РЕФЕРАТ

по информатике на тему:

" Компьютерные вирусы

и борьба с ними "

Выполнил

ученик 11 класса

Шаринский Дмитрий Вячеславович

Преподаватель

Введение
1. История возникновения компьютерных вирусов
2. Компьютерные вирусы
2.1. Свойства компьютерных вирусов
2.2. Классификация вирусов
2.2.1. Вирусы-программы (W32)
2.2.2. Загрузочные вирусы
2.2.3. Файловые вирусы
2.2.4. Полиморфные вирусы
2.2.5. Стелс-вирусы
2.2.6. Макровирусы
2.2.7. Скрипт-вирусы
2.2.8. «Троянские программы», программные закладки и сетевые черви.
Классы троянских программ
Сетевые черви
Прочие вредоносные программы
3. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
3.1. Признаки появления вирусов
3.2. Что делать при наличии признаков заражения
4. Антивирусные программы
4.1. Антивирус Касперского (KAV)
4.2. Dr.Web
4.3. Norton Antivirus
Заключение
Список используемых источников

Введение

Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.

К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.

В середине нашего столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

1. История возникновения компьютерных вирусов.

Мнений по поводу рождения первого компьютерного вируса очень много. Нам допод-линно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретате-лем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были. Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовос-производящихся математических автоматов, которые стали известны в 1940-х годах. В 1951 г. этот знаменитый ученый предложил метод, который демонстрировал возмож-ность создания таких автоматов. Позднее, в 1959 г. журнал "Scientific American" опуб-ликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводя-щимся механическим структурам. В отличие от ранее известных работ, здесь была опи-сана простейшая двумерная модель подобных структур, способных к активации, раз-множе-нию, мутациям, захвату. Позднее, по следам этой статьи другой ученый Ф.Ж. Шталь реализовал модель на практике с помощью машинного кода на IBM 650. Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособ-ленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что после-дующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых. В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Вы-сотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предпола-гала присутствие в памяти вычислительной машины так называемого супервизора, оп-реде-лявшего правила и порядок борьбы между собой программ-соперников, создавав-шихся игроками. Программы имели функции исследования пространства, размноже-ния и уничтожения. Смысл игры заключался в удалении всех копий программы про-тивника и захвате поля битвы. На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях.

2.Компьютерные вирусы.

2.1.Свойства компьютерных вирусов

Вирус – едва ли не главный враг компьютера. Крохотные зловредные программки могут в одночасье испортить плоды вашего многомесячного труда, уничтожить текстовые файлы и электронные таблицы, а то и вообще испортить файловую систему на жёстком диске…

Прежде всего, вирус - это программа. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно.

Ведут себя компьютерные вирусы точно так же, как вирусы живые: они прячут свой код в теле «здоровой» программы и при каждом её запуске активируются и начинают бурно «размножаться», бесконтрольно распространяясь по всему компьютеру.

Это – одна сторона деятельности вируса. Не самая страшная, кстати. Если бы вирус просто размножался, не мешая работе программ, то с ним, наверное, не стоило бы и связываться. Тем более, что значительное число существующих вирусов принадлежит именно к этой, относительно безвредной категории.

Но, помимо размножения, у вируса есть ещё и другое «хобби» - разрушать и пакостить. Степень «пакостности» вируса может быть разная – одни ограничиваются тем, что выводят на экран навязчивую картинку, мешающую вашей работе, другие, особо не раздумывая, полностью уничтожают данные на жёстком диске.

К счастью, такие «жестокие» вирусы встречаются нечасто. Во всяком случае, лично я столкнулся с такой заразой только однажды. Но, может быть, мне просто повезло?

В любом случае, реальный вред от вирусов сегодня куда больше, чем, скажем, от нашумевшей на весь мир «ошибки 2000 года». Жаль только, что в отличие от этого «мыльного пузыря» вирусы не испытывают желания враз покинуть наш грешный мир с приходом нового тысячелетия. И нет надежды справиться с ними окончательно в какие-то обозримые сроки – ибо таланту авторов антивирусных программ противостоит извращённая фантазия компьютерных графоманов.

Ведь написать вирус – задача не сильно сложная. Студенческих мозгов и умения, во всяком случае, на это хватает. А если ещё и студент талантливый попадётся – будет созданная им «зараза» гулять по миру в течение долгих лет.

Вообще-то век вируса недолог. Антивирусные программы, в отличие от него, бедолаги, умнеют не по дням, а по часам. И вирус, ещё вчера казавшийся неуловимым, сегодня моментально удаляется и обезвреживается. Потому и трудно найти сегодня вирусы, чей возраст превышает год-два – остальные уже давно сохранились лишь в коллекциях.

Сегодня науке известно около 100 тысяч компьютерных вирусов – маленьких вредоносных программок, следующих в своей жизни только трём заповедям – Плодиться, Прятаться и Портить.

А стоит за всем этим… простое человеческое тщеславие, глупость и инстинктивная тяга к разрушению. Мы умиляемся, видя сосредоточенно изничтожающего песчаный замок или старый журнал ребёнка, - а позднее такие вот подросшие, но так и не выросшие дети калечат наши компьютеры.

…А началась эта история ни много ни мало – лет тридцать назад. Именно тогда, в конце 60-х, когда о «персоналках» можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. В отличие от программ нормальных, послушно ходивших «по струнке» и выполнявших все распоряжения человека, эти гуляли сами по себе. Занимались в недрах компьютера какими-то понятными только им делами, по ходу дела сильно замедляя работу компьютера. Хорошо хоть, что ничего при этом не портили и не размножались.

Однако продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и даже получившие свои собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal , а на компьютерах из славного семейства IBM-360/370 поселился вирус Christmas tree .

К 1980-м годам число активных вирусов измерялось уже сотнями. А появление и распространение персональных компьютеров породило настоящую эпидемию – счёт вирусов пошёл на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 году: впервые его использовал в своём докладе на конференции по информационной безопасности сотрудник Лехайского Университета США Ф. Коэн.

Первые «персоналочные» вирусы были существами простыми и неприхотливыми – особо от пользователей не скрывались, «скрашивали» своё разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными «шутками»: «Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!». Выявить такие вирусы было нетрудно: они «приклеивались» к исполняемым (*.com или *.exe) файлам, изменяя их оригинальные размеры, - чем и пользовались первые антивирусы, успешно выявлявшие нахалов.

Позднее вирусы стали хитрее – они научились маскироваться, запрятывая свой программный код в таких потаённых уголках, до которых, как им казалось, ни один антивирус добраться не мог. Поначалу – действительно, не добирались. Потому и назывались такие вирусы «невидимками» (stealth).

Казалось, фантазия вирусописателей наконец-то истощилась. И когда против stealth-вирусов было наконец-то найдено «противоядие», компьютерный народ вздохнул с облегчением. А всё ещё только начиналось…

2.2.Классификация вирусов

2.2.1. Вирусы-программы (W 32)

Со временем вирусы, прятавшие свой код в теле других программ, сдали свои позиции. Во многом это произошло из-за того, что размеры самих вирусов стали больше – а спрятать код размером в сотни килобайт не так-то просто. Да и сами программы и операционные системы резко поумнели, научившись проверять целостность собственных файлов.

В итоге произошло то, что и должно было случиться – «исполняемые» вирусы перестали маскироваться, представ перед публикой в «чистом» виде. Вирус превратился в абсолютно отдельную, независимую программу, не нуждающуюся в «хозяине-переносчике». Однако сразу же перед вирусописателями встал другой вопрос – а как заставить пользователей скачать и запустить у себя на машине этот самый вирус?

«Программные» вирусы, написанные для операционной системы Windows, решили эту проблему, маскируясь под разные «полезные» утилиты – например, под «ломалки» для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный приём распространителей заразы – наряжать свои детища в «одежду» обновлений для операционной системы или даже… антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложений в электронные письма якобы от Microsoft или «Лаборатории Касперского» - а ведь это самый верный путь поселить на свой компьютер вирус!

Большинство вирусов люди запускают на своём компьютере самостоятельно! – увы, несмотря на все усилия борцов с вирусами, некие стереотипы человеческой психологии оказываются непреодолимыми…

В 1995-1999 гг. на просторах Интернета весело развивалась добрая сотня «Windows-совместимых» вирусов. Эти милые зверушки, понятно, развились не просто так… Только за период лета 1998 – лета 1999 г. Мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности вируса Win 95. CIH , поражающего BIOS системной платы, из строя были выведены около миллиона компьютеров во всех странах мира.

А совсем недавно, в середине 2003г., Сеть оказалась поражена новым «червем» SoBig , распространявшимся в виде вложения в электронные письма. Несмотря на то, что о вредоносных «вложениях» уже давно трубила вся пресса, люди запускали файл-вирус без малейших опасений. И вот результат: по данным аналитиков, в начале 2003 г. каждое 17-е письмо содержало в себе начинку в виде SoBig !

Впрочем, некоторые вирусы способны атаковать ваш компьютер даже в том случае, если его «тело» физически находится в другом месте. Например, один из самых «модных» вирусов 2003 г. – Blaster – был способен атаковать все компьютеры в локальной сети с одной-единственной машины! Сканируя локальную сеть, программа обнаруживала бреши в защите каждого компьютера, и самостоятельно пропихивала в эту «дырочку» вредоносный код.

Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно – главным условием вашей безопасности является обязательная и регулярная загрузка обновлений к Windows. А именно – файлов-«заплаток», предназначенных для закрытия уже обнаруженных «дыр» в системе защите операционной системы.

Для получения новых «заплаток» вам необходимо навестить центр обновления Windows – сайт Windows Update (http :// windowsupdate . microsoft . com ). При этом совершенно не обязательно набирать этот адрес в строке браузера вручную – достаточно зайти в меню Сервис программы Internet Explorer и выбрать пункт Windows Update.

На открывшейся страничке вы увидите полный список обновлений, доступных для загрузки. Учтите – все обновления из раздела «Критические обновления» необходимо устанавливать в обязательном порядке!

Посещайте сайт Windows Update не реже раза в месяц, регулярно обновляйте базы данных вашего антивирусного пакета – и можете считать, что от львиной доли неприятностей вы застрахованы…

2.2.2 .Загрузочные вирусы

Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске отдать управление не оригинальному коду загрузчика, а коду вируса. Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Отдел образования администрации Орджоникидзевского района

Компьютерные вирусы

Реферат по информатике

Исполнитель:

Новиков Александр

9 “В” класс

Руководитель:

Назимова Елена Анатольевна

учитель информатики

Екатеринбург 1999 г.

Что такое компьютерный вирус?

Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в «полной изоляции». Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить

передачу себе управления.

Основные типы компьютерных вирусов

Существует совершенно формальная система, позволяющая классифицировать компьютерные вирусы и называть их таким образом, чтобы избежать ситуации, когда один и тот же вирус имеет неузнаваемо разные имена в классификации разных разработчиков антивирусных программ. Несмотря на это, всё ещё нельзя сказать о полной унификации имён и характеристик вирусов. В значительной степени это определяется тем, что к моменту, когда были сформулированы некоторые «правила игры», уже существовали антивирусные средства, работающие в собственной системе обозначений. Всеобщая унификация потребовала бы приложить значительные усилия и модифицировать программы и документацию. В ряде случаев это было сделано. Мы станем исходить из того, что обычному пользователю нет необходимости вникать во все тонкости функционирования вируса: объекты атаки, способы заражения, особенности проявления и пр. Но желательно знать, какими бывают вирусы, понимать общую схему их работы.

Среди всего разнообразия вирусов можно выделить следующие основные группы:

– загрузочные вирусы ; так называют вирусы, заражающие загрузочные секторы дискет и винчестеров;

– файловые вирусы; в простейшем случае такие вирусы заражают исполняемые файлы; если с загрузочными вирусами всё более или менее ясно, то файловые вирусы – это гораздо менее определённое понятие; достаточно, к примеру, сказать, что файловый вирус может вообще не модифицировать файл (вирусы-спутники и вирусы семейства Dir-II);

– загрузочно-файловые вирусы; такие вирусы обладают способностью заражать как код загрузочных секторов, так и код файлов. Таких вирусов не очень много, но среди них встречаются чрезвычайно злобные экземпляры (например, известный вирус OneHalf).

Вирусы, написанные на т.н. макроязыках , формально являются файловыми, но заражают не исполняемые файлы, а файлы данных , правда, устроенные так, что их можно заражать, – это уже на совести издателей программного обеспечения.

Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить надлежащим образом, любой файл на имеющихся на компьютере дисках. Но некоторые виды файлов вирус может заразить. Это означает, что вирус может «внедриться» в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

Вирусом могут быть заражены следующие виды файлов:

1. Исполнимые файлы, т.е. файлы с расширениями имени.COM и.EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно – они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнёт свою работу.

2. Загрузчик операционной системы и главная загрузочная

запись жесткого диска. Эти области поражают загрузочный вирус.

Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись и главная загрузочная запись имеют небольшой размер ив них трудно разместить целиком всю программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затёрта при записи данных на диск).

3. Драйверы устройств, т.е. файлы, указываемые в приложении Device файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS – их заражение также теоретически возможно, но для распространения малоэффективно.

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только.COM-файлы, некоторые – только.EXE-файлы, а большинство – и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.

Вирусы, меняющие файловую систему

В последнее время получили распространение вирусы нового типа – вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются Dir. Такие вирусы прячут своё тело в некоторый участок диска (обычно – в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех.COM- и.EXE-файлов содержащиеся в соответствующих элементах каталога указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остаётся в памяти резидентно, подключается к программам DOS для обработки файлов на диске и

при всех обращениях к элементам каталога выдаёт правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностной просмотре зараженного диска на «чистом» компьютере ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы в них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на «чистом» компьютере с помощью программ ChkDsk или NDD файловая система зараженного Dir-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдаёт кучу сообщений о пересечениях файлов («…cross linked on cluster...») и о цепочках потерянных кластеров («… lost clusters found in … chains»). Не следует исправлять эти ошибки программами ChkDsk или NDD – при этом диск окажется безнадёжно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы (например, последние версии Aidstest).

«Невидимые» и

самомодифицирующиеся вирусы

Чтобы предотвратить своё обнаружение, некоторые вирусы применяют довольно хитрые приёмы маскировки. Речь пойдёт о двух из них: «невидимых» и самомодифицирующихся вирусах.

«Невидимые» вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают своё обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Заметим, некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Так, программа ADinf фирмы «Диалог-Наука» для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP фирмы «Диалог-МГУ» – «отключает» на время

проверки вирус (последний метод работает не всегда).

Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.

Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, – модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот приём и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Однако программы-детекторы всё же научились ловить «простые» самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления «незначащих» команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передаётся одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознавания таких вирусов довольно сложна, и полностью надёжного решения пока не получила. Впрочем, в некоторых антивирусных программах имеются средства для нахождения подобных вирусов, а в программе Dr. Web – также и эвристические методы обнаружения «подозрительных» участков программного кода, типичные для самомодифицирующихся вирусов.

Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

– общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

– профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

• специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств:

копирование информации – создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, всё же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры (программы контроля изменений в файлах и системных областях дисков), доктора-ревизоры, фильтры (резидентные программы для защиты от вирусов) и вакцины (иммунизаторы). Приведём краткие определения этих понятий, а затем рассмотрим их подробно.

Программы-детекторы позволяют обнаружить файлы, зараженные одним из нескольких известных вирусов.

Программы-доктора , или фаги , «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.

Доктора-ревизоры – это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю.

Программы-вакцины, или иммунизаторы , модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Программы-детекторы и доктора

В большинстве случаев для обнаружения вируса, заразившего Ваш компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При её обнаружении в каком-либо файле на экран выводится соответствущее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы «Диалог-МГУ», могут настраиваться на новые типы вирусов, им необходимо указать лишь комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознаётся детекторами как зараженная, не следует, что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных

несоответствиях сообщается пользователю.

Многие пользователи включают команду запуска программы- ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он ещё не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти повреждённые вирусом файлы.

Программы-фильтры

Одной из причин, из-за которых стало возможным такое явление, как компьютерный вирус, является отсутствие в операционной системе MS DOS эффективных средств для защиты информации от несанкционированного доступа. Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и безнаказанно изменять программы, портить таблицы размещения файлов и т.д.

В связи с этим различными фирмами и программистами разработаны программы-фильтры, или резидентные программы для защиты от вируса, которые в определённой степени восполняют указанный недостаток DOS. Эти программы располагаются резидентно в оперативной памяти компьютера и «перехватывают» те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. Такими «подозрительными» действиями являются, в частности, изменение.COM и.EXE-файлов, снятие с файла атрибута «только для чтения», прямая запись на диск (запись по абсолютному адресу), форматирование диска установка «резидентной» (постоянно находящейся в оперативной памяти) программы.

При каждом запросе не «подозрительное» действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Можно либо разрешить выполнение этого действия, либо запретить его (рис. 1).

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это, понятно, вызывает замедление работы компьютера.

Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, поскольку многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Кроме того, программы-фильтры не помогают от заражения винчестера вирусами, которые распространяются через загрузочный сектор, поскольку такое заражение происходит при загрузке DOS, т.е. до запуска любых программ или установки драйверов.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Что могут и чего не могут

компьютерные вирусы

Из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати часто создаётся своеобразный комплекс боязни вирусов, т.н. «вирусофобия». Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, не форматируется дискета, это для «вирусофоба» не возможный дефект дискеты или дисковода, а действие вируса. Если на жёстком диске появляется сбойный блок, то в этом тоже, разумеется, виноват вирус. На самом же деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования.

2. Преувеличенные представления о возможностях вирусов. Некоторые думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединённых

в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведёт к заражению остальных.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.

Для того чтобы компьютер заразился вирусом, необходимо, чтобы на нём хотя бы один раз была выполнена программа, содержащая вирус. Поэтому первичное заражение компьютера вирусом может произойти в одном из следующих случаев:

– на компьютере была выполнена зараженная программа типа.COM или.EXE или зараженный модуль оверлейной программы ­ ;

– компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

• на компьютере была установлена зараженная операционная система или зараженный драйвер устройства;

Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:

• на компьютер переписываются тексты программ, документов, информационные файлы баз данных или табличных процессоров и т.д. Эти файлы не являются программами, а поэтому они не могут быть заражены вирусом;
• на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер «здоров», то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации – это копирование зараженного файла: при этом его копия, разумеется, тоже будет «заражена», но ни компьютер, ни какие-то другие файлы заражены не будут;
• с помощью имеющихся на жестком диске незараженного компьютера текстовых процессоров, табличных процессоров, систем управления базами данных и других программ обрабатываются информационные файлы, содержащиеся на дискетах.

Действия при заражении вирусом

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила.

1. Прежде всего не надо торопиться и принимать опрометчивых решений – непродуманные действия могут привести не только к потере части файлов которые можно было бы и восстановить, но и к повторному заражению компьютера.

2. Одно действие должно быть выполнено немедленно – надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при загрузке компьютера с защищённой от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, т.к. оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Если используется резидентная программа-фильтр для защиты от вируса, то наличие вируса в какой-либо программе можно обнаружить на самом раннем этапе, когда вирус не успел ещё заразить другие программы и испортить какие-либо файлы. В этом случае следует перезагрузить DOS с дискеты и удалить зараженную программу, а затем переписать эту программу с эталонной дискеты или восстановить её из архива. Для того чтобы выяснить, не испортил ли вирус каких-то других файлов, следует запустить программу-ревизор для проверки изменений в файлах, желательно с широким списком проверяемых файлов. Чтобы в процессе проверки не продолжать заражение компьютера, следует запускать исполнимый файл программы-ревизора, находящийся на дискете.

Лечение компьютера. В случае, когда вирус уже успел заразить или испортить какие-то файлы на дисках компьютера, необходимо выполнить следующие действия.

1. Перезагрузить операционную систему DOS с заранее подготовленной эталонной дискетой. Эта дискета, как и другие дискеты, используемые при ликвидации последствий заражения компьютерным вирусом, должна быть снабжена наклейкой для защиты от записи, чтобы вирус не смог заразить или испортить файлы на этих дискетах. Заметим, что перезагрузку не следует выполнять с помощью сочетания клавиш Ctrl+Alt+Del , т.к. некоторые вирусы ухитряются «переживать» такую перезагрузку.
2. Если для компьютера имеется программа для установки конфигурации (она вызывается при нажатии определенной комбинации клавиш во время начальной загрузки компьютера), то следует выполнить эту программу и проверить, правильно ли установлены параметры конфигурации компьютера, т.к. они могут быть испорчены вирусом. Если они установлены неправильно, то их надо переустановить.

1. Если имеются программы-детекторы для обнаружения того вируса, которым заражен компьютер, следует запустить эти программы для проверки дисков компьютера. Чтобы найти нужную программу, можно поочередно запускать имеющиеся программы-детекторы для проверки зараженного диска (при этом лучше не использовать те режимы программ-детекторов, в которых они лечат или удаляют без подтверждения зараженные файлы). Сначала имеет смысл запускать программы, обнаруживающие сразу несколько вирусов, например Scan или Aidstest. Если какая-либо из программ-детекторов сообщит о том, что она нашла вирус, то её надо использовать в процессе устранения последствий заражения компьютера вирусом, как это описано далее. Следует заметить, однако, что очень часто компьютеры заражаются сразу несколькими вирусами, поэтому, обнаружив один вирус, не следует успокаиваться, в компьютере может быть и второй, и третий вирус.
2. Далее следует последовательно обезвредить все диски, которые могли подвергнуться заражению вирусом, как это описано ниже. Заметим, что если жесткий диск в компьютере разделён на несколько логических дисков, то при загрузки с дискеты может быть доступен только один логический диск – тот, с которого загружается операционная система DOS. В этом случае следует сначала обезвредить логический диск, с которого загружается DOS, а затем загрузиться с жесткого диска и обезвредить другие логические диски.

Лечение диска. Если на диске для всех нужных файлов имеются копии в архиве, проще всего заново отформатировать диск, а затем восстановить все файлы на этом диске с помощью архивных копий. Предположим теперь, что на диске имеются нужные файлы, копий которых нет в архиве. Для определённости будем считать, что этот диск находится на дисководе (В:). Необходимо выполнить следующие действия.

1. Запустить для диска программу-детектор, обнаруживающую тот вирус, заражению которым подвергается компьютер (если не ясно, какой детектор обнаруживает вирус, следует запускать программы-детекторы по очереди, пока одна из них не обнаружит вирус). Режим лечения при этом лучше не устанавливать.

Если программа-детектор обнаружила загрузочный вирус, можно смело использовать её режим лечения для устранения вируса. При обнаружении вируса типа Dir его также надо удалить с помощью той или иной антивирусной программы, не коем случае не используя для этого программы типа NDD и ChkDsk.

1. Теперь, когда известно, что вирусов типа Dir на диске нет, можно проверить целостность файловой системы и поверхности

диска с помощью программы NDD: NDD B: \C. Если повреждения файловой системы значительны, то целесообразно скопировать с диска все нужные файлы, копий которых нет в архиве, на дискеты и заново отформатировать диск. Если диск имеет сложную файловую структуру, то можно попробовать откорректировать её с помощью программы DiskEdit из комплекта Norton Utilites.

1. Если сведения о файлах на диске для программы-ревизора сохранились, то полезно запустить программу-ревизор для диагностики изменений в файлах. Это позволит установить, какие файлы были заражены или испорчены вирусом. Если программа-ревизор выполняет также и функцию доктора, можно доверить ей и восстановление испорченных файлов.
2. Удалить с диска все ненужные файлы, а также файлы, копии которых имеются в архиве. Те файлы, которые не были изменены вирусом (это можно установить с помощью программы-ревизора), удалять не обязательно.

Ни в коем случае нельзя оставлять на диске.COM- и.EXE-файлы, для которых программа-ревизор сообщает, что они были изменены. Те.COM- и.EXE-файлы, о которых неизвестно, изменены они вирусом или нет, следует оставлять на диске только при самой крайней необходимости.

1. Если диск, который вы обрабатываете, является системным (т.е. с него можно загрузить операционную систему DOS), то на него следует заново записать загрузочный сектор и файлы операционной системы. Это можно сделать командой SYS.
2. Если компьютер заразился файловым вирусом и вы не производили лечения с помощью ревизора-доктора, следует выполнить программу-доктор для лечения данного диска. Зараженные файлы, которые программа-доктор не смогла восстановить, следует уничтожить. Разумеется, если на диске остались только те файлы, которые не могут заражаться вирусом (например, исходные тексты программ и документы), то программу для уничтожения вируса для данного диска выполнять не надо.
3. С помощью архивных копий следует восстановить файлы, размещавшиеся на диске.
4. Если вы не уверены в том, что в архиве не было зараженных файлов, и у имеется программа для обнаружения или уничтожения той версии вируса, которой был заражен компьютер, то следует ещё раз выполнить эту программу для диска. Если на диске будут обнаружены зараженные файлы, то те из них, которые можно восстановить с помощью программы для уничтожения вируса, надо скопировать в архив, а остальные – удалить с диска и из архива.

Такой обработке следует подвергнуть все диски, которые могли

быть заражены или испорчены вирусом.

Если имеется хорошая антивирусная программа-фильтр, целесообразно после заражения компьютера вирусом хотя бы некоторое время работать только запустив эту программу.

Профилактика против

заражения вирусом

Меры по защите от вирусов можно разбить на несколько групп.

Копирование информации и разграничение доступа:

1. Необходимо иметь архивные или эталонные копии используемых пакетов программ и данных и периодически архивировать те файлы, которые вы создавали или изменяли. Перед архивацией файлов целесообразно проверить их на отсутствие вирусов с помощью программы-детектора (например, AidsTest и Dr.Web). Важно, чтобы информация копировалась не слишком редко – тогда потери информации при её случайном уничтожении будут не так велики.
2. Целесообразно также скопировать на дискеты сектор с таблицей разделения жесткого диска, разгрузочные сектора всех логических дисков и содержимое CMOS (энергонезависимой памяти компьютера). Копирование и восстановление этих данных можно сделать с помощью программы Rescue из комплекса Norton Utilities 8.0 (в предыдущих версиях Norton Utilities копирование этих областей на дискету осуществлялось с помощью пункта «Create rescue diskette» программы DiskTool, а их восстановление – с помощью пункта «Restore rescue diskette» той же программы).
3. Следует устанавливать защиту от записи на дискетах с файлами, которые не надо изменять. На жестком диске целесообразно создать логический диск, защищенный от записи, и разместить на нём программы и данные, которые не надо изменять.
4. Не следует переписывать программное обеспечение с других компьютеров (особенно тех, к которым могут иметь доступ различные безответственные лица), т.к. оно может быть заражено вирусом. Однако следует заметить, что распространяемые производителями «фирменные» дискеты с программами, как правило, не содержат вирусов.

Проверка поступающих извне данных:

1. Все принесенные извне дискеты перед использованием следует проверить на наличие вируса с помощью программ- детекторов. Это полезно делать даже в тех случаях, когда нужно использовать на этих дискетах только файлы с данными – чем

раньше будет обнаружен вирус, тем лучше. Для проверки можно использовать программу AidsTest. Например, для проверки дискеты А: следует ввести команду: AIDSTEST A: /S /G . Здесь режим /S задаёт медленную работу для поиска испорченных вирусов, а режим /G – проверку всех файлов на диске.

1. Если принесённые программы записаны на дискеты в сархивированном виде, следует извлечь файлы из архива и проверить их сразу после этого. Например, если файлы извлечены в каталог C:\TEMP, то надо ввести команду AIDSTEST C:\TEMP\*.* /S /G.
2. Если программы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого проверить записанные на диск файлы, как это описано выше. Желательно выполнять установку при включенной резидентной программе-фильтре для защиты от вирусов.

Защита от загрузочных вирусов:

1. На компьютерах, которых содержатся в BIOS программа установки конфигурации позволяет отключить загрузку с дискеты, желательно это сделать, тогда никакие загрузочные вирусы не страшны.
2. Если требуется загрузить компьютер с дискеты, то нужно пользоваться только защищенной от записи «эталонной» дискетой с операционной системой.

Заразная «Мелиса»

Недавно в газете «Труд» опубликована заметка о новом компьютерном супервирусе под названием «Мелиса» – по имени девушки из стрип-бара (Флорида,США). Девид Смит, обвиняемый в написании и засылке в компьютерную сеть вируса нового поколения, пошел современным революционным путём. Он вписал свой вирус в программу электронной почты и, учитывая крайнюю популярность секс-сайтов Интернета, тем самым предугадал его взрывное распрастранение. Его послания с вирусом (с примечанием, что это почта от друзей) приняли первые посетители дискуссионной группы Alt.sex,и сразу же каждый из получателей немедленно привёл в действие программу, которая разослала 50 копий письма их собственным друзьям, используя адресную книгу в их комутационной программе. В тексте письма – список секс-сайтов и перечень паролей к ним. В считанные часы цепная реакция охватила компьютерные сети на всех пяти континентах планеты. «Мелиса» не была столь уж убийственной, она лишь слегка изменяла программу –

редактор, прячась в ней. Смит показал, как легко могут распространятся в компьютерах программы на много опаснее «Мелисы».

Компании, специализирующиеся на выпуске антивирусных программ уже объявили о необходимости создания принципиально новой защиты. Программы будущего, по их словам, будут способны вырабатывать у компьютеров некий иммунитет, как известным, так и новым «инфекциям», различать неизвестные вирусы и уничтожать их ещё до того, как они доберутся до дисков компьютерной памяти.

ИСПОЛЬЗУЕМАЯ ЛИТЕРАТУРА

1. Информатика. Компьютерные вирусы. Приложение к газете «Первое сентября» № 37, 1997 г.
2. В.Э.Фигурнов. IBM PC для пользователя. 1996 г.
3. Газета «Труд», статья. За апрель, 1999 г.

КОМПЬЮТЕРНЫЕ ВИРУСЫ

Реферат по информатике

ученика 9”в” класса

средней школы № 67

Новикова Александра

г. Екатеринбург

Урок информатики в 8-10 классах на тему «Компьютерные вирусы и антивирусные программы». На уроке можно предложить учащимся изучить материал по теме, рассмотрев предложенную презентацию.Изучив тему компьютерные вирусы и антивирусные программы, учащиеся смогут применить знания в будущем для различного рода.

Тема урока: Компьютерные вирусы и антивирусные программы
Учитель: Щёголева А.П.
Цель урока: помочь учащимся усвоить понятие компьютерные вирусы и антивирусные программы
— Дидактическая: изучить основные компьютерных вирусов, их среда обитания, способы заражения ПК, а также антивирусные программы.
— Воспитательная: формирование системного мышления, восприятия компьютера как инструмента информационной деятельности человека.
— Развивающая: развитие познавательного интереса, творческой активности учащихся, умений организовывать свое рабочее место, логически мыслить и анализировать, самоконтроля, умения конспектировать.
Тип урока: изучение нового материала
Формы работы учащихся: урок дискуссия
Необходимое техническое оборудование: проектор, экран, персональные компьютеры на рабочих местах учащихся.
Базовый учебник: «Информатика и ИКТ» Угринович Н.Д.
План урока:
Орг.момент
Фронтальный опрос
Объяснение материала
Онлайн тест
Итог урока
Д/з
Ход урока:
Орг. Момент. Проверка присутствующих.
Фронтальный опрос:
— Как вы думаете, что может помешать правильной работе ПК?
— Что может угрожать ПК, если в него загрузить вредоносную программу?
— Откуда могут проникнуть в ПК вредоносные программы?
Что же общего между биологическим и компьютерным вирусами? Ответ:
1. Способность к размножению.
2. Вред для здоровья человека и нежелательные действия для компьютера.
3. Скрытность, т.к. вирусы имеют инкубационный период.

Разгадайте ребусы: (слайды 2 — 4)

Объяснение материала:

Компьютерный вирус - специально созданная компьютерная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии, внедрять их в файлы с целью нарушения работы других программ, порчи файлов и каталогов.

История возникновения вирусов:

В 1949 году Нейман написан статью под названием «Теория и организации сложных автоматов». В этой статье он рассматривал возможность создания программы, которая могла бы размножаться. А в 1970 году вышел роман «На гребне ударной волны» писателя-фантаста Тома Браннера. Он описывал боевых роботов, которые были заражены вредительскими программами.

Признаки проявления вирусов:

Неправильная работа программ;

Медленная работа компьютера;

Невозможность загрузки операционной системы;

Исчезновение файлов и каталогов;

Изменение размеров файлов;

Неожиданное увеличение количества файлов на диске;

Уменьшение размеров свободной операционной памяти;

Вывод на экран неожиданных сообщений и изображений;

Подача непредусмотренных звуковых сигналов;

— частые «зависания» и сбои в работе компьютера.

Вирусы могут распространяться через:

— исполняемые программы;

— документы Word, Excel;

— web-страницы;

— файлы из Интернета;

— письма e-mail;

— дискеты и компакт-диски.

Периоды «развития» вируса:

1) инкубационный, подготовительный;

2) этап активных действий.

Классификация вирусов

По масштабу вредных воздействий:

Безвредные	Уменьшают свободную память на диске за счет своего «размножения»
Неопасные	Уменьшают свободную память на диске. Вызывают появление графических, звуковых и др. внешних эффектов
Опасные	Могут привести к сбоям и зависаниям при работе компьютера
Очень опасные	Потеря программ и данных (изменение, удаление файлов и каталогов), форматирование винчестера и т.п.

По среде обитания:

Файловые	Внедряются в исполняемые файлы (программы) и активизируются при их запуске. Находятся в ОП до выключения компьютера
Загрузочные	Записывают себя в загрузочный сектор диска (в программу - загрузчик ОС). При загрузке ОС с заражен­ного диска внедряется в ОП и ведет себя как файловый вирус
Макровирусы	Являются макрокомандами, которые заражают файлы документов Word, Excel. Находятся в ОП (оперативной памяти) до закрытия приложения
Драйверные	Заражают драйверы устройств компьютера или за­пускают себя путем включения в файл конфигурации дополнительной строки
Сетевые	Заражают компьютер после открытия вложенного файла (вируса) в почтовое сообщение. Похищают пароли пользователей. Рассылают себя по электронным адресам

Вирус не может содержаться в ASCII-текстах, графических или звуковых файлах, так как он является программой и требует исполнение своего кода.

К самым опасным вирусам относятся «троянские», т.к. они, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

«Вирусы-невидимки», или «стелс-вирусы», перехватывают обра­щения операционной системы к пораженным файлам и подстав­ляют вместо своего тела незараженные участки.

«Вирусы-черви» распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Вирусы «резидентные» записывают в оперативную память свою часть. Они активны до выключения или перезагрузки ком­пьютера.

Вирусы «нерезидентные» не заражают память компьютера, ак­тивны ограниченное время.

Профилактика компьютерных вирусов:

Иметь специальный загрузочный диск;

Систематически проверять компьютер на наличие вирусов;

Иметь последние версии антивирусных средств;

Проверять все поступающие данные на наличие вирусов;

Не использовать нелицензионные программные средства;

Выбирать запрет на загрузку макросов при открытии доку­ментов Word и Excel;

Выбрать высокий уровень безопасности в «Свойствах обо­зревателя»;

Делать архивные копии файлов;

Добавить в файл автозагрузки антивирусную программу — сторож;

Не открывать вложения электронного письма, если отпра­витель неизвестен.

Антивирусные программы:

Наименование	Описание	Плюсы	Минусы
Полифаги	В файлах, загрузочных секторах дисков и ОП поиск известных масок вирусов (постоянной последователь­ности программного кода, специфичного для этого ви­руса) и поиск «подозритель­ной» последовательности команд. Могут проверять файлы в процессе их загруз­ки в ОП (мониторы)	Универсаль­ность	Большие раз­меры исполь­зуемых баз данных, невы­сокая скорость работы
Ревизоры	Подсчет контрольных сумм для присутствующих на диске файлов и сохранения их, дли­ны файлов, даты последней модификации в базе данных антивируса. При запуске сверяются данные ревизора с реальными значениями	Оператив­ность	Не может определить вирус в новых файлах (при разархивировании, почтовых)
Блокировщики	Программы, перехватываю­щие вирусоопасные ситуации и сообщающие об этом поль­зователю (например, запись в загрузочный сектор диска). Специальные настройки BIOS, которые запрещают любую запись в загрузочный сектор диска	Остановка вируса на ранней стадии	Нет универ­сальности

Итог урока:

Всё ли вам было понятно?
Приведите примеры антивирусных программ

Домашнее задание: составить презентацию на тему «Антивирусные программы».

Исполнитель:

Новиков Александр

9 “В” класс

Руководитель:

Назимова Елена Анатольевна

учитель информатики

Екатеринбург 1999 г.

Что такое компьютерный вирус?

Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в «полной изоляции». Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить

передачу себе управления.

Основные типы компьютерных вирусов

Существует совершенно формальная система, позволяющая классифицировать компьютерные вирусы и называть их таким образом, чтобы избежать ситуации, когда один и тот же вирус имеет неузнаваемо разные имена в классификации разных разработчиков антивирусных программ. Несмотря на это, всё ещё нельзя сказать о полной унификации имён и характеристик вирусов. В значительной степени это определяется тем, что к моменту, когда были сформулированы некоторые «правила игры», уже существовали антивирусные средства, работающие в собственной системе обозначений. Всеобщая унификация потребовала бы приложить значительные усилия и модифицировать программы и документацию. В ряде случаев это было сделано. Мы станем исходить из того, что обычному пользователю нет необходимости вникать во все тонкости функционирования вируса: объекты атаки, способы заражения, особенности проявления и пр. Но желательно знать, какими бывают вирусы, понимать общую схему их работы.

Средивсего разнообразия вирусов можно выделить следующие основные группы:

– загрузочные вирусы ; так называют вирусы, заражающие загрузочные секторы дискет и винчестеров;

– файловые вирусы; в простейшем случае такие вирусы заражают исполняемые файлы; если с загрузочными вирусами всё более или менее ясно, то файловые вирусы – это гораздо менее определённое понятие; достаточно, к примеру, сказать, что файловый вирус может вообще не модифицировать файл (вирусы-спутники и вирусы семейства Dir-II);

– загрузочно-файловые вирусы; такие вирусы обладают способностью заражать как код загрузочных секторов, так и код файлов. Таких вирусов не очень много, но среди них встречаются чрезвычайно злобные экземпляры (например, известный вирус OneHalf).

Вирусы, написанные на т.н. макроязыках , формально являются файловыми, но заражают не исполняемые файлы, а файлы данных , правда, устроенные так, что их можно заражать, – это уже на совести издателей программного обеспечения.

Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить надлежащим образом, любой файл на имеющихся на компьютере дисках. Но некоторые виды файлов вирус может заразить. Это означает, что вирус может «внедриться» в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

Вирусом могут быть заражены следующие виды файлов:

1. Исполнимые файлы, т.е. файлы с расширениями имени.COM и.EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно – они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнёт свою работу.

2. Загрузчик операционной системы и главная загрузочная

запись жесткого диска. Эти области поражают загрузочный вирус.

Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись и главная загрузочная запись имеют небольшой размер ив них трудно разместить целиком всю программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затёрта при записи данных на диск).

3. Драйверы устройств, т.е. файлы, указываемые в приложении Device файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS – их заражение также теоретически возможно, но для распространения малоэффективно.

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только.COM-файлы, некоторые – только.EXE-файлы, а большинство – и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.

Вирусы, меняющие файловую систему

В последнее время получили распространение вирусы нового типа – вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются Dir. Такие вирусы прячут своё тело в некоторый участок диска (обычно – в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех.COM- и.EXE-файлов содержащиеся в соответствующих элементах каталога указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остаётся в памяти резидентно, подключается к программам DOSдля обработки файлов на диске и

при всех обращениях к элементам каталога выдаёт правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностной просмотре зараженного диска на «чистом» компьютере ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы в них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на «чистом» компьютере с помощью программ ChkDskили NDDфайловая система зараженного Dir-вирусом диска кажется совершенно испорченной. Так, программа ChkDskвыдаёт кучу сообщений о пересечениях файлов («…crosslinkedoncluster...») и о цепочках потерянных кластеров («… lostclustersfoundin … chains»). Не следует исправлять эти ошибки программами ChkDskили NDD– при этом диск окажется безнадёжно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы (например, последние версии Aidstest).

«Невидимые» и

самомодифицирующиеся вирусы

Чтобы предотвратить своё обнаружение, некоторые вирусы применяют довольно хитрые приёмы маскировки. Речь пойдёт о двух из них: «невидимых» и самомодифицирующихся вирусах.

«Невидимые» вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают своё обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Заметим, некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Так, программа ADinf фирмы «Диалог-Наука» для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSPфирмы «Диалог-МГУ» – «отключает» на время

проверки вирус (последний метод работает не всегда).

Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.

Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, – модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот приём и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Однако программы-детекторы всё же научились ловить «простые» самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления «незначащих» команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передаётся одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознавания таких вирусов довольно сложна, и полностью надёжного решения пока не получила. Впрочем, в некоторых антивирусных программах имеются средства для нахождения подобных вирусов, а в программе Dr. Web– также и эвристические методы обнаружения «подозрительных» участков программного кода, типичные для самомодифицирующихся вирусов.

Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

– общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

– профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

– специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств:

копирование информации – создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, всё же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры (программы контроля изменений в файлах и системных областях дисков), доктора-ревизоры, фильтры (резидентные программы для защиты от вирусов) и вакцины (иммунизаторы). Приведём краткие определения этих понятий, а затем рассмотрим их подробно.

Программы-детекторы позволяют обнаружить файлы, зараженные одним из нескольких известных вирусов.

Программы-доктора , или фаги , «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.

Доктора-ревизоры – это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю.

Программы-вакцины, или иммунизаторы , модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Программы-детекторы и доктора

В большинстве случаев для обнаружения вируса, заразившего Ваш компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При её обнаружении в каком-либо файле на экран выводится соответствущее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Программа Scanфирмы McAfeeAssociates и AidstestД.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например NortonAntiVirusили AVSPфирмы «Диалог-МГУ», могут настраиваться на новые типы вирусов, им необходимо указать лишь комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознаётся детекторами как зараженная, не следует, что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных

несоответствиях сообщается пользователю.

Многие пользователи включают команду запуска программы- ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он ещё не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти повреждённые вирусом файлы.

Программы-фильтры

Одной из причин, из-за которых стало возможным такое явление, как компьютерный вирус, является отсутствие в операционной системе MSDOSэффективных средств для защиты информации от несанкционированного доступа. Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и безнаказанно изменять программы, портить таблицы размещения файлов и т.д.

В связи с этим различными фирмами и программистами разработаны программы-фильтры, или резидентные программы для защиты от вируса, которые в определённой степени восполняют указанный недостаток DOS. Эти программы располагаются резидентно в оперативной памяти компьютера и «перехватывают» те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. Такими «подозрительными» действиями являются, в частности, изменение.COMи.EXE-файлов, снятие с файла атрибута «только для чтения», прямая запись на диск (запись по абсолютному адресу), форматирование диска установка «резидентной» (постоянно находящейся в оперативной памяти) программы.

При каждом запросе не «подозрительное» действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнить. Можно либо разрешить выполнение этого действия, либо запретить его (рис. 1).

Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это, понятно, вызывает замедление работы компьютера.

Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, поскольку многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Кроме того, программы-фильтры не помогают от заражения винчестера вирусами, которые распространяются через загрузочный сектор, поскольку такое заражение происходит при загрузке DOS, т.е. до запуска любых программ или установки драйверов.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Что могут и чего не могут

компьютерные вирусы

Из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати часто создаётся своеобразный комплекс боязни вирусов, т.н. «вирусофобия». Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, не форматируется дискета, это для «вирусофоба» не возможный дефект дискеты или дисковода, а действие вируса. Если на жёстком диске появляется сбойный блок, то в этом тоже, разумеется, виноват вирус. На самом же деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования.

2. Преувеличенные представления о возможностях вирусов. Некоторые думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединённых

в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведёт к заражению остальных.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.

Для того чтобы компьютер заразился вирусом, необходимо, чтобы на нём хотя бы один раз была выполнена программа, содержащая вирус. Поэтому первичное заражение компьютера вирусом может произойти в одном из следующих случаев:

– на компьютере была выполнена зараженная программа типа.COMили.EXEили зараженный модуль оверлейной программы­;

– компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

– на компьютере была установлена зараженная операционная система или зараженный драйвер устройства;

Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:

– на компьютер переписываются тексты программ, документов, информационные файлы баз данных или табличных процессоров и т.д. Эти файлы не являются программами, а поэтому они не могут быть заражены вирусом;

– на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер «здоров», то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации – это копирование зараженного файла: при этом его копия, разумеется, тоже будет «заражена», но ни компьютер, ни какие-то другие файлы заражены не будут;

– с помощью имеющихся на жестком диске незараженного компьютера текстовых процессоров, табличных процессоров, систем управления базами данных и других программ обрабатываются информационные файлы, содержащиеся на дискетах.

Действия при заражении вирусом

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила.

1. Прежде всего не надо торопиться и принимать опрометчивых решений – непродуманные действия могут привести не только к потере части файлов которые можно было бы и восстановить, но и к повторному заражению компьютера.

2. Одно действие должно быть выполнено немедленно – надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при загрузке компьютера с защищённой от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке DOSили запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, т.к. оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Если используется резидентная программа-фильтр для защиты от вируса, то наличие вируса в какой-либо программе можно обнаружить на самом раннем этапе, когда вирус не успел ещё заразить другие программы и испортить какие-либо файлы. В этом случае следует перезагрузить DOSс дискеты и удалить зараженную программу, а затем переписать эту программу с эталонной дискеты или восстановить её из архива. Для того чтобы выяснить, не испортил ли вирус каких-то других файлов, следует запустить программу-ревизор для проверки изменений в файлах, желательно с широким списком проверяемых файлов. Чтобы в процессе проверки не продолжать заражение компьютера, следует запускать исполнимый файл программы-ревизора, находящийся на дискете.

Лечение компьютера. В случае, когда вирус уже успел заразить или испортить какие-то файлы на дисках компьютера, необходимо выполнить следующие действия.

1. Перезагрузить операционную систему DOSс заранее подготовленной эталонной дискетой. Эта дискета, как и другие дискеты, используемые при ликвидации последствий заражения компьютерным вирусом, должна быть снабжена наклейкой для защиты от записи, чтобы вирус не смог заразить или испортить файлы на этих дискетах. Заметим, что перезагрузку не следует выполнять с помощью сочетания клавиш Ctrl+ Alt+ Del , т.к. некоторые вирусы ухитряются «переживать» такую перезагрузку.

2. Если для компьютера имеется программа для установки конфигурации (она вызывается при нажатии определенной комбинации клавиш во время начальной загрузки компьютера), то следует выполнить эту программу и проверить, правильно ли установлены параметры конфигурации компьютера, т.к. они могут быть испорчены вирусом. Если они установлены неправильно, то их надо переустановить.

3. Если имеются программы-детекторы для обнаружения того вируса, которым заражен компьютер, следует запустить эти программы для проверки дисков компьютера. Чтобы найти нужную программу, можно поочередно запускать имеющиеся программы-детекторы для проверки зараженного диска (при этом лучше не использовать те режимы программ-детекторов, в которых они лечат или удаляют без подтверждения зараженные файлы). Сначала имеет смысл запускать программы, обнаруживающие сразу несколько вирусов, например Scanили Aidstest. Если какая-либо из программ-детекторов сообщит о том, что она нашла вирус, то её надо использовать в процессе устранения последствий заражения компьютера вирусом, как это описано далее. Следует заметить, однако, что очень часто компьютеры заражаются сразу несколькими вирусами, поэтому, обнаружив один вирус, не следует успокаиваться, в компьютере может быть и второй, и третий вирус.

4. Далее следует последовательно обезвредить все диски, которые могли подвергнуться заражению вирусом, как это описано ниже. Заметим, что если жесткий диск в компьютере разделён на несколько логических дисков, то при загрузки с дискеты может быть доступен только один логический диск – тот, с которого загружается операционная система DOS. В этом случае следует сначала обезвредить логический диск, с которого загружается DOS, а затем загрузиться с жесткого диска и обезвредить другие логические диски.

Лечение диска. Если на диске для всех нужных файлов имеются копии в архиве, проще всего заново отформатировать диск, а затем восстановить все файлы на этом диске с помощью архивных копий. Предположим теперь, что на диске имеются нужные файлы, копий которых нет в архиве. Для определённости будем считать, что этот диск находится на дисководе (В:). Необходимо выполнить следующие действия.

1. Запустить для диска программу-детектор, обнаруживающую тот вирус, заражению которым подвергается компьютер (если не ясно, какой детектор обнаруживает вирус, следует запускать программы-детекторы по очереди, пока одна из них не обнаружит вирус). Режим лечения при этом лучше не устанавливать.

Если программа-детектор обнаружила загрузочный вирус, можно смело использовать её режим лечения для устранения вируса. При обнаружении вируса типа Dirего также надо удалить с помощью той или иной антивирусной программы, не коем случае не используя для этого программы типа NDDи ChkDsk.

2. Теперь, когда известно, что вирусов типа Dirна диске нет, можно проверить целостность файловой системы и поверхности

диска с помощью программы NDD: NDDB: \C. Если повреждения файловой системы значительны, то целесообразно скопировать с диска все нужные файлы, копий которых нет в архиве, на дискеты и заново отформатировать диск. Если диск имеет сложную файловую структуру, то можно попробовать откорректировать её с помощью программы DiskEditиз комплекта NortonUtilites.

3. Если сведения о файлах на диске для программы-ревизора сохранились, то полезно запустить программу-ревизор для диагностики изменений в файлах. Это позволит установить, какие файлы были заражены или испорчены вирусом. Если программа-ревизор выполняет также и функцию доктора, можно доверить ей и восстановление испорченных файлов.

4. Удалить с диска все ненужные файлы, а также файлы, копии которых имеются в архиве. Те файлы, которые не были изменены вирусом (это можно установить с помощью программы-ревизора), удалять не обязательно.

Ни в коем случае нельзя оставлять на диске.COM- и.EXE-файлы, для которых программа-ревизор сообщает, что они были изменены. Те.COM- и.EXE-файлы, о которых неизвестно, изменены они вирусом или нет, следует оставлять на диске только при самой крайней необходимости.

5. Если диск, который вы обрабатываете, является системным (т.е. с него можно загрузить операционную систему DOS), то на него следует заново записать загрузочный сектор и файлы операционной системы. Это можно сделать командой SYS.

6. Если компьютер заразился файловым вирусом и вы не производили лечения с помощью ревизора-доктора, следует выполнить программу-доктор для лечения данного диска. Зараженные файлы, которые программа-доктор не смогла восстановить, следует уничтожить. Разумеется, если на диске остались только те файлы, которые не могут заражаться вирусом (например, исходные тексты программ и документы), то программу для уничтожения вируса для данного диска выполнять не надо.

7. С помощью архивных копий следует восстановить файлы, размещавшиеся на диске.

8. Если вы не уверены в том, что в архиве не было зараженных файлов, и у имеется программа для обнаружения или уничтожения той версии вируса, которой был заражен компьютер, то следует ещё раз выполнить эту программу для диска. Если на диске будут обнаружены зараженные файлы, то те из них, которые можно восстановить с помощью программы для уничтожения вируса, надо скопировать в архив, а остальные – удалить с диска и из архива.

Такой обработке следует подвергнуть все диски, которые могли

быть заражены или испорчены вирусом.

Если имеется хорошая антивирусная программа-фильтр, целесообразно после заражения компьютера вирусом хотя бы некоторое время работать только запустив эту программу.

Профилактика против

заражения вирусом

Меры по защите от вирусов можно разбить на несколько групп.

Копирование информации и разграничение доступа:

1. Необходимо иметь архивные или эталонные копии используемых пакетов программ и данных и периодически архивировать те файлы, которые вы создавали или изменяли. Перед архивацией файлов целесообразно проверить их на отсутствие вирусов с помощью программы-детектора (например, AidsTestи Dr.Web). Важно, чтобы информация копировалась не слишком редко – тогда потери информации при её случайном уничтожении будут не так велики.

2. Целесообразно также скопировать на дискеты сектор с таблицей разделения жесткого диска, разгрузочные сектора всех логических дисков и содержимое CMOS (энергонезависимой памяти компьютера). Копирование и восстановление этих данных можно сделать с помощью программы Rescueиз комплекса NortonUtilities8.0 (в предыдущих версиях NortonUtilities копирование этих областей на дискету осуществлялось с помощью пункта «Createrescuediskette» программы DiskTool, а их восстановление – с помощью пункта «Restorerescuediskette» той же программы).

3. Следует устанавливать защиту от записи на дискетах с файлами, которые не надо изменять. На жестком диске целесообразно создать логический диск, защищенный от записи, и разместить на нём программы и данные, которые не надо изменять.

4. Не следует переписывать программное обеспечение с других компьютеров (особенно тех, к которым могут иметь доступ различные безответственные лица), т.к. оно может быть заражено вирусом. Однако следует заметить, что распространяемые производителями «фирменные» дискеты с программами, как правило, не содержат вирусов.

Проверка поступающих извне данных:

1. Все принесенные извне дискеты перед использованием следует проверить на наличие вируса с помощью программ- детекторов. Это полезно делать даже в тех случаях, когда нужно использовать на этих дискетах только файлы с данными – чем

раньше будет обнаружен вирус, тем лучше. Для проверки можно использовать программу AidsTest. Например, для проверки дискеты А: следует ввести команду: AIDSTESTA: /S /G. Здесь режим /Sзадаёт медленную работу для поиска испорченных вирусов, а режим /G– проверку всех файлов на диске.

2. Если принесённые программы записаны на дискеты в сархивированном виде, следует извлечь файлы из архива и проверить их сразу после этого. Например, если файлы извлечены в каталог C:\TEMP, то надо ввести команду AIDSTESTC:\TEMP\*.* /S /G.

3. Если программы из архивов можно извлечь только программой установки пакета программ, то надо выполнить установку этого пакета и сразу после этого проверить записанные на диск файлы, как это описано выше. Желательно выполнять установку при включенной резидентной программе-фильтре для защиты от вирусов.

Защита от загрузочных вирусов:

1. На компьютерах, которых содержатся в BIOSпрограмма установки конфигурации позволяет отключить загрузку с дискеты, желательно это сделать, тогда никакие загрузочные вирусы не страшны.

2. Если требуется загрузить компьютер с дискеты, то нужно пользоваться только защищенной от записи «эталонной» дискетой с операционной системой.

Заразная «Мелиса»

Недавно в газете «Труд» опубликована заметка о новом компьютерном супервирусе под названием «Мелиса» – по имени девушки из стрип-бара (Флорида,США). Девид Смит, обвиняемый в написании и засылке в компьютерную сеть вируса нового поколения, пошел современным революционным путём. Он вписал свой вирус в программу электронной почты и, учитывая крайнюю популярность секс-сайтов Интернета, тем самым предугадал его взрывное распрастранение. Его послания с вирусом (с примечанием, что это почта от друзей) приняли первые посетители дискуссионной группы Alt.sex,и сразу же каждый из получателей немедленно привёл в действие программу, которая разослала 50 копий письма их собственным друзьям, используя адресную книгу в их комутационной программе. В тексте письма –список секс-сайтов и перечень паролей к ним. В считанные часы цепная реакция охватила компьютерные сети на всех пяти континентах планеты. «Мелиса» не была столь уж убийственной, она лишь слегка изменяла программу–

редактор, прячась в ней. Смит показал, как легко могут распространятся в компьютерах программы на много опаснее «Мелисы».

Компании, специализирующиеся на выпуске антивирусных программ уже объявили о необходимости создания принципиально новой защиты. Программы будущего, по их словам, будут способны вырабатывать у компьютеров некий иммунитет, как известным, так и новым «инфекциям», различать неизвестные вирусы и уничтожать их ещё до того, как они доберутся до дисков компьютерной памяти.

ИСПОЛЬЗУЕМАЯ ЛИТЕРАТУРА

1. Информатика. Компьютерные вирусы. Приложение к газете «Первое сентября» № 37, 1997 г.

2. В.Э.Фигурнов. IBMPCдля пользователя. 1996 г.

3. Газета «Труд», статья. За апрель, 1999 г.

КОМПЬЮТЕРНЫЕ ВИРУСЫ

Реферат по информатике

ученика 9”в” класса

средней школы № 67

Новикова Александра

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их),а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

ПРОЯВЛЕНИЕ НАЛИЧИЯ ВИРУСА В РАБОТЕ НА ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:

* некоторые программы перестают работать или начинают работать неправильно;

* на экран выводятся посторонние сообщения, символы и т.д.;

* работа на компьютере существенно замедляется;

* некоторые файлы оказываются испорченными и т.д.

К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры.

Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причняют очень серьезные повреждения, например формируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

РАЗНОВИДНОСТИ КОМПЬЮТЕРНЫХ ВИРУСОВ

Каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.

В последнее время получили распространение вирусы нового типа - вирусы, имеющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Я расскажу о двух из них: "невидимых" и самомодифицирующихся вирусах.

"НЕВИДИМЫЕ" вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

САМОМОДИФИЦИРУЮЩИЕСЯ вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

"ТРОЯНСКИЙ КОНЬ"

Способ "троянский конь" состоит в тайном введении в чужую программу таких команд, которые позволяют осуществить новые, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. С помощью "троянского коня" преступники, например, отчисляют на свой счет определенную сумму с каждой операции.

Компьютерные программные тексты обычно чрезвычайно сложны. Они состоят из сотен тысяч, а иногда и миллионов команд. Поэтому "троянский конь" из нескольких десятков команд вряд ли может быть обнаружен, если, конечно, нет подозрений относительно этого. Но и в послед -- нем случае экспертам-программистам потребуется много дней и недель, чтобы найти его.

Интересен случай использования "троянского коня" одним американским программистом. Он вставил в программу компьютера фирмы, где работал, команды, не отчисляющие деньги, а не выводящие на печать для отчета определенные поступления. Эти суммы, особым образом маркированные, "существовали" только в системе. Вульгарным образом украв бланки, он заполнял их с указанием своей секретной маркировки и получал эти деньги, а соответствующие операции по-прежнему не выводились на печать и не могли подвергнуться ревизии.

Есть еще одна разновидность "троянского коня". Ее особенность состоит в том, что в безобидно выглядящий кусок программы вставляются не команды, собственно выполняющие "грязную" работу. а команды, формирующие эти команды и после выполнения уничтожающие их. В это случае программисту, пытающемуся найти "троянского коня", необходимо искать не его самого, а команды, его формирующие. Развивая эту идею, можно представить себе команды, которые создают команды и т. д.(сколь угодно большое число раз), которые создают "троянского коня".

В США получила распространение форма компьютерного вандализма, при которой "троянский конь" разрушает через какой-то промежуток времени все программы, хранящиеся в памяти машины. Во многих поступивших в продажу компьютерах оказалась "временная бомба", которая "взрывается" в самый неожиданный момент, разрушая всю библиотеку данных.

К сожалению, очень многие заказчики прекрасно знают, что после конфликтов с предприятием-изготовителем их программное обеспечение, которое до сих пор прекрасно работало, вдруг начинало вести себя самым непредсказуемым образом и наконец полностью отказывало. Нетрудно догадаться, что и копии на магнитных лентах или дисках, предусмотрительно сделанные, положения нисколько не спасали.

Оставался один путь -- идти с повинной к разработчику.

РАЗРАБОТКА И РАСПРОСТРАНЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ.

"Троянские кони" типа сотри все данные этой программы, перейди в следующую и сделай то же самое" обладают свойствами переходить через коммуникационные сети из одной системы в другую, распространяясь как вирусное заболевание.

Выявляется вирус не сразу: первое время компьютер "вынашивает инфекцию", поскольку для маскировки вирус нередко используется в комбинации с "логической бомбой" или "временной бомбой". Вирус наблюдает за всей обрабатываемой информацией и может перемещаться, используя пересылку этой информации. Все происходит, как если бы он заразил белое кровяное тельце и путешествовал с ним по организму человека. Начиная действовать (перехватывать управление), вирус дает команду компьютеру, чтобы тот записал зараженную версию программы. После этого он возвращает программе управление. Пользователь ничего не заметит, так как его компьютер находится в состоянии "здорового носителя вируса". Обнаружить этот вирус можно, только обладая чрезвычайно развитой программистской интуицией, поскольку никакие нарушения в работе ЭВМ в данный момент не проявляют себя. А в один прекрасный день компьютер "заболевает".

Экспертами собрано досье писем от шантажистов, требующих перечисления крупных сумм денег в одно из отделений американской фирмы "ПК Сиборг"; в случае отказа преступники грозятся вывести компьютеры из строя. По данным журнала "Бизнес уорлд", дискеты-вирусоносители получены десятью тысячами организаций, использующих в своей работе компьютеры.

Для поиска и выявления злоумышленников созданы специальные отряды английских детективов.

Все вирусы можно разделить на две разновидности, обнаружение которых различно по сложности: "вульгарный вирус" и "раздробленный вирус". Программа "вульгарного вируса" написана единым блоком, и при возникновении подозрений в заражении ЭВМ эксперты могут обнаружить ее в самом начале эпидемии (размножения). Эта операция требует, однако, крайне тщательного анализа всей совокупности операционной системы ЭВМ.

Программа "раздробленного вируса" разделена на части, на первый взгляд, не имеющие между собой связи. Эти части содержат инструкции которые указывают компьютеру как собрать их воедино, чтобы воссоздать и, следовательно, размножить вирус. Таким образом, он почти все время находится в "распределенном" состоянии, лишь на короткое время своей работы собираясь в единое целое. Как правило, создатели вируса указывают ему число репродукций, после достижения которого он становится агрессивным.

Вирусы могут быть внедрены в операционную систему, в прикладную программу или в сетевой драйвер.

Варианты вирусов зависят от целей, преследуемых их создателем. Признаки их могут быть относительно доброкачественными, например, замедление в выполнении программ или появление светящейся точки на экране дисплея (т. н. "итальянский попрыгунчик"). Признаки могут быть эволютивными, и "болезнь" будет обостряться по мере своего течения. Так по непонятным причинам программы начинают переполнять магнитные диски, в результате чего существенно увеличивается объем программных файлов. Наконец, эти проявления могут быть катастрофическими и привести к стиранию файлов и уничтожению программного обеспечения,

Каковы способы распространения компьютерного вируса? Они основываются на способности вируса использовать любой носитель передаваемых данных в качестве "средства передвижения". То есть с начала заражения имеется опасность, что ЭВМ может создать большое число средств передвижения и в последующие часы вся совокупность файлов и программных средств окажется зараженной. Таким образом, дискета или магнитная лента, перенесенные на другие ЭВМ, способны заразить их. И наоборот, когда "здоровая" дискета вводится в зараженный компьютер, она может стать носителем вируса. Удобными для распространения обширных эпидемий оказываются телекоммуникационные сети. Достаточно одного контакта, чтобы персональный компьютер был заражен или заразил тот, с которым контактировал. Однако самый частый способ заражения - это копирование программ, что является обычной практикой у пользователей персональных ЭВМ. Так скопированными оказываются и зараженные программы.

Специалисты предостерегают от копирования ворованных программ. Иногда, однако, и официально поставляемые программы могут быть источником заражения. Например, фирма "Альдус" выпустила несколько тысяч зараженных дискет с графическими программами.

Часто с началом компьютерной эпидемии связывают имя уже упоминаемого Роберта Морриса студента Корнеллского университета (США), в результате действий которого зараженными оказались важнейшие компьютерные сети восточного и западного побережий США. Эпидемия охватила более б тысяч компьютеров и 70 компьютерных систем. Пострадавшими оказались, в частности, компьютерные центры НАСА, Диверморской лаборатории ядерных исследований, Гарвардского, Питсбургского, Мэрилендского, Висконсинского, Калифорнийского, Стзнфордского университетов. Пикантность ситуации в том, что отец Р. Морриса -- высокопоставленный сотрудник отдела безопасности компьютеров Агентства национальной безопасности.

А изобретателем вируса является, однако, совсем другой человек В августе 1984 года студент Калифорнийского университета Фред Коуэн, выступая на одной из конференций, рассказал про свои опыты с тем, что один его друг назвал "компьютерным вирусом". Когда началось практическое применение вирусов, неизвестно, ибо банки, страховые компании, предприятия, обнаружив, что их компьютеры заражены вирусом, не допускали, чтобы сведения об этом просочились наружу.

В печати часто проводится параллель между компьютерным вирусом и вирусом "AIDS". Только упорядоченная жизнь с одним или несколькими партнерами способна уберечь от этого вируса. Беспорядочные связи со многими компьютерами почти наверняка приводят к заражению. Замучу, что пожелание ограничить использование непроверенного программного обеспечения скорее всего так и останется практически невыполнимым. Это связано с тем, что фирменные программы на "стерильных" носителях стоят немалых денег в конвертируемой валюте. Поэтому избежать их неконтролируемого копирования почти невозможно.

Справедливости ради следует отметить, что распространение компьютерных вирусов имеет и некоторые положительные стороны. В частности, они являются, по-видимому, лучшей защитой от похитителей программного обеспечения. Зачастую разработчики сознательно заражают свои дискеты каким-либо безобидным вирусом, который хорошо обнаруживается любым антивирусным тестом. Это служит достаточно надежной гарантией, что никто не рискнет копировать такую дискету,

МЕТОДЫ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

* общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

* профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

* специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

* копирование информации - создание копий файлов и системных областей дисков;

* разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.

Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan фирмы McAfee Associates и Aidstest Д.Н. Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

Некоторые детекторы, скажем, ADinf фирмы "Диалог-Наука", умеют ловить "невидимые" вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

К таким программам относится AVSP фирмы "Диалог-МГУ".

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы "Диалог-Наука", все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не на всех дисководах). Другие программы часто используют различные полумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы против некоторых "хитрых" вирусов все это бесполезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ, - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Опишу структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Это неформальное описание позволяет лучше понять методику применения антивирусных средств.

ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать 4-е правила:

1) Прежде всего не надо торопиться и принимать опрометчивых решений.

Непродуманные действия могут привести не только к потери части файлов, но к повторному заражению компьютера.

2) Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3) Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило).

В PIRCH-клиенте, например, событий, на которые предусмотрена реакция, более 50. 8.2 Скрипт-черви Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так называемые "IRC-черви". Первый инцидент с IRC-червем зафиксирован в конце 1997 года: пользователями mIRC- ...