Комп'ютерний вірус - це спеціально написана невелика за розмірамипрограма, яка може "приписувати" себе до інших програм (тобто
"заражати" їх), а також виконувати різні небажані дії накомп'ютері. Програма, всередині якої знаходиться вірус, називається
"зараженої". Коли така програма починає роботу, то спочатку управлінняотримує вірус. Вірус знаходить і "заражає" інші програми, а такожвиконує які-небудь шкідливі дії (наприклад, псує файли або таблицюрозміщення файлів на диску, "засмічує" оперативну пам'ять і т.д.). Длямаскування вірусу дії по зараженню інших програм і нанесення шкодиможуть виконуватися не завжди, а, скажімо, при виконанні певнихумов. Після того як вірус виконає потрібні йому дії, він передаєуправління тій програмі, в якій він знаходиться, і вона працює також, якзвичайно. Тим самим зовні робота зараженої програми виглядає так само, як інезараженою. p>
Багато різновиди вірусів влаштовані так, що при запуску зараженоїпрограми вірус залишається резидентного, тобто до перезавантаження DOS, в пам'ятікомп'ютера і час від часу заражає програми і виконує шкідливідії на комп'ютері. p>
Комп'ютерний вірус може зіпсувати, тобто змінити неналежним чином,будь-який файл на що мають у комп'ютері дисках. Але деякі види файлів вірусможе "заразити". Це означає, що вірус може "потрапити" в ці файли,тобто змінити їх так, що вони будуть містити вірус, який при деякихобставин може почати свою роботу. p>
Слід зауважити, що тексти програм і документів, інформаційніфайли без даних, таблиці табличних процесорів і інші аналогічні файлине можуть бути заражені вірусом, він може їх тільки зіпсувати. p>
ПРОЯВ НАЯВНОСТІ ВІРУСУ У РОБОТІ НА ПЕОМ p>
Всі дії вірусу можуть виконуватися достатньо швидко і без видачібудь-яких повідомлень, тому користувачеві дуже важко помітити, що вкомп'ютері відбувається щось незвичайне. p>
Поки на комп'ютері заражене відносно мало програм, наявність вірусуможе бути практично непомітно. Однак після деякого часуна комп'ютері діється щось дивне, наприклад: p>
* деякі програми перестають працювати або починають працюватинеправильно; p>
* на екран виводяться сторонні повідомлення, символи і т.д.; p>
* робота на комп'ютері істотно сповільнюється; p>
* деякі файли виявляються зіпсованими і т.д. p>
До цього моменту, як правило, вже досить багато (або навітьбільшість) програм є зараженими вірусом, а деякі файли ідиски - зіпсованими. Більш того, заражені програми з одного комп'ютерамогли бути перенесені за допомогою дискет або по локальній мережі на іншікомп'ютери. p>
Деякі види вірусів ведуть себе ще більш підступно. Вони спочаткунепомітно заражають велику кількість програм або дисків, а потім прічняютдуже серйозні пошкодження, наприклад формують весь жорсткий диск накомп'ютері. А бувають віруси, які намагаються вести себе як можна більшенепомітно, але потроху і поступово псують дані на жорсткому дискукомп'ютера. p>
Таким чином, якщо не вживати заходів щодо захисту від вірусу, тонаслідки зараження комп'ютера можуть бути дуже серйозними. p>
РІЗНОВИДИ КОМП'ЮТЕРНИХ ВІРУСІВ p>
Кожна конкретна різновид вірусу може заражати тільки одна абодва типи файлів. Найчастіше зустрічаються віруси, що заражають здійснимихфайли. Деякі віруси заражають і файли, і завантажувальні області дисків.
Віруси, що заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичайтакі віруси вміють заражати і виконані файли. p>
Останнім часом набули поширення віруси нового типу - віруси,що мають файлову систему на диску. Ці віруси зазвичай називаються DIR. Таківіруси ховають своє тіло в деякий ділянку диску (зазвичай - в останнійкластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінецьфайлу. p>
Щоб запобігти своє виявлення, деякі віруси застосовуютьдосить хитрі прийоми маскування. Я розповім про два з них: "невидимих" ісамомодіфіцірующіхся віруси. p>
"невидимих" віруси. Багато резидентні віруси (і файлові, ізавантажувальні) запобігають своє виявлення тим, що перехоплюютьзвернення DOS (і тим самим прикладних програм) до заражених файлів іобластям диска і видають їх у вихідному (незараженою) вигляді. Зрозуміло, цейефект спостерігається тільки на зараженому комп'ютері - на "чистому" комп'ютерізміни у файлах і завантажувальних областях диска можна легко виявити. p>
САМОМОДІФІЦІРУЮЩІЕСЯ віруси. Інший спосіб, який застосовується вірусами длятого, щоб сховатися від виявлення, - модифікація свого тіла. Багатовіруси зберігають велику частину свого тіла в закодованому вигляді, щоб здопомогою дизассемблер не можна було розібратися в механізмі їх роботи.
Самомодіфіцірующіеся віруси використовують цей прийом і часто змінюють параметрицієї кодування, а крім того, змінюють і свою стартову частину, якаслужить для розкодування інших команд вірусу. Таким чином, в тіліподібного вірусу не є ні одні з сталого ланцюжка байтів, за якоюможна було б ідентифікувати вірус. Це, природно, утруднюєзнаходження таких вірусів програмами-детекторами. p>
"троянський кінь" p>
Спосіб "троянський кінь" полягає в таємному введенні в чужу програмутаких команд, які дозволяють здійснити нові, не планувалисявласником програми функції, але одночасно зберігати і колишнюпрацездатність. За допомогою "троянського коня" злочинці, наприклад,відраховують на свій рахунок певну суму з кожної операції. p>
Комп'ютерні програмні тексти зазвичай надзвичайно складні. Вони складаютьсяіз сотень тисяч, а іноді і мільйонів команд. Тому "троянський кінь" здекількох десятків команд навряд чи може бути виявлений, якщо, звичайно, немаєпідозр щодо цього. Але і в останній - ньому випадку експертам -програмістам потрібно багато днів і тижнів, щоб знайти його. p>
Цікавий випадок використання "троянського коня" одним американськимпрограмістом. Він вставив в програму комп'ютера фірми, де працював,команди, не відраховують гроші, а не виводять на друк для звітупевні надходження. Ці суми, особливим чином марковані,
"існували" тільки в системі. Вульгарним чином вкравши бланки, вінзаповнював їх з зазначенням своєї секретної маркування й одержував ці гроші, авідповідні операції, як і раніше не виводилися на друк і не моглипіддатися ревізії. p>
Є ще один різновид "троянського коня". Її особливість полягає вте, що в нешкідливо виглядає шматок програми вставляються не команди,власне виконують "брудну" роботу. а команди, які формують ці командиі після виконання знищують їх. У це випадку програмісту, який намагаєтьсязнайти "троянського коня", необхідно шукати не його самого, а команди, йогоформують. Розвиваючи цю ідею, можна уявити собі команди, якістворюють команди і т. д. (як завгодно велике число разів), які створюють
"троянського коня". p>
У США набула поширення форма комп'ютерного вандалізму, приякої "троянський кінь" руйнує через якийсь проміжок часу всіпрограми, що зберігаються в пам'яті машини. У багатьох надійшли в продажкомп'ютерах виявилася "тимчасова бомба", яка "вибухає" у самийнесподіваний момент, руйнуючи всю бібліотеку даних. p>
На жаль, дуже багато замовників прекрасно знають, що післяконфліктів з підприємством-виробником їх програмне забезпечення, якедо цих пір чудово працювало, раптом починало вести себе самимнепередбачуваним чином і нарешті повністю зникало. Неважкоздогадатися, що і копії на магнітних стрічках або дисках, завбачливозроблені, положення аніскільки не рятували. p>
Залишався один шлях - йти з повинною до розробника. p>
РОЗРОБКА І розповсюдження комп'ютерних вірусів. p>
"троянські коні" типу зітри всі дані цієї програми, перейди внаступну і зроби те ж саме "мають властивості переходити черезкомунікаційні мережі з однієї системи в іншу, поширюючись яквірусне захворювання. p>
Виявляється вірус не відразу: перший час комп'ютер "виношуєінфекцію ", оскільки для маскування вірус нерідко використовується в комбінаціїз "логічною бомбою" або "тимчасової бомбою". Вірус спостерігає за всієюоброблюваної інформацією і може переміщатися, використовуючи пересилання цієїінформації. Все відбувається, як якби він уразив біле кров'яне тільце іподорожував з ним по організму людини. Починаючи діяти
(перехоплювати управління), вірус дає команду комп'ютера, щоб тойзаписав заражену версію програми. Після цього він повертає програміуправління. Користувач нічого не помітить, тому що його комп'ютер перебуваєв стані "здорового носія вірусу". Виявити цей вірус можна,тільки володіючи надзвичайно розвинутою програмістської інтуїцією, оскількиніякі порушення в роботі ЕОМ в даний момент не виявляють себе. А в одинпрекрасний день комп'ютер "хворіє". p>
Експертами зібрано досьє листів від шантажистів, які вимагають перерахуваннявеликих сум грошей в одне з відділень американської фірми "ПК Сіборг"; вразі відмови злочинці погрожують вивести комп'ютери з ладу. За данимижурналу "Бізнес уорлд", дискети-вірусоносії отримані десятьма тисячамиорганізацій, що використовують у своїй роботі комп'ютери. p>
Для пошуку і виявлення зловмисників створені спеціальні загонианглійських детективів. p>
Всі віруси можна розділити на два різновиди, виявлення якихрізне по складності: "вульгарний вірус" і "роздроблений вірус".
Програма "вульгарного вірусу" написана єдиним блоком, і при виникненніпідозр у зараженні ЕОМ експерти можуть виявити її на самому початкуепідемії (розмноження). Ця операція вимагає, однак, вкрай ретельногоаналізу всієї сукупності операційної системи ЕОМ. p>
Програма "роздробленого вірусу" розділена на частини, на перший погляд,що не мають між собою зв'язку. Ці частини містять інструкції яківказують комп'ютера як зібрати їх разом, щоб відтворити і,отже, розмножити вірус. Таким чином, він майже весь часзнаходиться в "розподіленому" стані, лише на короткий час своєї роботизбираючись в єдине ціле. Як правило, творці вірусу вказують йому числорепродукцій, після досягнення якого він стає агресивним. p>
Віруси можуть бути впроваджені в операційну систему, в прикладнупрограму або в мережевий драйвер. p>
Варіанти вірусів залежать від цілей, переслідуваних їх творцем. Ознакиїх можуть бути відносно доброякісними, наприклад, уповільнення ввиконанні програм або поява світиться точки на екрані дисплея (т. зв.
"італійський стрибунець"). Ознаки можуть бути еволютівнимі, і "хвороба"буде загострюватися в міру своєї течії. Так з незрозумілих причинпрограми починають переповнювати магнітні диски, в результаті чогоістотно збільшується обсяг програмних файлів. Нарешті, ці проявиможуть бути катастрофічними і привести до стирання файлів і знищенняпрограмного забезпечення, p>
Які способи розповсюдження комп'ютерного вірусу? Вони грунтуютьсяна здатності вірусу використовувати будь-який носій даних, що передаються вяк "засіб пересування". Тобто з початку зараження єнебезпека, що ЕОМ може створити велику кількість засобів пересування і внаступні години вся сукупність файлів і програмних засобів виявитьсязараженої. Таким чином, дискета або магнітна стрічка, перенесені наінші ЕОМ, здатні заразити їх. І навпаки, коли "здорова" дискетавводиться в заражений комп'ютер, вона може стати носієм вірусу. Зручнимидля поширення великих епідемій виявляються телекомунікаційнімережі. Досить одного контакту, щоб персональний комп'ютер був зараженийабо заразив той, з яким контактував. Однак найчастіший спосібзараження - це копіювання програм, що є звичайною практикою укористувачів персональних ЕОМ. Так скопійованими виявляються і зараженіпрограми. p>
Фахівці застерігають від копіювання крадених програм. Іноді,однак, і офіційно поставляються програми можуть бути джереломзараження. Наприклад, фірма "Альдус" випустила кілька тисяч зараженихдискет з графічними програмами. p>
Часто з початком комп'ютерної епідемії пов'язують ім'я вже згадуваного
Роберта Морріса студента Корнеллського університету (США), в результатідій якого зараженими виявилися найважливіші комп'ютерні мережісхідного та західного узбережжя США. Епідемія охопила понад б тисячкомп'ютерів і 70 комп'ютерних систем. Потерпілими виявилися, зокрема,комп'ютерні центри НАСА, Діверморской лабораторії ядерних досліджень,
Гарвардського, Пітсбурзькому, Мерілендського, Вісконсінського,
Каліфорнійського, Стзнфордского університетів. Пікантність ситуації в тому,що батько Р. Морріса - високопоставлений співробітник відділу безпекикомп'ютерів Агентства національної безпеки. p>
А винахідником вірусу є, однак, зовсім інша людина Всерпні 1984 студент Каліфорнійського університету Фред Коуен, виступаючина одній з конференцій, розповів про свої досліди з тим, що один його другназвав "комп'ютерним вірусом". Коли почалося практичне застосуваннявірусів, невідомо, бо банки, страхові компанії, підприємства, виявивши,що їх комп'ютери заражені вірусом, не допускали, щоб відомості про цепросочилися назовні. p>
У пресі часто проводиться паралель між комп'ютерним вірусом івірусом "AIDS". Тільки впорядкована життя з одним або декількомапартнерами здатна уберегти від цього вірусу. Безладні зв'язки з багатьмакомп'ютерами майже напевно призводять до зараження. Замучив, що побажанняобмежити використання неперевіреного програмного забезпечення швидшеза все так і залишиться практично нездійсненним. Це пов'язано з тим, щофірмові програми на "стерильних" носіях коштують чималих грошей вконвертованій валюті. Тому уникнути їх неконтрольованого копіюваннямайже неможливо. p>
Справедливості ради слід зазначити, що поширення комп'ютернихвірусів має і деякі позитивні сторони. Зокрема, вони є,мабуть, кращим захистом від викрадачів програмного забезпечення.
Часто розробники свідомо заражають свої дискети яких-небудьнешкідливим вірусом, який добре виявляється будь-яким антивіруснимтестом. Це є достатньо надійною гарантією, що ніхто не ризикнекопіювати таку дискету, p>
МЕТОДИ ЗАХИСТУ ВІД КОМП'ЮТЕРНИХ ВІРУСІВ p>
Яким би не був вірус, користувачеві необхідно знати основні методизахисту від комп'ютерних вірусів. p>
Для захисту від вірусів можна використовувати: p>
* загальні засоби захисту інформації, які корисні також і якстраховка від фізичного псування дисків, неправильно працюючих програм абопомилкових дій користувача; p>
* профілактичні заходи, що дозволяють зменшити ймовірність зараженнявірусом; p>
* спеціалізовані програми для захисту від вірусів. p>
Загальні засоби захисту інформації корисні не тільки для захисту відвірусів. Є дві основні різновиди цих коштів: p>
* копіювання інформації - створення копій файлів і системних областейдисків; p>
* розмежування доступу запобігає несанкціоноване використанняінформації, зокрема, захист від змін програм і даних вірусами,неправильно працюючими програмами та помилковими діями користувачів. p>
Незважаючи на те, що загальні засоби захисту інформації дуже важливі длязахисту від вірусів, все ж їх недостатньо. Необхідно і застосуванняспеціалізованих програм для захисту від вірусів. Ці програми можнарозділити на кілька видів: детектори, доктора (фаги), ревізори, доктора -ревізори, фільтри та вакцини (іммунізатори). p>
ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним здекількох відомих вірусів. Ці програми перевіряють, чи є у файлахна вказаному користувачем диску специфічна для даного вірусукомбінація байтів. При її виявленні в будь-якому файлі на екран виводитьсявідповідне повідомлення. p>
Багато детектори мають режими лікування або знищення зараженихфайлів. p>
Слід підкреслити, що програми-детектори можуть виявляти тількиті віруси, які їй "відомі". Програма Scan фірми McAfee Associates і
Aidstest Д.М. Лозинського дозволяють виявляти близько 1000 вірусів, алевсього їх більше п'яти тисяч! Деякі програми-детектори, наприклад Norton
AntiVirus або AVSP фірми "Диалог-МГУ", можуть настроювати на нові типивірусів, їм необхідно лише вказати комбінації байтів, притаманні цимвірусів. Проте неможливо розробити таку програму, яка моглаб виявляти будь-який заздалегідь невідомий вірус. p>
Таким чином, з того, що програма не розпізнається детекторами якзаражена, не випливає, що вона здорова - у ній можуть сидіти який-небудьновий вірус або злегка модифікована версія старого вірусу, невідоміпрограмами-детекторів. p>
Багато програми-детектори (у тому числі і Aidstest) не вміютьвиявляти зараження "невидимими" вірусами, якщо такий вірус активнийпам'яті комп'ютера. Справа в тому, що для читання диска вони використовують функції
DOS, а вони перехоплюються вірусом, який говорить, що все добре.
Правда, Aidstest та інші детектори намагаються виявити вірус шляхом переглядуоперативної пам'яті, але проти деяких "хитрих" вірусів це не допомагає.
Так що надійний діагноз програми-детектори дають тільки при завантаженні DOS з
"чистою", захищеної від запису дискети, при цьому копія програми-детекторатакож повинна бути запущена з цієї дискети. p>
Деякі детектори, скажімо, ADinf фірми "Діалог-Наука", вміють ловити
"невидимі" віруси, навіть коли вони активні. Для цього вони читають диск, невикористовуючи виклики DOS. Щоправда, цей метод працює не на всіх дисководах. P>
Більшість програм-детекторів мають функцію "доктора", тобто вонинамагаються повернути заражені файли або області диска в їх вихіднестан. Ті файли, які не вдалося відновити, як правило, роблятьсянепрацездатними або видаляються. p>
Більшість програм-докторів вміють "лікувати" тільки від деякогофіксованого набору вірусів, тому вони швидко старіють. Але деякіпрограми можуть навчатися не тільки способам виявлення, а й способамлікування нових вірусів. p>
До таких програм відноситься AVSP фірми "Диалог-МГУ". p>
ПРОГРАМИ-ревізор мають дві стадії роботи. Спочатку вони запам'ятовуютьвідомості про стан програм і системних областей дисків (завантажувальногосектору та сектору з таблицею розбиття жорсткого диска). Передбачається, щов цей момент програми та системні області дисків не заражені. Після цьогоза допомогою програми-ревізора можна в будь-який момент порівняти станпрограм і системних областей дисків з вихідним. Про виявленіневідповідності повідомляється користувачеві. p>
Щоб перевірка стану програм і дисків проходила при кожнійзавантаженні операційної системи, необхідно включити команду запускупрограми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявитизараження комп'ютерним вірусом, коли він ще не встиг завдати великоїшкоди. Більше того, та ж програма-ревізор зможе знайти пошкодженівірусом файли. p>
Багато програми-ревізори є досить "інтелектуальними" - вониможуть відрізняти зміни у файлах, викликані, наприклад, переходом до новоїверсії програми, від змін, що вносяться вірусом, і не піднімають помилковоїтривоги. Справа в тому, що віруси зазвичай змінюють файли досить специфічнимчином і виробляють однакові зміни в різних програмних файлах.
Зрозуміло, що в нормальній ситуації такі зміни практично ніколи незустрічаються, тому програма-ревізор, зафіксувавши факт таких змін,може з упевненістю повідомити, що вони викликані саме вірусом. p>
Слід зауважити, що багато програм-ревізори не вміють виявлятизараження "невидимими" вірусами, якщо такий вірус активний в пам'ятікомп'ютера. Але деякі програми-ревізори, наприклад ADinf фірми "Діалог-
Наука ", все ж таки вміють робити це, не використовуючи виклики DOS для читання диска
(правда, вони працюють не на всіх дисководах). Інші програми частовикористовують різні напівзаходи - намагаються виявити вірус в оперативнійпам'яті, вимагають виклики з першого рядка файлу AUTOEXEC.BAT, сподіваючисьпрацювати на "чистому" комп'ютері, і т.д. На жаль проти деяких "хитрих"вірусів все це марно. p>
Для перевірки того, чи не змінився файл, деякі програми-ревізориперевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси незмінюють довжину заражених файлів. Більш надійна перевірка - прочитати весьфайл і обчислити його контрольну суму. Змінити файл так, щоб йогоконтрольна сума залишилася колишньою, практично неможливо. p>
Останнім часом з'явилися дуже корисні гібриди ревізорів ідокторів, тобто ДОКТОРА-ревізора, - програми, які не тількивиявляють зміни у файлах і системних областях дисків, а й можуть уразі змін автоматично повернути їх в початковий стан. Такіпрограми можуть бути набагато більш універсальними, ніж програми-доктори,оскільки при лікуванні вони використовують заздалегідь збережену інформацію простані файлів і областей дисків. Це дозволяє їм використати файли навітьвід тих вірусів, які не були створені на момент написання програми. p>
Але вони можуть лікувати не від усіх вірусів, а тільки від тих, яківикористовують "стандартні", відомі на момент написання програми,механізми зараження файлів. p>
Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентної воперативної пам'яті комп'ютера і перехоплюють ті звернення до операційноїсистемі, які використовуються вірусами для розмноження і нанесення шкоди, іповідомляють про них користувача. Користувач може дозволити або заборонитивиконання відповідної операції. p>
Деякі програми-фільтри не "ловлять" підозрілі дії, аперевіряють викликаються на виконання програми на наявність вірусів. Цевикликає уповільнення роботи комп'ютера. p>
Однак переваги використання програм-фільтрів дуже значні
- Вони дозволяють виявити багато вірусів на самій ранній стадії, коливірус ще не встиг розмножитися і що-небудь зіпсувати. Тим самим можназвести збитки від вірусу до мінімуму. p>
ПРОГРАМИ-ВАКЦИНИ, або ІММУНІЗАТОРИ, модифікують програми і дискитаким чином, що це не відбивається на роботі програм, але той вірус, відякого проводиться вакцинація, вважає ці програми або диски вжезараженими. Ці програми є вкрай неефективним. P>
Жоден тип антивірусних програм окремо не дає повного захистувід вірусів. Найкращою стратегією захисту від вірусів є багаторівнева,
"Ешелонована" оборона. Опишу структуру цієї оборони. P>
Засобам розвідки в "обороні" від вірусів відповідають програми -детектори, що дозволяють перевіряти знову отримане програмне забезпеченняна наявність вірусів. p>
На передньому краї оборони знаходяться програми-фільтри. Ці програмиможуть першими повідомити про роботу вірусу і запобігти зараженню програм ідисків. p>
Другий ешелон оборони складають програми-ревізори, програми-докторита доктори-ревізори. p>
Найглибший ешелон оборони - це засоби розмежування доступу. Вонине дозволяють вірусам і невірно працюючим програмам, навіть якщо вонипроникли в комп'ютер, зіпсувати важливі дані. p>
В "стратегічному резерві" знаходяться архівні копії інформації. Цедозволяє відновити інформацію при її ушкодженні. p>
Це неформальне опис дозволяє краще зрозуміти методику застосуванняантивірусних засобів. p>
ДІЇ При зараженні вірусом p>
При зараженні комп'ютера вірусом (або при підозрі на це) важливодотримуватися 4-е правила: p>
1) Перш за все не треба поспішати і приймати необачних рішень. p>
Непродумані дії можуть призвести не тільки до втрати частини файлів,але до повторного зараження комп'ютера. p>
2) Треба негайно вимкнути комп'ютер, щоб вірус не продовжував своїхруйнівних дій. p>
3) Всі дії з виявлення виду зараження і лікування комп'ютераслід виконувати під час завантаження комп'ютера з захищеної від запису дискети з
ОС (обов'язкове правило). P>
4) Якщо Ви не володієте достатніми знаннями та досвідом для лікуваннякомп'ютера, попросіть допомогти більш досвідчених колег. p>