть бути набагато більш універсальними, ніж програми -лікаря, оскільки при лікуванні вони використовують заздалегідь збереженуінформацію про стан файлів і областей диска. Це дозволяє їм виліковуватифайли навіть від тих вірусів, які не були створені на момент написанняпрограми. p>
Звичайно, доктори-ревізори - це не панацея. Вони можутьлікувати неот всіх вірусів, а тільки від тих, які вдаються до відомих намомент написання програми, механізми зараження файлів. p>
7.2. Програми-детектори та лікаря. P>
У більшості випадків для виявлення вірусу, що заразив вашкомп'ютер, можна знайти вже розроблені програми-детектори. Ці програмиперевіряють, чи є у файлах на вказаному користувачем дискуспецифічні для даного вірусу комбінація байтів. При її виявлення вбудь-якого фото на екрані виводиться відповідне повідомлення. Багатодетектори мають режими лікування або знищення заражених файлів. Слідпідкреслити, що програми-детектори можуть виявляти тільки ті віруси,які їй «відомі». p>
Лікування від вірусів. p>
Більшість програм-детекторів мають також і функцію «доктора», тобтовони намагаються повернути заражені файли і області диска в їх вихіднестан. Ті файли, які не вдалося відновити, як правило, роблятьсянепрацездатними або видаляються.
Більшість програм-докторів вміють «лікувати» тільки від деякогофіксованого набору вірусів, тому вони швидко старіють. Але деякіпрограми можуть навчатися не тільки способам виявлення, а й способамлікування нових вірусів. До таких програм відноситься AVSP фірми «Діалог-
МГУ ». Інший перспективний підхід - відновлення файлів на основі заздалегідьзбереженої інформації про їх стан. p>
7.3.Программи-фільтри p>
Однією з причин, через які стало можливим таке явище, яккомп'ютерний вірус, є відсутність в операційній системі MS-DOSефективних засобів для захисту інформації від несанкціонованого доступу.
Через відсутність засобів захисту комп'ютерні віруси можуть непомітно ібезкарно змінювати програми, псувати таблиці розміщення файлів і т.д. p>
У зв'язку з цим різними фірмами і програмістами розробленіпрограми-фільтри, або резедентние програми для захисту від вірусу, якіпевною мірою заповнюють зазначений недолік DOS. p>
Ці програми розташовуються резедентно в оперативній пам'ятікомп'ютера і «перехоплюють» ті повідомлення до операційної системи, яківикористовуються вірусами для розмноження і нанесення шкоди. p>
ВИСНОВОК p>
В даний час для існує кілька десятків тисячкомп'ютерних вірусів і їх число продовжує зростати. Тому слід, зодного боку, очікувати поступового проникнення в Росію нових, більшнебезпечних і витончено написаних вірусів, включаючи стелс-віруси, і з іншого
- потоку порівняно простих, а часто і безграмотно написанихвірусів в результаті "вірусного вибуху" всередині самої країни. Не сліддумати, що еволюція вірусів піде тільки в напрямку їх ускладнення.
Досвід показав, що складність стелс-вірусів суттєво знижує їхжиттєздатність. Як відзначав С. Н. Паркінсон в одному з своїх знаменитихзаконів, "зростання означає ускладнення, а ускладнення - розкладання". За -Мабуть, еволюція комп'ютерних вірусів буде йти відразу в декількохнапрямках, лише одним з яких є стелс-віруси. p>
Хоча загальна кількість вірусів велике, що лежать в їх основі ідеїпорівняно нечисленні і не так просто піддаються розширенню. Томуосновною тенденцією, що спостерігається в даний час, є не стількипоява нових типів вірусів, скільки комбінування вже відомихідей. Такі "гібриди", як правило, виявляються небезпечніше базисних видів.
Ще частіше спостерігається тенденція до мінімальної модифікації одного знабули широкого поширення вірусів, що призводить до утвореннянавколо "базисного" вірусу групи штамів, причому їх кількість у деякихвипадках перевищує десяток p>
ДОДАТОК 1 p>
Опис деяких комп'ютерних вірусів p>
Чи є порятунок від вірусу «Чорнобиль»? p>
Вірус цей не новий : вперше він був виявлений майже рік тому. CIN
( «Чорнобиль»)
Активізується 26 числа кожного місяця. А в 13-у річницю трагедії на АЕСсплеск був особливо сильний. Вірус переноситься у файлах з розширенням «exe»,що працюють в програмах Microsoft Windows. Зараження може відбутися приустановки програм з піратського компакт-диску (а таких у нас 94відсотка), при перекачуванні файлів по мережі Інтернет і по електронній пошті.
Зараз CIN у нас - найпоширеніший вірус. Втішає одне: «Чорнобиль»успішно ліквідують більшість сучасних антивірусних програм. p>
Однак якщо вже він проникає в систему, то наслідки руйнівні.
Він здатний у кращому випадку стерти все, що є в пам'яті персональногокомп'ютера, а в гіршому - повністю вивести його з ладу. p>
За прогнозами експертів, спалах цього циклічного вірусу 26 квітня
2000 року буде настільки ж сильною. P>
Фахівці кажуть, що «хворий» комп'ютери можна оживити,замінивши мікросхему Flash-BIOS. Проте на деяких моделях вона не можебути відокремлена від материнської плати, і в цьому випадку доведеться купувати новуматеринську плату. p>
. Вірус Cookie Monster - Печеньевое чудовисько p>
Ця легенда заснована на демонстраційному вірус,дійсно існував на комп'ютерах з мікропроцесором 8080 або
Apple II. Чи, можливо, вірус повністю знищений і відноситься до
"копалин" вірусів. Назва даного вірусу пов'язане з персонажемпопулярної в США дитячої телевізійної програми SESAME STREET. Проявцього вірусу пов'язане з видачею на екран повідомлення p>
I WANT COOKIE p>
(Хочу печива) p>
Тільки введення з клавіатури слова COOKIE дозволяєпродовжити роботу з програмою. Введенням таємного пароля "OREO" можна
"приспати" вірус на кілька тижнів. У деяких варіантах легенди вірусстирає файли при неправильному відповіді або занадто тривалої затримки звідповіддю.
Вітчизняний аналог даного міфу під назвою Чуча (нібито видаєповідомлення "Хочу чучу") опубліковано в [Павлов89] p>
Історичні відомості. Чутки про даний вірус дійшли до
Києва наприкінці 1988 р., тобто до появи в Києві справжніхкомп'ютерних вірусів. Вірус згадується у ряді зарубіжних публікацій. P>
. ДЕЯКІ мережевий вірус p>
Мережеві віруси більш точно називати не вірусами, аРепликатор, оскільки вони не заражають виконувані програми, а просторозповсюджуються по мережі від однієї ЕОМ до іншої. Буквальний перекладвідповідного англомовного терміна Worm - черв'як представляєтьсяменш вдалим, ніж запропонований термін репликатор. У свою чергу,репликатор, подібно касетної боєголовці, може переносити з собоютроянських коней і звичайно?? е віруси. На щастя, дві найбільш відомі випадкистворення таких вірусів не пов'язані з вандалізмом. p>
. Вірус Christmas Tree (Різдвяна ялинка) p>
Розглянутий вірус написаний студентом університету
ClausthalZellerfeld (Німеччина), який в кінці грудня 1987 запустивйого в університетській мережі. Назва вірусу пов'язано з тим, що він малювавна екрані дисплея новорічну ялинку і потім розсилав себе за всіма адресами,знайденим на зараженому комп'ютері, використовуючи механізм електронногопошти. Вірус був написаний мовою управління завданнями REXX операційноїсистеми VM/CMS. Фактично це один з небагатьох вірусів, написаних намовою управління завданнями, і це свідчить про потужність і гнучкості
REXX - безсумнівно кращого з безлічі мов управління завданнями длякомп'ютерів системи 360/370 p>
ДОДАТОК 2 p>
Антивірусні програми p>
AVP Inspector ™ p>
Що таке AVP Inspector ™ p> < p> AVP Inspector ™ - це антивірусна програма-ревізор диску, що працює підкеруванням операційної системи Microsoft Windows 95/98 ® або Microsoft
Windows NT ®.
AVP Inspector стежить за змінами вмісту файлів і директорій. Вонаможе використовуватися в якості допоміжної антивірусної програми абодля контролю над змінами на диску.
Програма значно зменшує час перевірки дисків антивірусним сканером
AVP, тому що після закінчення перевірки дисків на зміни, AVPI можепередати на перевірку сканера AVP тільки нові і змінені файли. p>
Її робота грунтується на збереженні основних даних про диск в таблиці,містить образи Master-Boot і Boot секторів, список номерів збійнихкластерів, схему дерева каталогів та інформацію про всі контрольованихфайлах.
Крім того, AVP Inspector запам'ятовує і при кожному запуску перевіряє, чи нечи змінився доступний DOS об'єм оперативної пам'яті (що буває призараженні більшістю завантажувальних вірусів), кількість встановленихвінчестерів. При всіх цих перевірках програма переглядає диск посекторам безпосередньо через IOS і не використовує стандартні методи
(переривання INT 21h і INT 13h), що дозволяє успішно виявляти активнімаскуються віруси, що знаходяться в пам'яті і взяли на себе обробку цихжиттєво важливих (для комп'ютера) переривань. p>
Основні особливості AVP Inspector p>
Основними особливостями AVP Inspector є: p>
· Робота в середовищі Microsoft Windows 95, Microsoft Windows 98 або
Microsoft Windows NT;
• Можливість розбору файлових систем (FAT12, FAT16, VFAT32, NTFS) безвикористання звернень до функцій операційної системи, що працюють зфайлами;
• Можливість перевірки мережевих дисків;
· Звернення до дисків безпосередньо через драйвер IOS (супервізор введення -виводу) в обхід DOS-резидентів (зокрема Boot вірусів, перехопили 13hпереривання під час завантаження комп'ютера); p>
· Справжня 32-х розрядність, багатозадачна робота, графічнийінтерфейс;
· Доступ до компресійним дисків в обхід DOS;
Відновлення завантажувальних секторів;
· Ведення бази даних про попередні перевірки;
· Аналіз змінених файлів на схожу зміна довжини;
· Робота з OLE2 документами (документи Word, Excel і Access);
• Можливість відновлення виконуваних фай