Міністерство освіти і у справах молоді p>
Республіки Карелія p>
Професійний ліцей № 12 p>
Комп'ютерні віруси p>
і антивіруси p >
Реферат з інформатики p>
учнівської групи № 18 p>
Малишевою Н.В. p>
Викладач: p>
Оцінка: p>
м. Петрозаводськ p>
2001 p>
Зміст p>
Введення
Хто і чому пише віруси?
Комп'ютерні віруси, їх властивості та класифікація p>
Властивості комп'ютерних вірусів p>
Класифікація вірусів p>
Завантажувальні віруси p>
Файлові віруси p>
Завантажувально-файлові віруси p>
поліморфних вірусів p>
Стелс-віруси p>
троянські коні, програмні закладки та мережеві черв'яки
Шляхи проникнення вірусів у комп'ютер і механізм розподілу вірусних програм
Ознаки появи вірусів
Методи захисту від комп'ютерних вірусів
Антивірусні програми
Висновок
Список літератури p>
Введення p>
Навряд чи варто нагадувати, що комп'ютери стали справжніми помічникамилюдини і без них вже не може обійтися жодна комерційна фірма, нідержавна організація. Однак у зв'язку з цим особливо загостриласяпроблема захисту інформації.
Віруси, що одержали широке поширення в комп'ютерній техніці,приголомшили увесь світ. Багато користувачів комп'ютерів стурбовані чуткамипро те, що за допомогою комп'ютерних вірусів зловмисники зламують мережі,грабують банки, крадуть інтелектуальну власність ... p>
Сьогодні масове застосування персональних комп'ютерів, на жаль,був пов'язаний із появою самовідтворюються програм-вірусів,перешкоджають нормальній роботі комп'ютера, руйнують файлову структурудисків і завдають шкоди що зберігається в комп'ютері інформації.
Все частіше в засобах масової інформації з'являються повідомлення про різногороду піратських витівках комп'ютерних хуліганів, про появу все більшскоєних саморозмножуються програм. Зовсім недавно зараження вірусомтекстових файлів вважалося абсурдом - зараз цим вже нікого не здивуєш.
Досить згадати появу "перші ластівки", який наробив багато шуму --вірусу WinWord. Concept, що вражає документи у форматі текстовогопроцесора Microsoft Word for Windows 6.0 і 7.0. Незважаючи на прийняті підбагатьох країнах закони про боротьбу з комп'ютерними злочинами і розробкуспеціальних програмних засобів захисту від вірусів, кількість новихпрограмних вірусів постійно росте. Це вимагає від користувачаперсонального комп'ютера знань про природу вірусів, способи зараженнявірусами і захисту від них.
Хочеться відразу зауважити, що надто вже боятися вірусів не варто, особливоякщо комп'ютер придбаний зовсім недавно, і багато інформації на жорсткомудиску ще не накопичилася. Вірус комп'ютер не підірве. Нині відомий тількиодин вірус (Win95.CIH), який здатний зіпсувати "залізо" комп'ютера.
Інші ж можуть лише знищити інформацію, не більше того.
У літературі досить наполегливо пропагується, що позбутися від вірусівможна лише за допомогою складних (і дорогих) антивірусних програм, інібито тільки під їхнім захистом ви можете почувати себе в повнійбезпеки. Це не зовсім так - знайомство з особливостями будови іспособами впровадження комп'ютерних вірусів допоможе вчасно їх виявити ілокалізувати, навіть якщо під рукою не виявиться підходящої антивірусноїпрограми. p>
Хто і чому пише віруси? p>
Хто ж пише віруси? На мій погляд, основну масу їх створюють студентиі школярі, які тільки що вивчили мову асемблера, хочуть спробуватисвої сили, але не можуть знайти для них більш гідного застосування. Отрадітой факт, що значна частина таких вірусів їх авторами часто непоширюється, і віруси через деякий час «вмирають» разом здискетами, на яких зберігаються. Такі віруси пишуться швидше за все тількидля самоствердження. p>
Другу групу складають також молоді люди (частіше - студенти), якіще не повністю оволоділи мистецтвом програмування, але вже вирішилиприсвятити себе написанню та розповсюдженню вірусів. Єдина причина,що штовхає подібних людей на написання вірусів, це комплекснеповноцінності, який проявляє себе в комп'ютерному хуліганстві. p>
З-під пера таких «умільців» часто виходять або численнімодифікації «класичних» вірусів, або віруси вкрай примітивні і звеликою кількістю помилок (такі віруси я називаю «студентськими»). Значнополегшилася життя подібних вірусів після виходу конструкторіввірусів, за допомогою яких можна створювати нові віруси навіть примінімальних знаннях про операційну систему та асемблері, або навіть взагаліне маючи про це ніякого уявлення. Їх життя стало ще легше післяпояви макро-вірусів, оскільки замість складного мови Асемблер длянаписання макро-вірусів досить вивчити досить простий Бейсік. p>
Ставши старшим і більш досвідчений, але так і не подорослішав, багато хто з подібнихвірусописьменників потрапляють у третьому, найбільш небезпечну групу, яка створюєі запускає у світ «професійні» віруси. Ці дуже ретельнопродумані і налагоджені програми створюються професійними, часто дужеталановитими програмістами. Такі віруси нерідко використовують доситьоригінальні алгоритми, недокументовані і мало кому відомі способипроникнення в системні області даних. «Професійні» віруси частовиконані за технологією «стелс» і (або) є поліморфік-вірусами,заражають не тільки файли, але і завантажувальні сектори дисків, а іноді йвиконувані файли Windows і OS/2. p>
Досить значну частку у моїй колекції займають «сімейства» --групи з декількох (іноді більше десятка) вірусів. Представників кожноїїх таких груп можна виділити з однією відмінною межі, яканазивається «почерком»: у декількох різних віруси зустрічаються одні й тіж алгоритми та прийоми програмування. Часто все або майже всепредставники сімейства належать одному авторові, і іноді доситьзабавно стежити за «становленням пера» подібного художника - від майже
«Студентських» спроб створити бодай щось, схоже на вірус, до цілкомпрацездатною реалізації «професійного» вірусу. p>
На мою думку, причина, що змушує таких людей направляти своїздатності на таку безглузду роботу все та ж - комплекснеповноцінності, іноді поєднується з неврівноваженою психікою.
Показовим є той факт, що подібне вірусопісательство часто поєднується зіншими згубними пристрастями. Так, навесні 1997 року один з найбільшвідомих у світі авторів вірусів на прізвисько Talon (Австралія) помер ввіці 21 року від летальної дози героїну. p>
Кілька окремо варто четверта група авторів вірусів -
«Дослідники». Ця група складається з досить кмітливихпрограмістів, які займаються винаходом принципово нових методівзараження, приховування, протидії антивірусам і т.д. Вони ж придумуютьспособи впровадження в нові операційні системи, конструктори вірусів іполіморфік-генератори. Ці програмісти пишуть віруси не заради власневірусів, а швидше ради «дослідження» потенціалів «комп'ютерної фауни». p>
Часто автори подібних вірусів не запускають свої творіння в життя,проте дуже активно пропагують свої ідеї через численніелектронні видання, присвячені створенню вірусів. При цьому небезпека відтаких «дослідницьких» вірусів не падає - потрапивши до рук «професіоналів»з третьої групи, нові ідеї дуже швидко реалізуються в нових віруси. p>
Відношення до авторів вірусів у мене Троїста. По-перше, всі, хтопише віруси або сприяє їх розповсюдженню, є «годувальниками»антивірусної індустрії, річний оборот якої я оцінюю як мінімум двісотні мільйонів доларів або навіть більше того (при цьому не варто забувати,що збитки від вірусів становлять кілька сотень мільйонів доларівщорічно і в рази перевищують витрати на антивірусні програми). Якщо загальнакількість вірусів до кінця 1997 року швидше за все досягне 20.000, тоневажко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічноскладає мінімум 10 тисяч доларів. Звичайно ж, авторам вірусів неслід сподіватися на матеріальну винагороду: як показує практика,їх праця була і залишається безкоштовним. До того ж на сьогоднішній деньпропозиція (нові віруси) цілком задовольняє попит (можливостіантивірусних фірм з обробки нових вірусів). p>
По-друге, мені трохи шкода авторів вірусів, особливо
«Професіоналів». Адже для того, щоб написати подібний вірус, необхідно:a) затратити досить багато сил і часу, причому набагато більше, ніжпотрібно для того, щоб розібратися у вірусу занести його до бази данихабо навіть написати спеціальний антивірус, і б) не мати іншого, більшпривабливого, заняття. Отже, Вірусописьменники - »професіонали»досить працездатні і одночасно з цим маються від неробства --ситуація, як мені здається, дуже сумна. p>
І по-третє, на мій відношенню до авторів вірусів досить сильнопідмішана почуття нелюбові і презирства як до людей, свідомо і безцільнощо витрачають себе на шкоду всім іншим. p>
Комп'ютерні віруси, їх властивості та класифікація p>
Властивості комп'ютерних вірусів p>
Зараз застосовуються персональні комп'ютери, в яких користувачмає вільний доступ до всіх ресурсів машини. Саме це відкриломожливість для небезпеки, яка отримала назву комп'ютерного вірусу. p>
Що таке комп'ютерний вірус? Формальне визначення цього поняття додосі не придумано, і є серйозні сумніви, що воно взагалі може бутидано. Численні спроби дати «сучасне» визначення вірусу непривели до успіху. Щоб відчути всю складність проблеми, спробуйте,Наприклад, дати визначення поняття «редактор». Ви або придумаєте щосьдуже загальне, або почнете перераховувати всі відомі типи редакторів. І те іінше навряд чи можна вважати прийнятним. Тому ми обмежимосярозглядом деяких властивостей комп'ютерних вірусів, які дозволяютьговорити про них як про деяке певному класі програм. p>
Перш за все, вірус - це програма. Таке просте твердження саме пособі здатне розвіяти безліч легенд про незвичайні можливостікомп'ютерних вірусів. Вірус може перевернути зображення на вашомумоніторі, але не може перевернути сам монітор. До легенд про віруси -вбивць, «знищують операторів за допомогою виводу на екран небезпечноїколірної гами 25-м кадром »також не варто ставитися серйозно. Дожаль, деякі авторитетні видання час від часу публікують «самісвіжі новини з комп'ютерних фронтів », які при ближчому розглядівиявляються наслідком не цілком ясного розуміння предмета. p>
Вірус - програма, здатна до самовідтворення. Таказдатність є єдиним засобом, що властиво всім типам вірусів.
Але не тільки віруси здатні до самовідтворення. Будь-яка операційнасистема і ще безліч програм здатні створювати власні копії.
Копії ж вірусу не тільки не зобов'язані повністю збігатися з оригіналом, але,і можуть взагалі з ним не збігатися!
Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявитисобі вірус, який не використовує код інших програм, інформацію профайлову структуру або навіть просто імена інших програм. Причина зрозуміла:вірус має яких-небудь способом забезпечити передачу собі керування. p>
Класифікація вірусів p>
В даний час відомо більше 5000 програмних вірусів, їх можнакласифікувати за такими ознаками:
. середовищі існування
. способом зараження середовища проживання
. впливу
. особливостями алгоритму p>
Залежно від середовища перебування віруси можна розділити на мережеві,файлові, завантажувальні та файлово-завантажувальні. Мережеві вірусипоширюються по різних комп'ютерних мереж. Файлові вірусивпроваджуються головним чином у виконувані модулі, тобто У файли, що маютьрозширення COM та EXE. Файлові віруси можуть впроваджуватися і в інші типифайлів, але, як правило, записані в таких файлах, вони ніколи не отримуютьуправління і, отже, втрачають здатність до розмноження. Завантажувальнівіруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор,що містить програму завантаження системного диска (Master Boot Re-cord).
Файлово-завантажувальні віруси заражають як файли, так і завантажувальні секторидисків. p>
За способом зараження віруси поділяються на резидентні і нерезидентні.
Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає воперативної пам'яті свою резидентну частина, яка потім перехоплюєзвертання операційної системи до об'єктів зараження (файлів, завантажувальнимсекторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться впам'яті і є активними аж до вимикання або перезавантаженнякомп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і єактивними обмежений час. p>
За ступенем впливу віруси можна розділити на наступні види:
. безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів проявляються в будь-яких графічних або звукових ефектах
. небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера
. дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації в системних областях диска. p>
За особливостями алгоритму віруси важко класифікувати через великурізноманітності. Найпростіші віруси - паразитичні, вони змінюють вмістфайлів і секторів диска і можуть бути досить легко виявлені ізнищені. Можна відзначити віруси-станції, звані хробаками, якірозповсюджуються по комп'ютерних мережах, обчислюють адреси мережнихкомп'ютерів і записують за цими адресами свої копії. p>
Відомі віруси-невидимки, звані стелс-вірусами, які дужеважко виявити та знешкодити, так як вони перехоплюють зверненняопераційної системи до уражених файлів і секторів дисків та підставляютьзамість свого тіла незаражені ділянки диска. Найбільш важко виявитивіруси-мутанти, що містять алгоритми шифрування-розшифровки, завдякияким копії одного і того ж вірусу не мають ні одного повторюєтьсяланцюжка байтів. Є і так звані квазівірусние або «троянські»програми, які хоч і не здатні до самопоширення, але дуженебезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальнийсектор і файлову систему дисків. p>
Тепер детальніше про деякі з цих груп. p>
Завантажувальні віруси p>
Розглянемо схему функціонування дуже простого завантажувального вірусу,заражающего дискети. p>
Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управлінняпередається програмі початкового завантаження, яка зберігається в постійнопристрої, що запам'ятовує (ПЗУ) тобто ПНЗ ПЗУ. P>
Ця програма тестує обладнання і при успішному завершенні перевірокнамагається знайти дискету в дисководі А: p>
Всяка дискета розмічена на т.зв. сектори і доріжки. Секториоб'єднуються в кластери, але це для нас несуттєво. p>
Серед секторів є кілька службових, що використовуються операційноюсистемою для власних потреб (у цих секторах не можуть розміщуватися вашідані). Серед службових секторів нас цікавить сектор початкового завантаження
(boot-sector). p>
У секторі початкового завантаження зберігається інформація про дискеті - кількістьповерхонь, кількість доріжок, кількість секторів і пр. Але нас заразцікавить не ця інформація, а невелика програма початкового завантаження
(ПНЗ), яка повинна завантажити саму операційну систему і передати їйуправління. p>
Таким чином, нормальна схема початкового завантаження наступна: p>
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА p>
Тепер розглянемо вірус. У завантажувальних віруси виділяють дві частини: голову і т.зв. хвіст. Хвіст може бути порожнім. P>
Хай у вас є чиста дискета і заражений комп'ютер, під якимми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірусвиявить, що в дисководі з'явилася відповідна жертва - у нашому випадку незахищена від запису і ще не заражена дискета, він приступає дозараження. Заражаючи дискету, вірус виробляє наступні дії:
. виділяє певну область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, в простому і традиційному випадку зайняті вірусом сектори позначаються як збійні (bad)
. копіює у виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор
. заміняє програму початкової загрвузькі в завантажувальному секторі (тепер) своєю головою
. організовує ланцюжок передачі управління згідно зі схемою. p>
Таким чином, голова вірусу тепер перший отримує управління, вірусвстановлюється в пам'ять і передає управління оригінального завантажувальномусектору. У ланцюжку p>
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА з'являється нова ланка: p>
ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА p>
Ми розглянули схему функціонування простого бутового вірусу,що живе в завантажувальних секторах дискет. Як правило, віруси здатнізаражати не тільки завантажувальні сектори дискет, але і завантажувальні секторивінчестерів. При цьому на відміну від дискет на вінчестері є два типизавантажувальних секторів, що містять програми початкового завантаження, якіотримують управління. При завантаженні комп'ютера з вінчестера перший бере насебе управління програма початкового завантаження в MBR (Master Boot Record --головна запис завантаження). Якщо ваш жорсткий диск розбитий на кількарозділів, то лише один з них позначений як завантажувальний (boot). Програмапочаткового завантаження в MBR знаходить завантажувальний розділ вінчестера і передаєуправління на програму початкового завантаження цього розділу. Код останньоїзбігається з кодом програми початкового завантаження, що міститься на звичайнихдискетах, а відповідні завантажувальні сектори відрізняються лишетаблицями параметрів. Таким чином, на вінчестері є два об'єктиатаки завантажувальних вірусів - програма початкового завантаження в MBR і програмапочаткового завантаження в бут-секторі завантажувального диска. p>
Файлові віруси p>
Розглянемо тепер схему роботи простого файлового вірусу. На відміну відзавантажувальних вірусів, які практично завжди резидентних, файлові вірусизовсім не обов'язково резидентних. Розглянемо схему функціонуваннянерезидентного файлового вірусу. Нехай у нас є інфікованийвиконуваний файл. При запуску такого файлу вірус одержує управління,виробляє деякі дії і передає управління «хазяїну» p>
Які ж дії виконує вірус? Він шукає новий об'єкт для зараження --відповідний за типом файл, який ще не заражена. Заражаючи файл, вірусвпроваджується в його код, щоб отримати управління при запуску цього файлу.
Окрім своєї основної функції - розмноження, вірус цілком може зробити що -небудь хитромудро (сказати, запитати, зіграти) - це вже залежить відфантазії автора вірусу. Якщо файловий вірус резидентний, то він встановитьсяв пам'ять і отримає можливість заражати файли і виявляти іншіздатності не тільки під час роботи зараженого файла. Заражаючивиконуваний файл, вірус завжди змінює його код - отже, зараженняфайлу, що виконується завжди можна виявити. Але, змінюючи код файлу, вірус необов'язково вносить інші зміни:
. він не зобов'язаний змінювати довжину файлу
. невживані ділянки коду
. не зобов'язаний змінювати початок файлу p>
Нарешті, до файлових вірусів часто відносять віруси, які «маютьпевне відношення до файлів », але не зобов'язані впроваджуватися в їх код. p>
Таким чином, при запуску будь-якого файлу вірус одержує управління
(операційна система запускає його сама), резидентний встановлюється впам'ять і передає управління викликаному файлу. p>
Завантажувально-файлові віруси p>
Ми не будемо розглядати модель завантажувально-файлового вірусу, боніякої нової інформації ви при цьому не дізнаєтеся. Але тут видаєтьсязручний випадок коротко обговорити вкрай «популярний» останнім часомзавантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор
(MBR) і виконувані файли. Основна руйнівна дія - шифруваннясекторів вінчестера. При кожному запуску вірус шифрує чергову порціюсекторів, а, зашифровані половину жорсткого диска, радісно повідомляє про це.
Основна проблема при лікуванні даного вірусу полягає в тому, щонедостатньо просто видалити вірус з MBR і файлів, треба розшифруватизашифровану їм інформацію. p>
поліморфних вірусів p>
Більшість питань пов'язано з терміном «поліморфний вірус». Цей видкомп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним.
Пояснимо ж, що це таке. P>
поліморфних вірусів - віруси, що модифікують свій код в зараженихпрограмах таким чином, що два примірники одного і того самого вірусу можутьне збігатися ні в одному бите. p>
Такі віруси не тільки шифрують свій код, використовуючи різні шляхишифрування, але й містять код генерації шіфровщіка і розшифровувача, щовідрізняє їх від звичайних шифрувальних вірусів, які також можуть шифруватиділянки свого коду, але мають при цьому постійний код шифрувальника ірозшифровувача. p>
поліморфні віруси - це віруси з самомодіфіцірующімісярозшифровувача. Мета такого шифрування: маючи заражений і оригінальнийфайли, ви все одно не зможете проаналізувати його код за допомогою звичайногодізассемблірованія. Цей код зашифрований і є безглуздийнабір команд. Розшифровка виробляється самим вірусом вже безпосередньо підчас виконання. При цьому можливі варіанти: він може розшифрувати себеза все відразу, а може виконати таку розшифровку «по ходу справи», можезнову шифрувати вже відпрацьовані ділянки. Все це робиться заради утрудненняаналізу коду вірусу. p>
Стелс-віруси p>
У ході перевірки комп'ютера антивірусні програми зчитують дані --файли та системні області з жорстких дисків та дискет, користуючись засобамиопераційної системи та базової системи введення/виводу BIOS. Ряд вірусів,після запуску залишають в оперативній пам'яті комп'ютера спеціальні модулі,перехоплюють звернення програм до дискової підсистеми комп'ютера. Якщотакий модуль виявляє, що програма намагається прочитати заражений файлабо системну область диска, він на ходу підмінює читаються дані, якніби вірусу на диску немає. p>
Стелс-віруси обманюють антивірусні програми і в результаті залишаютьсянепоміченими. Тим не менш, існує простий спосіб відключити механізммаскування стелс-вірусів. Досить завантажити комп'ютер з не зараженоїсистемної дискети і відразу, не запускаючи інших програм з диска комп'ютера
(які також можуть виявитися зараженими), перевірити комп'ютерантивірусною програмою. p>
При завантаженні з системної дискети вірус не може отримати управління івстановити в оперативній пам'яті резидентний модуль, що реалізує стелс -механізм. Антивірусна програма зможе прочитати інформацію, що дійснозаписану на диску, і легко виявить вірус. p>
троянські коні, програмні закладки та мережеві черв'яки p>
Троянський кінь - це програма, яка містить в собі деякуруйнує функцію, яка активізується при настанні деякогоумови спрацювання. Зазвичай такі програми маскуються під які-небудькорисні утиліти. Віруси можуть нести в собі троянських коней або
"троянізіровать" інші програми - вносити до них руйнують функції. p>
«троянські коні» являють собою програми, що реалізують крімфункцій, що описані в документації, і деякі інші функції, пов'язані зпорушенням безпеки і деструктивними діями. Відмічені випадкистворення таких програм з метою полегшення розповсюдження вірусів. Спискитаких програм широко публікуються в зарубіжній пресі. Зазвичай вонимаскуються під ігрові або розважальні програми та завдають шкоди підкрасиві картинки або музику. p>
Програмні закладки також містять деяку функцію, що завдає шкоди
НД, але ця функція, навпаки, намагається бути якомога непомітніше, тому щочим довше програма не буде викликати підозр, тим довше закладказможе працювати. p>
Якщо віруси і «троянські коні» завдають шкоди за допомогоюлавиноподібного саморозмноження або явного руйнування, то основна функціявірусів типу «хробак», що діють в комп'ютерних мережах, - злом атакуєтьсясистеми, тобто подолання захисту з метою порушення безпеки іцілісності. p>
У більш 80% комп'ютерних злочинів, що розслідуються ФБР, "зломщики"проникають в атакується систему через глобальну мережу Internet. Коли такаспроба вдається, майбутнє компанії, на створення якої пішли роки, можебути поставлено під загрозу за якісь секунди. p>
Цей процес може бути автоматизовано за допомогою вірусу, званогомережевий черв'як. p>
хробаками називають віруси, які розповсюджуються по глобальних мережах,вражаючи цілі системи, а не окремі програми. Це самий небезпечний видвірусів, тому що об'єктами нападу в цьому випадку стаютьінформаційні системи державного масштабу. З появою глобальноїмережі Internet цей вид порушення безпеки представляє найбільшузагрозу, тому що йому в будь-який момент може зазнати будь-який з 40 мільйонівкомп'ютерів, підключених до цієї мережі. p>
Шляхи проникнення вірусів у комп'ютер і механізм розподілу вірусних програм
Основними шляхами проникнення вірусів у комп'ютер є знімні диски
(гнучкі та лазерні), а також комп'ютерні мережі. Зараження жорсткого дискавірусами може статися під час завантаження програми з дискети, яка міститьвірус. Таке зараження може бути і випадковим, наприклад, якщо дискети невийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета можебути і не системною. Заразити дискету набагато простіше. На неї вірус можепотрапити, навіть якщо дискету просто вставили в дисковод зараженогокомп'ютера і, наприклад, прочитали її зміст. p>
Вірус, як правило, впроваджується в робочу програму таким чином, щобпри її запуску управління спочатку передалося йому і тільки після виконаннявсіх його команд знову повернулося до робочої програми. Отримавши доступ доуправління, вірус, перш за все, переписує сам себе в іншу робочупрограму і заражає її. Після запуску програми, яка містить вірус,стає можливим зараження інших файлів. p>
Найбільш часто заражаються вірусом завантажувальний сектор диска івиконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідкозаражаються текстові файли. p>
Після зараження програми вірус може виконати якусь диверсію,не дуже серйозну, щоб не привернути уваги. І, нарешті, не забуваєповернути управління тій програмі, з якої було запущено. Кожневиконання зараженої програми вірус переносить в наступну. Таким чином,заразиться все програмне забезпечення. p>
Ознаки появи вірусів p>
При зараженні комп'ютера вірусом важливо його виявити. Для цього слідзнати про основні ознаки прояву вірусів. До них можна віднестинаступні:
. припинення роботи або неправильна робота раніше успішно функціонуючих програм
. повільна робота комп'ютера
. неможливість завантаження операційної системи
. зникнення файлів і каталогів чи спотворення їх вмісту
. зміна дати і часу модифікації файлів
. зміна розмірів файлів
. несподіване значне збільшення кількості файлів на диску
. істотне зменшення розміру вільної оперативної пам'яті
. виведення на екран непередбачених повідомлень та зображень
. подача непередбачуваних звукових сигналів
. часті зависання і збої в роботі комп'ютера p>
Слід зазначити, що перераховані вище явища необов'язкововикликаються присутністю вірусу, а можуть бути наслідком інших причин.
Тому завжди утруднена правильна діагностика стану комп'ютера. P>
Методи захисту від комп'ютерних вірусів p>
Яким би не був вірус, користувачеві необхідно знати основні методизахисту від комп'ютерних вірусів. p>
Для захисту від вірусів можна використовувати:
. загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувача;
. профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
. спеціалізовані програми для захисту від вірусів. p>
Загальні засоби захисту інформації корисні не тільки для захисту відвірусів. Є дві основні різновиди цих коштів:
. копіювання інформації - створення копій файлів і системних областей дисків;
. розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів. p>
Незважаючи на те, що загальні засоби захисту інформації дуже важливі длязахисту від вірусів, все ж їх недостатньо. Необхідно і застосуванняспеціалізованих програм для захисту від вірусів. Ці програми можнарозділити на кілька видів: детектори, доктора (фаги), ревізори,доктори-ревізори, фільтри та вакцини (іммунізатори). p>
ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним здекількох відомих вірусів. Ці програми перевіряють, чи є у файлахна вказаному користувачем диску специфічна для даного вірусукомбінація байтів. При її виявленні в будь-якому файлі на екран виводитьсявідповідне повідомлення. Багато детектори мають режими лікування абознищення заражених файлів. Слід підкреслити, що програми-детекториможуть виявляти тільки ті віруси, які їй "відомі". Програма Scanфірми McAfee Associates і Aidstest Д. Н. Лозинського дозволяють виявлятиблизько 9000 вірусів, але всього їх більше двадцяти тисяч! Деякі програми -детектори, наприклад Norton AntiVirus або AVSP фірми "Диалог-МГУ", можутьналаштовувати на нові типи вірусів, їм необхідно лише вказати комбінаціїбайтів, властиві цих вірусів. Тим не думка неможливо розробити такупрограму, яка могла б виявляти будь-який заздалегідь невідомийвірус. p>
Таким чином, з того, що програма не розпізнається детекторами якзаражена, не випливає, що вона здорова - у ній можуть сидіти який-небудьновий вірус або злегка модифікована версія старого вірусу, невідоміпрограмами-детекторів. p>
Багато програми-детектори (у тому числі і Aidstest) не вміютьвиявляти зараження "невидимими" вірусами, якщо такий вірус активнийпам'яті комп'ютера. Справа в тому, що для читання диска вони використовують функції
DOS, а вони перехоплюються вірусом, який говорить, що все добре.
Правда, Aidstest та інші детектори намагаються виявити вірус шляхомперегляду оперативної пам'яті, але проти деяких "хитрих" вірусів це недопомагає. Так що надійний діагноз програми-детектори дають тільки призавантаженні DOS з "чистою", захищеної від запису дискети, при цьому копіяпрограми-детектора також повинна бути запущена з цієї дискети. p>
Деякі детектори (скажімо ADinf фірми "Діалог-Наука") вміють ловити
"невидимі" віруси, навіть коли вони активні. Для цього вони читають диск, невикористовуючи виклики DOS. Щоправда, цей метод працює не на всіх дисководах. P>
Більшість програм-детекторів мають функцію "доктора", тобто вонинамагаються повернути заражені файли або області диска в їх вихіднестан. Ті файли, які не вдалося відновити, як правило, роблятьсянепрацездатними або видаляються. p>
Більшість програм-докторів вміють "лікувати" тільки від деякогофіксованого набору вірусів, тому вони швидко старіють. Але деякіпрограми можуть навчатися не тільки способам виявлення, а й способамлікування нових вірусів. До таких програм відноситься AVSP фірми "Діалог-
МГУ ". P>
ПРОГРАМИ-ревізор мають дві стадії роботи. Спочатку вони запам'ятовуютьвідомості про стан програм і системних областей дисків (завантажувальногосектору та сектору з таблицею розбиття жорсткого диска). Передбачається,що в цей момент програми та системні області дисків не заражені. Післяцього за допомогою програми-ревізора можна в будь-який момент порівняти станпрограм і системних областей дисків з вихідним. Про виявленіневідповідності повідомляється користувачеві. p>
Щоб перевірка стану програм і дисків проходила при кожнійзавантаженні операційної системи, необхідно включити команду запускупрограми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявитизараження комп'ютерним вірусом, коли він ще не встиг завдати великоїшкоди. Більше того, та ж програма-ревізор зможе знайти пошкодженівірусом файли. p>
Багато програми-ревізори є досить "інтелектуальними" - вониможуть відрізняти зміни у файлах, викликані, наприклад, переходом до новоїверсії програми, від змін, що вносяться вірусом, і не піднімають помилковоїтривоги. Справа в тому, що віруси зазвичай змінюють файли вельмиспецифічним чином і виробляють однакові зміни в різнихпрограмних файлах. Зрозуміло, що в нормальній ситуації такі змінипрактично ніколи не зустрічаються, тому програма-ревізор, зафіксувавшифакт таких змін, може з упевненістю повідомити, що вони викликанісаме вірусом. p>
Інші програми часто використовують різні за?? помер - намагаютьсявиявити вірус в оперативній пам'яті, вимагають виклики з першого рядкафайлу AUTOEXEC.BAT, сподіваючись працювати на "чистому" комп'ютері, і т.д. На жаль,проти деяких "хитрих" вірусів все це марно. p>
Для перевірки того, чи не змінився файл, деякі програми-ревізори перевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси незмінюють довжину заражених файлів. Більш надійна перевірка - прочитати весьфайл і обчислити його контрольну суму. Змінити файл так, щоб йогоконтрольна сума залишилася колишньою, практично неможливо. p>
Останнім часом з'явилися дуже корисні гібриди ревізорів ідокторів, тобто ДОКТОРА-ревізора, - програми, які не тільки виявляютьзміни у файлах і системних областях дисків, а й можуть у разізмін автоматично повернути їх в початковий стан. Такі програмиможуть бути набагато більш універсальними, ніж програми-доктори, оскількипри лікуванні вони використовують заздалегідь збережену інформацію про станфайлів і областей дисків. Це дозволяє їм використати файли навіть від тихвірусів, які не були створені на момент написання програми. p>
Але вони можуть лікувати не від усіх вірусів, а тільки від тих, яківикористовують "стандартні", відомі на момент написання програми,механізми зараження файлів. p>
Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентної воперативної пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, що використовуються вірусами для розмноження і нанесенняшкоди, і повідомляють про них користувача. Користувач може дозволити абозаборонити виконання відповідної операції. p>
Деякі програми-фільтри не "ловлять" підозрілі дії, аперевіряють викликаються на виконання програми, на наявність вірусів. Цевикликає уповільнення роботи комп'ютера. p>
Однак переваги використання програм-фільтрів дуже значні
- Вони дозволяють виявити багато вірусів на самій ранній стадії, коливірус ще не встиг розмножитися і що-небудь зіпсувати. Тим самим можназвести збитки від вірусу до мінімуму. p>
ПРОГРАМИ-ВАКЦИНИ, або ІММУНІЗАТОРИ, модифікують програми і дискитаким чином, що це не відбивається на роботі програм, але той вірус,від якого здійснюється вакцинація, вважає ці програми або диски вже зараженими. Ці програми є вкрай неефективним. P>
Антивірусні програми p>
Отже, що ж таке антивірус? Відразу ж розвіємо одну часто виникаєілюзію. Чомусь багато хто вважає, що антивірус може виявити будь-якийвірус, тобто, запустивши антивірусну програму або монітор, можна бутиабсолютно впевненим у їх надійності. Така точка зору не зовсім вірна.
Справа в тому, що антивірус - це теж програма, звичайно, написанапрофесіоналом. Але ці програми здатні розпізнавати і знищувати тількивідомі віруси. Тобто антивірус проти конкретного вірусу може бутинаписаний тільки в тому випадку, коли у програміста є в наявності хоча бодин примірник цього вірусу. От і йде ця нескінченна війна міжавторами вірусів і а