трусики женские украина

На головну

Віруси - Інформатика

на ПК.

Вступ.

20-е сторіччя, безсумнівно, є одним з поворотних етапів в житті

людства. Як сказав одного з письменників-фантастів, "людство понеслося

уперед, як підстьобнений кінь", і, визначивши себе як технократичну

цивілізацію, всі свої сили наші діди, батьки і ми самі кинули на розвиток техніки

в самих різних її обличиях - від медичних приладів до космічних апаратів,

від сільськогосподарських комбайнів до атомних електростанцій, від транспорту до

систем зв'язку, - список нескінченний, оскільки надто складно привести область

діяльності людства, не порушену розвитком техніки. Що було

причиною так широкомасштабного і стрімкого розвитку - військове

протистояння політичних систем, еволюційне "поумнение" людини або його

патологічний лінь (винайти колесо, щоб не тягати мамонта на плечах) - поки

неясно. Залишимо цю загадку для істориків подальших сторіч.

Людство захоплене технікою і вже навряд чи відмовиться від зручностей,

що надаються нею (яскраво-червоно хто побажає поміняти сучасний автомобіль на гужову

тягу). Вже дуже багатьма геть забута звичайна пошта з її конвертами і

листоношами - замість неї прийшла електронна пошта з її приголомшуючою швидкістю

доставки (до декількох хвилин незалежно від відстані) і дуже високою

надійністю. Не уявляю собі існування сучасного суспільства без

комп'ютера, здатного багато разів підвищити продуктивність труда і доставити

будь-яку мислиму інформацію (то-то на зразок принципу "піди туди, не знаю куди,

знайди те, не знаю що"). Вже не дивуємося мобільному телефону на вулиці - я і

сам до нього звик усього за один день.

20-е сторіччя також є одним з самих суперечливих, що принесли історії

людства немало парадоксів, основної з яких, як мені здається, є

відношення людини до природи. Переставши жити в дружбі з природою, перемігши її і

довівши собі, що легко може її знищити, людина раптом зрозуміла, що загине і

сам, - і помінялися ролі в драмі "Людина-Природа". Раніше за чоловік захищав себе

від природи, тепер же він все більше і більше захищає природу від самого себе.

Іншим феноменом 20-го віку є відношення людини до релігії. Ставши

технократом, людина не перестала вірити в Бога (або його аналогів). Більш того

з'явилися і зміцніли інші релігії.

До основних технічних феноменів 20-го віки відносяться, на мій погляд, появу

людини в космосі, утилізація атомної енергії речовини, грандіозний прогрес

систем зв'язку і передачі інформації і, звичайно ж, приголомшуючий розвиток мікро- і

макро-комп'ютерів. І як скоро з'являється згадка про феномен комп'ютерів, так

тут же виникає ще один феномен кінця нашого сторіччя - феномен комп'ютерних

вірусів.

Бути може, багато чим покажеться смішним або легковажним те, що факт

виникнення комп'ютерних вірусів поставлений в один ряд з дослідженнями

космосу, атомного ядра і розвитком електроніки. Можливо, що я не правий в своїх

міркуваннях, однак дайте можливість пояснитися.

По-перше, комп'ютерні віруси - це серйозна і досить помітна проблема,

виникнення якої ніхто не чекав. Навіть всевидящие фантасты-футурологи

минулого не говорять про це нічого (наскільки це мені відоме). У їх

численних творах з тією або інакшою точністю передбачені практично

всі технічні досягнення справжнього (спомним, наприклад, Уеллса з його ідеєю

польоту з гармати на Місяць і марсіан, озброєних деякою подібністю лазера). Якщо ж

говорити про обчислювальні машини, то тема ця вилизана донезмоги - однак немає

жодного пророцтва, присвяченого комп'ютерним вірусам. Тема вірусу в

творах письменників з'явилася вже після того, як перший реальний вірус

уразив свій перший комп'ютер.

По-друге, комп'ютерні віруси - це перша цілком вдала спроба створити

життя. Спроба вдала, але не можна сказати, що корисна - сучасні

комп'ютерні "мікроорганізми" більш усього нагадують комах-шкідників,

що приносять тільки проблеми і прикрощі.

Але все таки - життя, оскільки комп'ютерним вірусам властиві всі атрибути живого

- здібність до розмноження, приспособляемости до середи, руху і т.д.

(стественно, тільки в межах комп'ютерів - так само як все вищесказане вірно

для біологічних вірусів в межах кліток організму). Більш того існують

"двостатеві" віруси (див. вірус RMNS), а прикладом "многоклеточности" можуть служити,

наприклад, макро-віруси, що складаються з декількох незалежних макросів.

І, по-третє, тема вірусів стоїть декілька особняком від всіх інших задач,

що вирішуються за допомогою комп'ютера (абудем про такі специфічні задачі, як злом

захисту від копіювання і криптографію). Практично всі проблеми, що вирішуються за

допомогою обчислювальної техніки, є продовженням цілеспрямованої боротьби

людини з навколишньою його природою. Природа ставить людині довге нелінійне

диференціальне рівняння в трьохмірному просторі - людина набиває

комп'ютер процесорами, пам'яттю, обважує запорошеними проводами, багато курить і в

результаті вирішує це рівняння (або перебуває в стані упевненості, що вирішив).

Природа дає людині шматок проводу з цілком певними характеристиками -

людина вигадує алгоритми передачі як можна більшого обсягу інформації по

цьому проводу, крає його модуляціями, стискає байти в біти і терплячий чекає

надпровідності при кімнатній температурі. Природа (в особі фірми IBM) дає

людині чергове обмеження у вигляді чергової версії IBM PC - і людина не

спить ночами, знову багато курить, оптимізуючи коди чергової бази даних, щоб

умістити її в надані йому ресурси оперативної і дискової пам'яті. І так

далі.

А ось боротьба з комп'ютерними вірусами є боротьбою людини з людським

же розумом ( деякому значенні також виявом природних сил, хоч на цей рахунок

є більше за одну думку). Ця боротьба є боротьбою розумів, оскільки

задачі, що стоять перед вірусологами, ставлять такі ж люди. Вони вигадують новий

вірус - а вірусологам з ним розбиратися. Потім вони вигадують вірус, в якому

розібратися дуже важко - але і з ним розбираються. І зараз напевно десь

сидить за комп'ютером парубок, страждаючий над черговим монстром, в якому

вірусологам доведеться розбиратися цілий тиждень, а потім ще один тиждень

налагоджувати алгоритм антивіруса. До речі, чим не еволюція живих організмів?

Отже, поява комп'ютерних вірусів - один з найбільш цікавих моментів в

історії технічного прогресу 20-го віку, і настав момент закінчити з

околофилософскими міркуваннями і перейти до конкретних питань. І питання про

визначення поняття "комп'ютерний вірус" буде стояти на першому місці.

Так що-же таке комп'ютерні віруси і як з ними боротися?

На цю тему написані десятки книг і сотні статей, боротьбою з комп'ютерними

вірусами професіонально займаються сотні (або тисячі) фахівців в десятках

(а можливо, сотнях) компаній. Здавалося б, тема ця не настільки складна і

актуальна, щоб бути об'єктом такої пильної уваги. Однак це не так.

Комп'ютерні віруси були і залишаються однієї з найбільш поширених причин

втрати інформації. Відомі випадки, коли віруси блокували роботу організацій

і підприємств. Більш того декілька років тому був зафіксований випадок, коли

комп'ютерний вірус став причиною загибелі людини - в одному з госпіталів

Нідерландів пацієнт отримав летальну дозу морфію по тій причині, що комп'ютер

був заражений вірусом і видавав невірну інформацію.

Незважаючи на величезні зусилля конкуруючих між собою антивірусних фірм, збитки,

що приносяться комп'ютерними вірусами, не падають і досягають астрономічних величин

в сотні мільйонів доларів щорічно. Ці оцінки явно занижені, оскільки

відомо стає лише про частину подібних інцидентів.

При цьому потрібно мати на увазі, що антивірусні програми і "залізо" не дають

повної гарантії захисту від вірусів. Приблизно так само погано йдуть справи на іншій

стороні тандему "людина-комп'ютер". Як користувачі, так і

професіонали-програмісти часто не мають навіть навиків "самооборони", а їх

уявлення про вірус часом є настільки поверхневими, що краще б за їх

(уявлень) і не було.

Небагато чим краще йдуть справи на Заході, де і літератури побільше (здается аж

три щомісячних журнали, присвячених вірусам і захисту від них), і вірусів

поменше (оскольку "ліві" китайські компакт-диски особливо на ринок не

поступають), і антивірусні компанії поводяться активніше (роводя, наприклад,

спеціальні конференції і семінари для фахівців і користувачів).

У нас же, на жаль, все це не зовсім так. І одним з найменше

"пророблених" пунктів є література, присвячена проблемам боротьби з

вірусами. На сьогоднішній день що є на прилавках магазинів друкарська

продукція антивірусного глузду або давно застаріла, або написана

непрофесіонал, або авторами типу Хижняка, що набагато гірше.

Досить неприємним моментом є також випереджальна робота Російського

комп'ютерного "андеграунда": тільки за два роки було випущено більше за десяток

електронних номерів журналу "вирусописателей Infected Voice", з'явилося

трохи станцій BBS і WWW-сторінок, орієнтовані на поширення вірусів

і супутньої інформації.

1. Історія виникнення і розвитку комп'ютерних вірусів.

Вважають, що ідея створення комп'ютерних вірусів була вигадана

письменником-фантастом Т. Дж. Райн, який в одній з своїх книг, опублікованій в

США в 1977 р., описав епідемію, за короткий час 7000

комп'ютерів, що вразила більш. Причиною епідемії став комп'ютерний вірус, який, передаючись від

одного комп'ютера до іншого, впроваджувався в їх операційні системи і виводив їх

з-під контролю людини.

Збиток, що наноситься комп'ютерними вірусами, швидко зростає, а їх небезпека для

таких життєво важливих систем, як оборона, транспорт, зв'язок, поставила проблему

комп'ютерних вірусів в ряд тих, які звичайно знаходяться під пильною

увагою органів державної безпеки.

Вважається визнаним, що в останні роки більше усього вірусів створювалося в

СРСР, а потім в Росії і інших країнах СНД. Але і в інших країнах, в тому числі

в США, значна утрата, що наноситься вірусами. У США боротьба з вірусами ведеться на

самому високому рівні.

У Карному Кодексі Росії позначена стаття 273 за "Створення, використання і

поширення шкідливих програм для ЕОМ", яка свідчить:

1. Створення програм для ЕОМ або внесення змін в існуючі програми,

що явно приводять до несанкціонованого знищення, блокування,

модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або

їх мережі а одинаково використання або поширення таких програм або машинних

носіїв з такими програмами - караються позбавленням свободи на термін до 3 років

з штрафом в розмірі від двохсот до п'ятисот мінімальних розмірів оплати труда або

в розмірі заробітної плати або інакшого доходу осудженого за період від двох до

п'яти місяців.

2. Ті ж діяння, що призвели по необережності тяжкі наслідки, - караються

позбавленням свободи на термін від трьох до семи років.

У США, невдовзі після оголошення в 1993 році Білим будинком про підключення президента

Білла Клінтона і віце-президента Альберта Гора до мережі Internet, адміністрація

підтримала ідею проведення Національного дня боротьби з комп'ютерними вірусами.

Такий день відмічається тепер щорічно. Національною асоціацією по комп'ютерному

захисту США (NCSA) і компанією Dataquest опубліковані наступні дані за

результатами досліджень вірусної проблеми:

- 63% опитаних постраждали від комп'ютерних вірусів;

- передбачувані втрати американського бізнесу від комп'ютерних вірусів в 1999

році складуть біля 3 млрд. доларів;

- ідентифіковано більше за 23000 комп'ютерних вірусів;

- кожний місяць з'являється більше за 50 нових вірусів;

- в середньому від кожної вірусної атаки страждає 142 персональних комп'ютера: на її

відображення в середньому йде 2,4 дні;

- для компенсації збитку в 114 випадків було потрібен більш 5 днів.

Починаючи з кінця 1990 р., з'явилася нова тенденція, що отримала назву

"експонентний вірусний вибух". Кількість нових вірусів, що виявляються в

місяць, стала обчислюватися десятками, а надалі і сотнями. Спочатку

епіцентром цього вибуху була Болгарія, потім він перемістився в Росію. Після

1994 р. темп зростання вірусів пішов на спад, хоч їх загальна кількість продовжує

збільшуватися. Це пов'язано з тим, що ОС MS D0S, яка і дає 99% існуючих

комп'ютерних вірусів, поступово здає свої лідируючі позиції як операційну

систему для персональних комп'ютерів, поступаючись їх Windows, 0S\2, UNIX і т.п.

Крім того, віруси постійно розширюють своє "середовище мешкання" і реалізовують

принципово нові алгоритми впровадження і поведінки. Так, в 1995 році з'явилися

представники, що спростовують ключові принципи антивірусного захисту - те, що

комп'ютер, завантажений з явно чистої системної дискети, не може містити

вірус; і те, що віруси не заражають файли з даними.

Першим з'явився вірус, який таким чином коректує конфігурацію

комп'ютера, що при спробі завантаження з дискети він все одно завантажується із

зараженого жорсткого диска, і вірус активізується в системі.

Інший вірус, що з'явився в середині серпня 1995 р. в США і ряді країн Західної

Європи, використовує можливість представлення інформації у вигляді конгломерату

даних і програм. Він заражає документи, підготовлені в системі MS Word for

Windows - файли типу. DOC. Оскільки такі файли щодня десятками тисяч

циркулюють в локальних і глобальних мережах, ця здатність вірусу забезпечила

його миттєве поширення по всьому світлу протягом декількох днів і 25

серпня він був виявлений в Москві. Вірус написаний на макроязыке пакету Word. Він

переносить себе в область глобальних макросів, перевизначити макрос FileSaveAs і

копіює себе в кожний файл, що зберігається за допомогою команди Save As. При цьому він

переводить файл з категорії "документ" в категорію "шаблон", що робить,

неможливим його подальше редагування. Виявити наявність цього вірусу можна

по появі в файлі winword6.ini рядка ww6i=1.

Новим словом у вірусології став вірус під назвою "Чорнобиль" або WIN95.CIH.

Даний вірус на відміну від своїх побратимів в залежності від модифікації міг

знищувати MBR жорсткого диска, таблицю розміщення даних і не захищену від

перезапису Flash-пам'ять. Хвиля епідемії цього вірусу прокотилася по всьому світу.

Величезний матеріальний збиток був нанесений в Швеції. 26 квітня 1999 року

постраждало велика кількість користувачів і в Росії.

Найбільш відомий той, що викликав всесвітню сенсацію і що привернув увагу до вірусної

проблеми інцидент з вірусом-черв'яком в глобальній мережі Internet. Другого листопада

1988 року студент Корнелловського університету Роберт Морріс запустив на

комп'ютері Массачусетського технологічного інституту програма-черв'як, яка

передавала свій код з машини на машину, використовуючи помилки в системі UNIX на

комп'ютерах VAX і Sun. Протягом 6 годин були уражені 6000 комп'ютерів, в тому

числі Станфордського університету, Массачусетського технологічного інституту,

університету Берклі і багатьох інших. Крім того, були уражені комп'ютери

Дослідницького інституту НАСА і Національної лабораторії Лоуренса в

Ліверморе - об'єкти, на яких проводяться самі секретні стратегічні

дослідження і розробки. Черв'як являв собою програму з 4000 рядків на

мові "С" і вхідній мові командного інтерпретатора системи UNIX. Потрібно

відмітити, що вірус тільки розповсюджувався по мережі і не здійснював яких-небудь

руйнуючих дій. Однак це стало ясне тільки на етапі аналізу його коду, а

поки вірус розповсюджувався, в обчислювальних центрах панувала справжня паніка.

Тисячі комп'ютерів були зупинені, збиток склав багато які мільйони доларів.

2. Класифікація вірусів

Відомі програмні віруси можна класифікувати по наступних ознаках:

середовищу мешкання;

способу зараження середовища мешкання;

впливу;

особливостям алгоритму.

У залежності від середовища мешкання віруси можна розділити на:

мережеві;

файлові;

завантажувальні;

файлово-завантажувальні.

Мережеві віруси розповсюджуються по різних комп'ютерних мережах. До мережевих

відносяться віруси, які для свого поширення активно використовують

протоколи і можливості локальних і глобальних мереж. Основним принципом роботи

мережевого вірусу є можливість самостійно передати свій код на

видалений сервер або робочу станцію. "Повноцінні" мережеві віруси при цьому

володіють ще і можливістю запустити на виконання свій код на видаленому

комп'ютері або, принаймні, "підштовхнути" користувача до запуску

зараженого файла.

Існує помилкова думка, що мережевим є будь-якою вірус, що розповсюджується в

комп'ютерній мережі. Але в такому випадку практично всі віруси були б мережевими,

навіть найбільш примітивні з них: адже самий звичайний нерезидентний вірус при

зараженні файлів не розбирається - мережевої (видалений) це диск або локальний. У

результаті такий вірус здатний заражати файли в межах мережі, але віднести його до

мережевих вірусів ніяк не можна.

Найбільшу популярність придбали мережеві віруси кінця 1980-х, їх також називають

мережевими черв'яками (worms). До них відносяться вірус Морріса, віруси "Cristmas Tree"

і "Wank Worm&". Для свого поширення вони використали помилки і

недокументовані функції глобальних мереж того часу - віруси передавали

свої копії з сервера на сервер і запускали їх на виконання. У випадку з вірусів

Морріса епідемія захопила аж декілька глобальних мереж в США.

Мережеві віруси минулого розповсюджувалися в комп'ютерній мережі і, як правило, так

само як і компаньйон-віруси, не змінювали файли або сектори на дисках. Вони

проникали в пам'ять комп'ютера з комп'ютерної мережі, обчислювали мережеві адреси

інших комп'ютерів і розсилали за цими адресами свої копії. Этивирусы іноді

також створювали робочі файли на дисках системи, але могли взагалі не звертатися до

ресурсів комп'ютера (за винятком оперативної пам'яті).

Після декількох епідемій мережевих вірусів помилки в мережевих протоколах і

програмному забезпеченні були виправлені, а "задні двері" закриті. У результаті

за песледние десять років не було зафіксовано жодного випадку зараження мережевим

вірусом, як, проте, не з'явилося і жодного нового мережевого вірусу.

Знову проблема мережевих вірусів виникла лише на початку 1997-го року з появою

вірусів "Macro.Word.ShareFun" і "Win.Homer". Перший з них використовує

можливості електронної пошти Microsoft Mail - він створює новий лист,

вмісний заражений файл-документ ( "ShareFun" є макро-вірусом), потім

вибирає з списку адрес MS-Mail три випадкових адреси і розсилає по них

заражений лист. Оскільки багато які користувачі встановлюють параметри MS-Mail

таким чином, що при отриманні листа автоматично запускається MS Word, то

вірус "автоматично" впроваджується в комп'ютер адресата зараженого листа.

Цей вірус ілюструє перший тип сучасного мережевого вірусу, які

об'єднують можливості вбудованої в Word/Excel мови Basic, протоколи і

особливості електронної пошти і функції авто-запуску, необхідні для

поширення вірусу.

Другий вірус ( "Homer") використовує для свого поширення протокол FTP (ile

Trabsfer Protocol) і передає свою копію на видалений ftp-сервер в каталог

Incoming. Оскільки мережевий протокол FTP виключає можливість запуску файла на

удаленнов сервері, цей вірус можна охарактеризувати як "підлозі-мережевий", однак

це реальний приклад можливостей вірусів по використанню сучасних мережевих

протоколів і поразці глобальних мереж.

Файлові віруси впроваджуються головним чином в модулі, що виконуються, т. е. в файли,

що мають розширення COM і EXE. Вони можуть впроваджуватися і в інші типи файлів, але,

як правило, записані в таких файлах, вони ніколи не отримують управління і,

отже, втрачають здібність до розмноження. На відміну від завантажувальних

вірусів, які практично завжди резидентны, файлові віруси не обов'язково

резидентны. Областю мешкання файлових вірусів є файли. Якщо файловий

вірус не резидентний, то при запуску інфікованого файла, що виконується вірус

записує свій код в тіло програмного файла таким чином, що при запуску

програми вірус першим отримує управління. Зробивши деякі дії, вірус

передає управління зараженій програмі. При запуску вірус сканує локальні

диски комп'ютера і мережеві каталоги в пошуках нового об'єкта для зараження.

Після того як відповідний програмний файл буде знайдений, вірус записує в нього

свій код, щоб отримати управління при запуску цього файла.

Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримає

можливість заражати файли і виявляти інші здібності не тільки під час

роботи зараженого файла.

Відносно новим різновидом файлового вірусу є макрокомандный

вірус, що розповсюджується з документами офісних додатків, таких як Microsoft

Word for Windows або Microsoft Excel for Windows.

Документи офісних додатків містять в собі не тільки текст і графічні

зображення, але і макрокоманди, які являють собою ніщо інакше, як

програми. Ці програми складаються на мові, що нагадує Бейсик. Вірус може

змінювати існуючі макрокоманди і додавати нові, впроваджуючи своє тіло в файл

документа.

Механізм поширення макрокомандных вірусів заснований на тому, що існують

макрокоманди, які запускаються при відкриванні документа для редагування

або при виконанні інших операцій. Розробник макрокомандного вірусу бере

файл з ім'ям, наприклад, readme.doc, і записує в нього одну або декілька

вірусних макрокоманд, наприклад, вірусну макрокоманду з ім'ям AutoExec. Коли

користувач відкриває такий файл за допомогою текстового процесора Microsoft

Word for Windows, ця макрокоманда буде автоматично запущена на виконання.

При цьому вірус отримає управління і може заразити інші документи, що зберігаються

на дисках. Якщо вірусна макрокоманда має ім'я FileSaveAs, то поширення

вірусу буде відбуватися при збереженні документа.

Для запобігання зараженню макрокомандными вірусами необхідно перед

переглядом або редагуванням перевіряти нові файли документів за допомогою

антивірусних програм, здатних шукати такі віруси.

Завантажувальні віруси.

Друга велика група вірусів - це так звані завантажувальні віруси.

Поширення і активізація цих вірусів відбувається в момент завантаження

операційної системи, ще до того, як користувач встиг запустити яку-небудь

антивірусну програму.

Відразу після включення електроживлення комп'ютера починає працювати програма

ініціалізації, записана в ПЗУ базової системи введення/висновку BIOS. Ця програма

перевіряє оперативну пам'ять і інші пристрої комп'ютера, а потім передає

управління програмі початкового завантаження, яка також знаходиться в BIOS.

Програма початкового завантаження намагається прочитати в оперативну пам'ять вміст

самого першого сектора нульової доріжки жорсткого диска, в якому знаходиться

головний завантажувальний запис Master Boot Record (MBR), або вміст самого

першого сектора нульової доріжки дискети, вставленої в пристрій А:. Цей

сектор містить завантажувальний запис Boot Record (BR).

Існує дві можливості завантажити операційну систему - з жорсткого диска або

з дискети.

При завантаженні з жорсткого диска в пам'ять за фіксованою адресою читається

вміст головного завантажувального запису. Цей запис являє собою програму,

задачею якої є завантаження операційної системи з логічного диска.

Завантажувач, розташований в головному завантажувальному записі MBR переглядає таблицю

розділів диска Partition Table, яка знаходиться в тому ж секторі диска, що і

сам запис MBR. Після того як в цій таблиці буде знайдений розділ, відмічений

як активний, виконується читання самого першого сектора цього розділу в

оперативну пам'ять, - сектори завантажувального запису BR. У цьому секторі знаходиться

ще один завантажувач.

Задачею завантажувача BR є лічення в оперативну пам'ять стартових модулів

операційної системи і передача їм управління. Спосіб завантаження залежить від

операційної системи, тому кожна операційна система має свій власний

завантажувач BR.

Завантаження з дискети відбувається простіше, оскільки формат дискети в точності

відповідає формату логічного диска. Самий перший сектор нульової доріжки

дискети містить завантажувальний запис BR, який читається в пам'ять. Після читання

їй передається управління.

Дискети можуть бути системними і несистемними.

Системну дискету MS-DOS можна підготувати за допомогою команди format, указавши їй

параметр /s, або за допомогою команди sys. І в тому, і в іншому випадку в перший

сектор нульової доріжки дискети записується програма початкового завантаження MS-DOS.

Якщо ж дискета була отформатирована командою format без параметра /s, вона буде

несистемною. Проте, в перший сектор нульової доріжки дискети все одно

записується програма, єдиним призначенням якої є виведення

про необхідність вставити в НГМД системну дискету.

Дана обставина - присутність завантажувального запису на несистемній дискеті -

грає важливу роль при поширенні завантажувальних вірусів.

Завантаження операційної системи є багатоступінчастим процесом, хід якого

залежить від різних обставин. У цьому процесі введено в дію три програми,

які служать об'єктом нападу завантажувальних вірусів:

головний завантажувальний запис;

завантажувальний запис на логічному диску;

завантажувальний запис на дискеті.

Віруси можуть замінювати деякі або всі перераховані вище об'єкти, вбудовуючи в

них своє тіло і зберігаючи вміст оригінального завантажувального сектора в

якому-небудь більш або менш відповідному для цього місці на диску комп'ютера. У

результаті при включенні комп'ютера програма завантаження, розташована в BIOS,

завантажує в пам'ять вірусний код і передає йому управління. Подальше завантаження

операційної системи відбувається під контролем вірусу, що утрудняє, а в

деяких випадках і виключає його виявлення антивірусними програмами.

Завантажувальні віруси заражають завантажувальний (boot) сектор флоппи-диска і boot-сектор

або Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів

заснований на алгоритмах запуску операційної системи при включенні або

перезавантаженні комп'ютера - після необхідних тестів встановленого обладнання

(пам'яті, дисків і т.д.) програма системного завантаження прочитує перший фізичний

сектор завантажувального диска (А:, З: або CD-ROM в залежності від параметрів,

встановлених в BIOS Setup) і передає на нього управління.

Файлово-завантажувальні віруси. Існує велика кількість поєднань - наприклад,

файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори

дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто

застосовують оригінальні методи проникнення в систему, використовують стелс і

полиморфик-технології.

За способом зараження середовища мешкання віруси діляться на дві групи:

резидентні

нерезидентні.

Під терміном "резидентность" (OS'овский термін TSR - Terminate and Stay

Resident) розуміється здатність вірусів залишати свої копії в системній

пам'яті, перехоплювати деякі події (апример, звернення до файлів або

дисків) і викликати при цьому процедури зараження виявлених об'єктів (айлов і

секторів). Таким чином, резидентні віруси активні не тільки в момент роботи

зараженої програми, але і після того, як програма закінчила свою роботу.

Резидентні копії таких вірусів залишаються життєздатними аж до чергового

перезавантаження, навіть якщо на диску знищені всі заражені файли. Часто від таких

вірусів неможливо позбутися відновленням всек копій файлів з дистрибутивних

дисків або backup-копій. Резидентна копія вірусу залишається активною і заражає

файли, що знову створюються. Те ж вірно і для завантажувальних вірусів - форматування

диска при наявності в пам'яті резидентного вірусу не завжди виліковує диск,

оскільки багато які резидентні віруси заражає диск повторно після того, як він

отформатирован.

Нерезидентні віруси, навпаки, активні досить нетривалий час -

тільки в момент запуску зараженої програми. Для свого поширення вони

шукають на диску незаражені файли і записуються в них. Після того, як код

вірусу передає управління програмі-носію, вплив вірусу на роботу

операційної системи зводиться до нуля аж до чергового запуску якої-небудь

зараженої програми. Тому файли, заражені нерезидентними вірусами

значно простіше видалити з диска і при цьому не дозволити вірусу заразити їх

повторно.

По мірі впливу віруси можна розділити на наступні види:безпечні, що не

заважають роботі комп'ютера, але що зменшують об'єм вільної оперативної пам'яті і

пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних

або звукових эффектахопасные віруси, які можуть привести до різних

порушень в роботі комп'ютера дуже небезпечні, вплив яких може привести

до втрати програм, знищення даних, стирання інформації в системних областях

диска.

По особливостях алгоритму віруси важко класифікувати через велику

різноманітність. НайПростіші віруси - паразитичні, вони змінюють вміст файлів

і секторів диска і можуть бути досить легко виявлені і знищені.

Вирусы-репликаторы, звані черв'яками, які розповсюджуються по комп'ютерних

мережах, обчислюють адреси мережевих комп'ютерів і записують за цими адресами свої

копії. Вирусы-невидимки, звані стелс-вірусами, які дуже важко

виявити і знешкодити, оскільки вони перехоплюють звертання операційної

системи до уражених файлів і секторів дисків і підставляють замість свого тіла

незаражені дільниці диска. Найбільш важко виявити віруси-мутанти

(поліморфні віруси), вмісні алгоритми шифровки-розшифровки, завдяки

яким копії одного і того ж вірусу не мають жодній ланцюжка

байтів, що повторюється. Є і так звані квазивирусные або "троянские" програми,

які хоч і не здатні до самораспространению, але дуже небезпечні, оскільки,

маскуючись під корисну програму, руйнують завантажувальний сектор і файлову

систему дисків.

Макровіруси.

Вельми оригінальний клас вірусів (отя вірусами в повному розумінні цього слова їх

навіть не можна назвати), що заражає документи, в яких передбачене виконання

макрокоманд. При відкритті таких документів спочатку виконуються макрокоманди

(спеціальні програми високого рівня), що містяться в цьому документі, -

макровирус якраз і являє собою таку макрокоманду. Таким чином, як

тільки буде відкритий заражений документ, вірус отримає управління і здійснить всі

шкідливі дії (зокрема, знайде і заразить ще не заражені документи).

Поліморфні віруси.

Цей вигляд комп'ютерних вірусів представляється на сьогоднішній день найбільш

небезпечним.

Поліморфні віруси - віруси, що модифікують свій код в заражених програмах

таким чином, що два примірники одного і того ж вірусу можуть не співпадати ні

в одному біті.

Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але

і містять код генерації шифрувальника і расшифровщика, що відрізняє їх від звичайних

шифрувальних вірусів, які також можуть шифрувати дільниці свого коду, але

мають при цьому постійний код шифровальщика і расшифровщика.

Поліморфні віруси - це віруси з самомодифицирующимися расшифровщиками. Мета

такого шифрування: унеможливити проаналізувати код вірусу за допомогою

звичайного дизассемблирования, навіть маючи заражений і оригінальний файли. Цей код

зашифрований і являє собою безглуздий набір команд. Розшифровка

проводиться самим вірусом вже безпосередньо під час виконання. При цьому

можливі варіанти: він може розшифрувати себе всього відразу, а може виконати

таку розшифровку в ході роботи, може знову шифрувати вже відпрацьовані дільниці.

Все це робиться ради ускладнення аналізу коду вірусу.

Стелс-віруси.

У ході перевірки комп'ютера антивірусні програми прочитують дані - файли і

системні області з жорстких дисків і дискет, користуючись коштами операційної

системи і базової системи введення/висновку BIOS. Ряд вірусів, після запуску

залишають в оперативній пам'яті комп'ютера спеціальні модулі, що перехоплюють

звертання програм до дискової підсистеми комп'ютера. Якщо такий модуль

виявляє, що програма намагається прочитати заражений файл або системну

область диска, він на ходу підміняє дані, що читаються, неначе вірусу на диску

немає.

Стелс-віруси обманюють антивірусні програми і в результаті залишаються

непоміченими. Проте, існує простий спосіб відключити механізм

маскування стелс-вірусів. Досить завантажити комп'ютер з не зараженої

системної дискети і відразу, не запускаючи інших програм з диска комп'ютера

(які також можуть виявитися зараженими), перевірити комп'ютер антивірусною

програмою.

При завантаженні з системної дискети вірус не може отримати управління і встановити

в оперативній пам'яті резидентний модуль, реалізуючий стелс-механізм.

Антивірусна програма зможе прочитати інформацію, дійсно записану на

диску, і легко виявить вірус.

Системна дискета для антивірусного контролю повинна бути підготовлена зазделегідь.

Крім системних файлів, на неї потрібно записати антивірусні програми.

Віруси-привиди.

Віруси-привиди маскуються за допомогою іншого механізму. Ці віруси постійно

модифікують себе таким чином, що не містять однакових фрагментів. Такі

віруси зберігають своє тіло в закодованому вигляді і постійно міняють параметри цього

кодування. Стартова ж частина, що займається декодуванням безпосередньо

самого тіла, може генеруватися вельми складним способом. При перенесенні вірусу

даного типу з комп'ютера на комп'ютер код вірусу змінюється таким чином, що

вже не має нічого спільного зі своїм попереднім варіантом. А частина вірусів може

самомодифицироваться і в межах одного комп'ютера. Виявлення таких вірусів

вельми утруднене, хоч частина антивірусних програм намагається знаходити їх по

дільницях коду, характерних для стартової частини.

Компаньйон - віруси.

Компаньйон - віруси (companion) - це віруси, що не змінюють файли. Алгоритм

роботи цих вірусів складається в тому, що вони створюють для ЕХЕ-файлів

файли-супутники, що мають те ж саме ім'я, але з розширенням. COM, наприклад, для

файла XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і ніяк

не змінює ЕХЕ-файл. При запуску такого файла DOS першим виявить і виконає

COM-файл, тобто вірус, який потім запустить і ЕХЕ-файл.

Віруси-"черв'як".

Віруси -" черв'яки" (worm) - віруси, які розповсюджуються в комп'ютерній мережі і,

так само як і компаньйон - віруси, не змінюють файли або сектори на дисках. Вони

проникають в пам'ять комп'ютера з комп'ютерної мережі, обчислюють мережеві адреси

інших комп'ютерів і розсилають за цими адресами свої копії. Такі віруси іноді

створюють робочі файли на дисках системи, але можуть взагалі не звертатися до

ресурсів комп'ютера (за винятком оперативної пам'яті). На щастя, в

обчислювальних мережах IBM-комп'ютерів такі віруси поки не завелися.

Студентські віруси.

Студентські віруси є самими примітивними і елементарними, тому що ці

віруси пишуться ради забави або знічев'я студентами, які щойно

навчилися їх писати і вирішили спробувати свої сили. Але також є виключення,

наприклад такий вірус як "Чорнобиль" написаний самим звичайним студентом. Але такі

виключення дуже рідкі.

Троянские коні, програмні закладки і мережеві черв'яки.

Троянський кінь - це програма, вмісна в собі деяку руйнуючу функцію,

яка активізується при настанні деякої умови спрацювання. Звичайно

такі програми маскуються під які-небудь корисні утиліти. Віруси можуть

нести в собі троянских коней або "троянизировать" інші програми - вносити в

них руйнуючі функції.

"Троянские коні" являють собою програми, реалізуючий крім функцій,

описаних в документація, і деякі інші функції, пов'язана з порушенням

безпеки і деструктивними діями. Відмічені випадки створення таких

програм з метою полегшення поширення вірусів. Списки таких програм

широко публікуються друкується зарубіжній. Звичайно вони маскуються під ігрові або

розважальні програми і шкодять під красиві картинки або музику.

Програмні закладки також містять деяку функцію, що наносить збиток ВР, але

ця функція, навпаки, старається бути як можна незаметнее, так як чим довше

програма не буде викликати підозр, тим довше закладка зможе працювати.

Як приклад приведемо можливі деструктивні функції, що реалізовуються

"троянскими кіньми" і програмними закладками:

1. Знищення інформації. Конкретний вибір об'єктів і способів знищення

залежить тільки від фантазії автора такої програми і можливостей ОС. Ця функція

є загальною для троянских коней і закладок.

2. Перехоплення і передача інформації. Як приклад можна привести реалізацію

закладки для виділення паролів, що набираються на клавіатурі.

3. Цілеспрямована модифікація коду програми, що цікавить порушника. Як

правило, це програми, реалізуючий функції безпеки і захисту.

Якщо віруси і "троянские коні" наносять збиток за допомогою лавиноподібного

саморазмножения або явного руйнування, то основна функція вірусів типу "черв'як",

діючих в комп'ютерних мережах, - злом системи, що атакується, тобто подолання

захисту з метою порушення безпеки і цілісності.

У більше за 80% комп'ютерних злочинів, розсліджувати ФБР, "зломщики" проникають в

систему, що атакується через глобальну мережу Internet. Коли така спроба вдається,

майбутнє компанії, на створення якої пішли роки, може бути поставлене під

загрозу за якісь секунди.

Цей процес може бути автоматизований за допомогою вірусу, званого мережевий

черв'як.

Черв'яками називають віруси, які розповсюджуються по глобальних мережах, вражаючи

цілі системи, а не окремі програми. Це самий небезпечний вигляд вірусів, оскільки

об'єктами нападу в цьому випадку стають інформаційні системи

державного масштабу. З появою глобальної мережі Internet цей вигляд

порушення безпеки представляє найбільшу загрозу, т. до. йому в будь-який момент

може зазнати будь-якою з 40 мільйонів комп'ютерів, підключених до цієї мережі.

Ознаки появи вірусів.

При зараженні комп'ютера вірусом важливо його виявити. Для цього потрібно знати

про основні ознаки вияву вірусів. До них можна віднести наступні:

припинення роботи або неправильна робота раніше програм, що успішно функціонували;

повільна робота комп'ютера;

неможливість завантаження операційної системи;

зникнення файлів і каталогів або спотворення їх вмісту;

зміна дати і часу модифікації файлів;

зміна розмірів файлів;

несподіване значне збільшення кількості файлів на диску;

істотне зменшення розміру вільної оперативної пам'яті;

виведення на екран непередбачених повідомлень або зображень;

подача непередбачених звукових сигналів;

часті зависання і збої в роботі комп'ютера.

Потрібно відмітити, що вищеперелічені явища необов'язково викликаються

присутністю вірусу, а можуть бути слідством інших причин. Тому завжди

утруднена правильна діагностика стану комп'ютера.

3. Антивірусні програми.

Для виявлення, видалення і захистів від комп'ютерних вірусів розроблено декілька

видів спеціальних програм, які дозволяють виявляти і знищувати віруси.

Такі програми називаються антивірусними. Розрізнюють наступні види антивірусних

програм:

програми-детектори;

програми-лікарі або фаги;

програми-ревізори;

програми-фільтри;

програми-вакцини або иммунизаторы.

Програми-детектори здійснюють пошук характерної для конкретного вірусу

сигнатури в оперативній пам'яті і в файлах і при виявленні видають

відповідне повідомлення. Недоліком таких антивірусних програм є те,

що вони можуть знаходити тільки ті віруси, які відомі розробникам таких

програм.

Програми-лікарі або фаги, а також програми-вакцини не тільки знаходять

заражені вірусами файли, але і "лікують" їх, тобто видаляють з файла тіло

програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи

фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до

"лікування" файлів. Серед фагов виділяють полифаги, тобто програми-лікарі,

призначені для пошуку і знищення великої кількості вірусів. Найбільш

відомі з них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Враховуючи, що постійно з'являються нові віруси, програми-детектори і

програми-лікарі швидко застарівають, і потрібно регулярне оновлення версій.

Програми-ревізори відносяться до найнадійнішим коштам захисту від вірусів.

Ревізори запам'ятовують початковий стан програм, каталогів і системних областей

диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за

бажанням користувача порівнюють поточний стан з початковим. Виявлені

зміни виводяться на екран монітора. Як правило, порівняння станів

проводять відразу після завантаження операційної системи. При порівнянні перевіряються

довжина файла, код циклічного контролю (контрольна сума файла), дата і час

модифікації, інші параметри. Програми-ревізори мають досить розвинені

алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії

програми, що перевіряється від змін, внесених вірусом. До числа

програм-ревізорів відноситься широко поширена в Росії програма Adinf.

Програми-фільтри або "сторожа" являють собою невеликі резидентні

програми, призначені для виявлення підозрілих дій при роботі

комп'ютера, характерних для вірусів. Такими діями можуть бути:

спроби корекції файлів з розширеннями COM, EXE;

зміна атрибутів файла;

прямий запис на диск за абсолютною адресою;

запис в завантажувальні сектори диска;

завантаження резидентної програми.

При спробі якої-небудь програми зробити вказані дії "сторож" посилає

користувачу повідомлення і пропонує заборонити або дозволити відповідну

дію. Програми-фільтри вельми корисні, оскільки здатні виявити вірус на

самої ранній стадії його існування до розмноження. Однак, вони не "лікують"

файли і диски. Для знищення вірусів потрібно застосувати інші програми,

наприклад фаги.

Вакцини або иммунизаторы - це резидентні програми, що запобігають зараженню

файлів. Вакцини застосовують, якщо відсутні програми-лікарі, що "лікують" цей

вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує

програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус

буде сприймати їх зараженими і тому не впровадиться. У цей час

програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне

знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути

поширення вірусної епідемії на інші комп'ютери.

Головною зброєю в боротьбі з вірусами є антивірусні програми. Вони

дозволяють не тільки виявити віруси, в тому числі віруси, що використовують

різні методи маскування, але і видалити їх з комп'ютера. Остання операція

може бути досить складною і зайняти деякий час.

Існує декілька основоположних методів пошуку вірусів, які

застосовуються антивірусними програмами:

Сканування;

Евристичний аналіз;

Виявлення змін;

Резидентні монітори.

Антивірусні програми можуть реалізовувати всі перераховані вище методики, або

тільки деякі з них.

3.1. Сканування.

Сканування є найбільш традиційним методом пошуку вірусів. Воно

полягає в пошуку сигнатур, виділених з раніше виявлених вірусів.

Антивірусні програми-сканери, здатні видалити виявлені віруси, звичайно

називаються полифагами.

Недоліком простих сканерів є їх нездатність виявити поліморфні

віруси, що повністю міняють свій код. Для цього необхідно використати більш

складні алгоритми пошуку, що включають евристичний аналіз програм, що перевіряються.

Крім того, сканери можуть виявити тільки вже відомі і заздалегідь

вивчені віруси, для яких була визначена сигнатура. Тому

програми-сканери не захистять ваш комп'ютер від проникнення нових вірусів,

яких, до речі, з'являється по декілька штук в день. Як результат, сканери

застарівають вже в момент виходу нової версії.

3.2. Евристичний аналіз.

Евристичний аналіз часто використовується спільно зі скануванням для пошуку

і поліморфних вірусів, що шифруються. У більшості випадків евристичний аналіз

дозволяє також виявляти і раніше невідомі віруси. У цьому випадку, швидше

усього їх лікування буде неможливе.

Якщо евристичний аналізатор повідомляє, що файл або завантажувальний сектор,

можливо, заражений вірусом, ви повинні віднестися до цього з великою увагою.

Необхідно додатково перевірити такі файли за допомогою самих останніх версій

антивірусних програм сканерів або передати їх для дослідження авторам

антивірусних програм.

3.3. Виявлення змін.

Заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописує свій код

в файл, що заражається, змінює системні області диска і т. д. На виявленні таких

змін засновуються робота антивірусних програм-ревізорів.

Антивірусні програми-ревізори запам'ятовують характеристики всіх областей диска,

які можуть зазнають нападу вірусу, а потім періодично перевіряють їх.

У разі виявлення змін, видається повідомлення про те, що можливо на

комп'ютер напав вірус.

Потрібно враховувати, що не всі зміни викликані вторгненням вірусів. Так,

завантажувальний запис може зміниться при оновленні версії операційної системи, а

деякі програми записують всередині свого здійснимого файла дані.

3.4. Резидентні монітори.

Антивірусні програми, що постійно знаходяться в оперативній пам'яті комп'ютера і

відстежуючі всі підозрілі дії, що виконуються іншими програмами,

носять назву резидентних моніторів або сторожів. На жаль, резидентні

монітори мають дуже багато недоліків, які роблять цей клас програм

малопридатними для використання. Вони роздратовують користувачів великою

кількістю повідомлень, здебільшого що не має відношення до вірусного

зараження, внаслідок чого їх відключають.

4. Основні заходи по захисту від вірусів.

Для того, щоб не піддати комп'ютер зараженню вірусами і забезпечити

надійне зберігання інформації на дисках, необхідно дотримувати наступні правила:

оснастити комп'ютер сучасними антивірусними програмами, наприклад AVP,

Aidstest, Doctor Web, і постійно оновлювати їх версії;

перед ліченням з дискет інформації, записаної на інших комп'ютерах,

завжди перевіряти ці дискети на наявність вірусів, запускаючи антивірусні

програми;

при перенесенні на комп'ютер файлів в архівованому вигляді перевіряти їх відразу ж

після разархивации на жорсткому диску, обмежуючи область перевірки тільки знову

записаними файлами;

періодично перевіряти на наявність вірусів жорсткі диски комп'ютера, запускаючи

антивірусні программыдля тестування файлів, пам'яті і системних областей

дисків із захищеної від запису дискети, заздалегідь завантаживши операційну

систему із захищеної від запису системної дискети;

завжди захищати дискети від запису при роботі на інших комп'ютерах, якщо на

них не буде проводиться запис інформації;

обов'язково робити архівні копії на дискетах цінної інформації;

не залишати в кишені дисковода А дискети при включенні або перезавантаженні

операційної системи, щоб виключити зараження комп'ютера завантажувальними

вірусами;

використати антивірусні програми для вхідного контролю всіх файлів, що виконуються,

що отримуються з комп'ютерних мереж;

для забезпечення більшої безпеки застосування Aidstest і Doctor Web

необхідно поєднувати з повсякденним використанням ревізора диска Adinf, або

використати повний комплект антивіруса AVP.

4.1. Антивірусна профілактика.

Необхідно завжди мати системну дискету, створену на не зараженому

комп'ютері. На системну дискету треба записати останні версії антивірусних

программ-полифагов, таких як Aidstest, Doctor Web або Antiviral Toolkit Pro.

Крім антивірусних програм, на дискету корисно записати драйвери зовнішніх

пристроїв комп'ютера, наприклад драйвер пристрою читання компакт-дисків,

програми для форматування дисків - format і перенесення операційної системи -

sys, програму для ремонту файлової системи Norton Disk Doctor або ScanDisk.

Системна дискета буде корисна не тільки у разі нападу вірусів. Їй можна

скористатися для завантаження комп'ютера у разі пошкодження файлів операційної

системи.

Необхідно періодично перевіряти комп'ютер на зараження вірусами. Найкраще

вбудувати виклик антивірусної програми в файл конфігурації autoexec.bat, щоб

перевірка здійснювалася при кожному включенні комп'ютера. Виконувати перевірку не

тільки здійснимих файлів, що мають розширення COM, EXE, але також пакетних файлів

BAT і системних областей дисків.

Якщо в комп'ютері записано багато файлів, їх перевірка антивирусами-полифагами,

швидше усього, буде віднімати досить багато часу. Тому в багатьох випадках

переважніше для повсякденної перевірки використати програми-ревізори, а

нові і файли, що змінилися піддавати перевірці полифагами.

Практично всі ревізори у разі зміни системних областей диска (лавной

завантажувального запису і завантажувального запису) дозволяють відновити їх, навіть в тому

випадку якщо не відомо, який саме вірус їх заразив. Лікуючий модуль ADinf

Cure Module навіть дозволяє видаляти невідомі файлові віруси.

Практично всі сучасні антивіруси можуть правильно працювати навіть на

зараженому комп'ютері, коли в його оперативній пам'яті знаходиться активний вірус.

Однак перед видаленням вірусу все ж рекомендується заздалегідь завантажити

комп'ютер з системної дискети, щоб вірус не зміг перешкоджати лікуванню.

Коли проводиться завантаження комп'ютера з системної дискети, потрібно звернути

увагу на два важливих моменти.

По-перше, для перезавантаження комп'ютера треба використати кнопку Reset,

розташовану на корпусі системного блоку, або навіть тимчасово вимкнути його

живлення. Не використати для перезавантаження комбінацію з трьох відомих клавіш.

Деякі віруси можуть залишитися в пам'яті навіть після цієї процедури.

По-друге, перед перезавантаженням комп'ютера з дискети перевірити конфігурацію

дискової підсистеми комп'ютера і особливо параметри дисководів і порядок

завантаження операційної системи (олжна бути встановлена пріоритетне завантаження з

дискети), записану в энергонезависимой пам'яті. Існують віруси, що вправно

міняють параметри, записані в энергонезависимой пам'яті комп'ютера, внаслідок

чого комп'ютер завантажується із зараженого вірусом жорсткого диска, в той

час як оператор думає, що завантаження відбувається з чистої системної дискети.

Обов'язково перевіряти за допомогою антивірусних програм всі дискети і всі

програми, що поступають на ПК через будь-яких носіїв або через модем. Якщо

комп'ютер підключений до локальної мережі, необхідно перевіряти файли, отримані

через мережу від інших користувачів.

З появою вірусів, що розповсюджуються через макрокоманди текстового

процесора Microsoft Word і електронної таблиці Microsoft Excel, необхідно

особливо уважно перевіряти не тільки здійснимі файли програм і системні

області дисків, але також і файли документів.

Надто важливо постійно стежити за виходом нових версій вживаних антивірусних

коштів і своєчасно виконувати їх оновлення на системній дискеті і

комп'ютері; використати для відновлення заражених файлів і системних

областей диска тільки самі останні версії антивірусів.

5. Антивірусна програма AntiViral Toolkit Pro

для Windows 95 (Windows NT).

AVP представляє з себе повністю 32-юшок розрядний додаток, оптимізований

для роботи в популярному у всьому світі середовищі Microsoft Windows 95 (Windows NT) і

що використовує всі її можливості. AVP має зручний інтерфейс користувача,

характерний для Windows 95, велика кількість настройок, вибираних

користувачем, а також одну з самих великих в світі антивірусних баз, що

гарантує надійний захист від величезного числа самих різноманітних вірусів.

У ході роботи AVP сканує наступні області:

Оперативну пам'ять (DOS, XMS, EMS).

Файли, включаючи архівні і упакованих.

Системні сектори, вмісні Master Boot Record, завантажувальний сектор

(Boot-сектор) і таблицю разбиения диска (Partition Table).

AntiViral Toolkit Pro для Windows 95 має ряд особливостей, що характеризують його

роботу:

детектування і видалення величезного числа самих різноманітних вірусів, в тому

числі;

поліморфних або самошифрующихся вірусів;

стелс-вірусів або вирусов-невидимок;

нових вірусів для Windows 3.XX і Windows 95;

макро вірусів, що заражають документи Word і таблиці Excel;

сканування всередині упакованих файлів (модуль Unpacking Engine);

сканування всередині архівних файлів (модуль Extracting Engine);

сканування об'єктів на гнучких, локальних, мережевих і CD-ROM дисках;

евристичний модуль Code Analyzer, необхідний для детектування НЕВІДОМИХ

вірусів;

пошук в режимі надлишкового сканування;

перевірка об'єктів на наявність в них змін;

"AVP Monitor" - резидентний модуль, що знаходиться постійно в оперативній пам'яті

комп'ютера і що відстежує всі файлові операції в системі. Дозволяє

виявити і видалити вірус до моменту реального зараження системи загалом;

зручний інтерфейс користувача;

створення, збереження і завантаження великої кількості різних настройок;

механізм перевірки цілісності антивірусної системи;

могутня система допомоги;

AVP Центр Управління - програма-оболонка, що дозволяє організувати

ефективний антивірусний захист на ПК.

Опишемо деякі з них.

5.1. Механізм розпаковування модулів, що виконуються

(Unpacking Engine).

У цей час досить широко поширені утиліти упаковки файлів, що виконуються.

Вони записують упакований файл на диск зі спеціальним распаковщиком.

При виконанні такого файла цей распаковщик розпаковує програму,

що виконується в оперативну пам'ять і запускає її.

Уражені вірусом файли можуть бути компрессированы такими паковщиками так само,

як і неінфіковані. При скануванні звичайними антивірусними програмами

ураженим таким чином файли будуть визначатися як неінфіковані, оскільки

тіло вірусу упаковане разом з кодом програми.

Unpacking Engine розпаковує файли, створені найбільш популярними утилітами

упаковки: DIET, PKLITE, LZEXE і EXEPACK різних версій, у тимчасовий файл і

передає його на повторну перевірку. Якщо всередині упакованого файла виявлений

известныйвирус, то можливе його видалення. При цьому початковий файл заміняється

розпакованим і вилікуваним. Механізм розпаковування коректно працює і з

багато разів упакованими файлами.

Модуль розпаковування працює також з деякими версіями иммунизаторов (ограммы

захищаючі файли, що виконуються від зараження шляхом приєднання до них

контролюючих блоків) файлів (CPAV і F-XLOCK) і шифруючих програм (CryptCOM).

Модуль Unpacking Engine буде оновлюватися для нових паковщиков, шифрувальників і

иммунизаторов.

5.2. Механізм розпаковування з архівів

(Extracting Engine).

Проблема пошуку вірусів в архівованих файлах (ZIP, ARJ, LHA і RAR) стає

в даний момент, мабуть, однієї з самих насущних. Інфікований файл може

зачаїти на декілька місяців і навіть років, і швидко розповсюдитися при

неуважному поводженні з такими архівами. Особливу небезпеку представляють

архіви, що зберігаються на BBS.

З такою ситуацією успішно справляється механізм розпаковування з архівів Extracting

Engine. При скануванні архівів Extracting Engine розпаковує файли з архіву

по заданій масці у тимчасовий файл і передає його для перевірки основному

модулю. Після перевірки тимчасовий файл знищується.

Поточна версія Extracting Engine містить коди для розпаковування архівів формату

ARJ, ZIP, LHA, RAR існуючих версій.

ЗАУВАЖЕННЯ!

1. AVP не видаляє віруси з архівів, а тільки детектирует їх.

2. Extracting Engine не розпаковує архіви, захищені паролем.

AVP детектирует заражений файл, навіть якщо він зашифрований утилітою CryptCOM,

потім упакований PKLITE і записаний в архів програмою PKZIP.

5.3. Аналізатор коду

(Code Analyzer).

Аналізатор коду (евристичний сканер) перевіряє коди файлів і секторів по

різних гілках алгоритму програми, що сканується на наявність вирусоподобных

інструкцій і видає повідомлення, якщо виявлена комбінація команд, таких як

відкриття або запис в файл, перехоплення векторів переривань і т.д.

Звісно, цей алгоритм може давати помилкову срабатывания, як і будь-якої з подібних

евристичних алгоритмів, але він був протестирован на дуже великій кількості

файлів, і при цьому не було отримано жодного дійсно помилкового

спрацювання.

При скануванні коду Code Analyzer перевіряє багато гілок алгоритму програми

(включаючи декілька подуровней). Внаслідок цього AVP працює приблизно на 20%

повільніше при включеному Code Analyzer, чим при вимкненому. Але даний механізм

визначає біля 80% вірусів (включаючи багато які шифровані) з нашої колекції, і

ми розраховуємо, що нові невідомі віруси будуть визначатися з такою ж

імовірністю.

Повідомлення Code Analyzer:

Повідомлення видаються в форматі::

підозра на вірус типу TYPE - підозра на вірус, де "TYPE" є

одним з рядків:

Com - файл виглядає як заражений невідомим вірусом, що вражає COM файли;

Exe - файл виглядає як заражений невідомим вірусом, що вражає EXE файли;

ComExe - файл виглядає як заражений невідомим вірусом, що вражає файли

формату COM і EXE;

ComTSR, ExeTSR, ComExeTSR - файл виглядає як заражений невідомим резидентним

вірусом, що вражає файли формату COM, EXE, або COM і EXE файли;

Boot - файл/сектор виглядає як заражений невідомим boot-вірусом або як

инсталлятор boot-вірусу;

Trojan - файл виглядає як троянская програма;

5.4. Надлишкове сканування.

Надлишкове сканування - це механізм повного сканування що міститься

досліджуваних файлів замість стандартної обробки тільки "точок входу" (. е.)( тих

місць, де починається обробка програм системою).

Цей режим рекомендується використати, коли вірус не виявлений, але в роботі

системи продовжуються "дивні" вияви (астые "самостійні"

перезавантаження, уповільнення роботи деяких програм і інш.). У інших випадках

використання цього режиму не рекомендується, оскільки процес сканування

сповільнюється в декілька разів і збільшується імовірність помилкових срабатываний при

скануванні незаражених файлів.

5.5. AVP Monitor.

AVP Monitor являє собою резидентну антивірусну програму, яка

постійно знаходиться в оперативній пам'яті і контролює операції звернення до

файлів і секторів. Перш ніж дозволити доступ до об'єкта, AVP Monitor перевіряє

його на наявність вірусу. Таким чином він дозволяє виявити і видалити вірус до

моменту реального зараження системи.

Якщо при запуску програми в командному рядку указати спеціальний ключ /q, то

AVP Monitor запуститься в особливому режимі, при якому будуть заборонені наступні

дії користувача:

вивантаження програми з пам'яті (оманда "Вихід" в контекстному меню і кнопка

"Вивантажити AVP Monitor" у вкладці "Загальні" стануть недоступними);

вимкнення AVP Monitor (оманда "Вимкнути" в контекстному меню і встановлений

прапорець "Включити" у вкладці "Загальні" стануть недоступними);

зміна будь-яких настройок програми (це інші опції також будуть

недоступними).

У цьому режимі можна переглядати вкладку "Статистик", а також переглянути

встановлені опції, не змінюючи їх.

Головне вікно AVP Monitor містить 5 вкладок: "Загальні", "Об'єкти", "Дії",

"Настройки", "Статистика". Переміщаючись по вкладках і вибираючи потрібні опції, Ви

можете змінювати настройки програми.

Щоб всі зроблені Вами дії по вибору опцій набрали чинності, треба

натиснути кнопку "Застосувати"(в цьому випадку вікно AVP Monitor залишиться відкритим) або

кнопку "OK"(в цьому випадку вікно згорнеться в іконку) які знаходяться в нижній

частині вікна.

5.5.1. Вкладка "Загальні".

У верхній частині вкладки "Загальні" міститься різна інформація про програму

(омер версії, дата останнього оновлення і кількість відомих програмі

вірусів, реєстраційна інформація, інформація про розробників). Натиснувши кнопку

"Технічна підтримка", Ви отримаєте інформацію про канали, по яких

здійснюється технічна підтримка для легальних користувачів програми.

У нижній частині вкладки знаходиться прапорець "Включити", за допомогою якого можна

включати або вимикати монітор.

Кнопка "Вивантажити AVP Monitor" дозволяє завершити роботу програми.

5.5.2. Вкладка "Об'єкти".

Ця вкладка дозволяє вибирати типи файлів, які будуть перевірятися.

Ви можете вибрати один з типів файлів:

Програми по формату - перевіряти на наявність вірусу тільки програми, тобто

об'єкти, що мають внутрішній формат файлів, що виконуються, а також всі файли,

що має розширення:. BAT,. COM,. EXE,. OV*,. SYS,. BIN,. PRG,. VxD,. DLL,. OLE.;

Програми по розширенню - перевіряти всі файли, що виконуються, що мають розширення:

*.BAT, *.COM, *.EXE, *.OV*, *.SYS, і т.д.

Всі файли - перевіряти всі файли, незалежно від їх внутрішнього формату;

По масці - перевіряти файли по масках, що задаються користувачем. Маски треба

вписувати в полі введення через кому. Наприклад: *.EXE, *.COM, *.DOC.

5.5.3. Вкладка "Дії".

Вкладка "Дії" дозволяє задавати дії AVP Monitor при виявленні

зараженого об'єкта. Ви можете вибрати одну з наступних дій:

Запитувати користувача про дію - якщо Ви виберіть цю опцію, то

при кожній спробі звернення до зараженого об'єкта буде з'являтися синій екран,

вмісний інформацію про цей заражений об'єкт, ім'я вірусу і запит на лікування

об'єкта: "Спробувати видалити вірус?" Натисніть клавішу якщо Ви хочете вилікувати

об'єкт, або клавішу в іншому випадку;

при кожній спробі звернення до підозрілого об'єкта (сли включена опція

"Попередження" у вкладці "Настройки") або об'єкта, вмісному змінений або

пошкоджений вірус (сли включена опція "Аналізатор коду" у вкладці

"Настройки") буде з'являтися синій екран, вмісний інформацію про цей

об'єкт, ім'я вірусу (або тип вірусу) і запит: "Заборонити доступ до об'єкта?"

Натисніть клавішу якщо Ви хочете заборонити доступ, або клавішу в іншому

випадку;

Лікувати заражені об'єкти автоматично - лікування заражених об'єктів буде

проводитися автоматично, тобто без якого-небудь запиту;

Видаляти заражені об'єкти автоматично - всі заражені об'єкти будуть

автоматично віддалятися при зверненні до них. Якщо вибрати цю опцію, з'явиться

застережливе повідомлення: "Ви дійсно хочете видалити ВСІ заражені

об'єкти?" Натисніть кнопку "Так" для підтвердження дії, або кнопку "Немає" для

повернення в головне вікно AVP Monitor;

Заборонити доступ до об'єкта - доступ до заражених об'єктів буде заборонений.

5.5.4. Вкладка "Настройки".

Ця вкладка надає можливість підключення додаткових механізмів

пошуку вірусів, а також можливість створення файла звіту. Ви можете поставити

наступні прапорці:

Попередження - включити додатковий механізм перевірки. При цьому буде

виводитися застережливе повідомлення, якщо файл, що сканується або сектор містить

змінений або пошкоджений вірус, а також, якщо в пам'яті комп'ютера виявлена

підозріла послідовність машинних інструкцій;

Аналізатор коду - включити евристичний механізм "Code Analyzer", що дозволяє

виявляти нові, ще не відомі програмі віруси;

Файл звіту - створити файл звіту, в який буде заноситися інформація про

виявлені заражені об'єкти. У полі введення поруч з прапорцем треба указати ім'я

файла звіту (за умовчанням "Avpm_rep.txt ");

Обмеження розміру, Kb: - обмежити розмір файла звіту числом Кілобайт,

вказаних у відповідному полі введення (за умовчанням - 500 Kb).

5.5.5. Вкладка "Статистик".

У цій вкладці відображається (і динамічно оновлюється) інформація про кількість:

перевірених об'єктів;

інфікованих об'єктів;

попереджень;

підозр на вірус;

вилікуваних об'єктів;

видалених об'єктів;

а також наступна інформація:

Останній заражений об'єкт: - ім'я останнього зараженого об'єкта (

указаниемпути);

Ім'я останнього вірусу: назва останнього знайденого вірусу.

Останній перевірений об'єкт: - ім'я останнього перевіреного об'єкта (

вказівкою шляху);

5.6. Програма AVP Центр Управління.

Програма AVP Центр Управління входить до складу пакету антивірусних програм

AntiViral Toolkit Pro і виконує функції керуючої оболонки. Вона

призначена для організації установки і оновлення компонент пакету,

формування розкладу для автоматичного запуску задач, а також контролю

результатів їх виконання.

Можливість отримання зведеної інформації про склад встановлених компонент і їх

версіях полегшує спілкування користувача зі службою технічної підтримки

"Лабораторії Касперського" і дозволяє своєчасно ухвалити рішення про

необхідність оновлення. Використання функції автоматичного оновлення

забезпечує регулярне завантаження актуальних версій компонент і поповнення бази

даних інформацією про нові віруси.

За допомогою програми AVP Центр Управління Ви можете планувати запуск

антивірусних програм, вхідних до складу пакету. Тим самим підвищується

ефективність роботи і, в той же час, зберігається висока захищеність системи

від вірусів.

Можливість автоматичного запуску зовнішніх програм дозволяє використати AVP

Центр Управління і як традиційний планувальник задач. При цьому в

більшості випадків зникає необхідність у використанні інших коштів

автоматичного запуску, що веде до економії ресурсів комп'ютера. Крім того,

забезпечується точна взаємна синхронізація задач, пов'язаних з антивірусним

захистом системи і іншими задачами, що дозволяє уникнути конфліктів між

ними.

AVP Центр Управління - це програмна оболонка, призначена для запуску

різних задач (додатків). За допомогою цієї програми Ви можете запускати

додатки як вручну, так і автоматично по розкладу. Як задачі

виступають інші модулі пакету антивірусних програм: AVP Сканер, AVPМонитор і

Оновлення AVP.

5.7. Програма Оновлення AVP.

Програма Оновлення AVP входить до складу пакету антивірусних програм AntiViral

Toolkit Pro і призначена для автоматизованого оновлення бази даних, в

якій зберігається інформація про віруси, а також програмних компонент пакету.

Оновлення може здійснюватися через Internet з використанням постійного або

Dial Up підключення, або по локальній мережі.

У умовах великої корпоративної локальної мережі витрати часу і трафік

Internet можуть бути істотно скорочені за рахунок організації централізованого

оновлення. При цьому кожний користувач позбувається необхідності

самостійно завантажувати файли оновлення через Internet - ця задача

покладається на мережевого адміністратора, який вміщує їх в спеціально

відведений каталог на жорсткому диску одного з комп'ютерів локальної мережі

(наприклад, файлового сервера). У такому випадку потрібно настроїти програму

Оновлення AVP для оновлення через локальну мережу.

Для регулярного автоматичного оновлення зручно організувати запуск програми

Оновлення AVP по розкладу коштами програми AVP Центр Управління. Для

цього необхідно створити і настроїти задачу управління автоматичним

оновленням.

ВИСНОВОК.

У цей час для існує трохи десятків тисяч комп'ютерних вірусів і

їх число продовжує зростати. Тому слідує, з одного боку, чекати

поступового проникнення в Росію нових, більше за небезпечні і витончено написані

віруси, включаючи стелс-віруси, і з іншою - потоку порівняно простих, а

часто і безграмотно написаних вірусів внаслідок "вірусного вибуху" всередині

самої країни. Не треба думати, що еволюція вірусів піде тільки в

напрямі їх ускладнення. Досвід показав, що складність стелс-вірусів істотно

знижує їх життєздатність. Як відмічав С.Н.Паркинсон в одному з своїх

славнозвісних законів, "зростання означає ускладнення, а ускладнення - розкладання".

Мабуть, еволюція комп'ютерних вірусів буде йти відразу в декількох

напрямах, лише одним з яких є стелс-віруси.

Хоч загальна кількість вірусів велика, лежачі в їх основі ідеї порівняно

малочисленны і не так просто піддаються розширенню. Тому основною тенденцією,

що спостерігається в цей час, є не стільки поява нових типів

вірусів, скільки комбінування вже відомих ідей. Такі "гібриди", як

правило, виявляються небезпечніше базисних видів. Ще частіше спостерігається тенденція до

мінімальної модифікації одного з вірусів, що,

що приводить до утворення навколо "базисного" вірусу групи штамів, причому їх

кількість в деяких випадках перевищує десяток.

Додаток 1.

Win95.CIH (aka Чорнобиль).

Резидентний вірус, працює тільки під Windows95/98 і заражає РЕ-файли

(Portable Executable). Має досить невелику довжину - біля 1Кб. Був виявлений

"в живому вигляді" на Тайвані в червні 1998 - автор вірусу заразив комп'ютери в

місцевому університеті, де він (автор вірусу) в той час проходив навчання. Через

деякий час заражені файли були (випадково?) розіслані в місцеві

Інтернет-конференції, і вірус вибрався за межі Тайваню: за подальший тиждень

вірусні епідемії були зареєстровані в Австрії, Австралії, Ізраїлі і

Велікобретанії. Потім вірус був виявлений і в декількох інших країнах, включаючи

Росію.

Приблизно через місяць заражені файли були виявлені на декількох американських

Web-серверах, що розповсюджують ігрові програми. Цей факт, видимо, і послужив

причиною глобальної вірусної епідемії, що пішла. 26 квітня 1999 року

(приблизно через рік після появи вірусу) спрацювала "логічна бомба",

закладена в його код. За різними оцінками, в цей день по всьому світу постраждало

біля полумиллиона комп'ютерів - у них виявилися знищені дані на жорсткому

диску, а на деяких плюс до того зіпсовані мікросхеми на материнських платах.

Даний інцидент став справжньою комп'ютерною катастрофою - вірусні епідемії і їх

наслідки ніколи до того не були так масштабними і не приносили таких

збитків.

Видимо, по тих причинах, що 1) вірус ніс реальну загрозу комп'ютерам у всьому

світі і 2) дата спрацювання вірусу (26 квітня) співпадає з датою аварії на

Чорнобильській атомній електростанції, вірус отримав своє друге ім'я -

"Чорнобиль" (Chernobyl).

Автор вірусу, швидше всього, ніяк не зв'язував Чорнобильську трагедію зі своїм

вірусом і поставив дату спрацювання "бомби" на 26 квітня по зовсім іншій

причині: саме 26 квітня в 1998 році він випустив першу версію свого вірусу

(яка, до речі, так і не вийшла за межі Тайваню) - 26 квітня вірус "CIH"

відмічає подібним образом свій "день народження".

Автор вірусу не тільки випустив копії заражених файлів "на свободу", але і

розіслав початкові асемблерний тексти вірусу. Це привело до того, що ці тексти

були відкоректовані, відкомпілювати і невдовзі з'явилися модифікації вірусу,

що мали різні довжини, однак по функціональності вони всі відповідали

своєму "родителю". У деяких варіантах вірусу була змінена дата спрацювання

"бомби", або ця дільниця взагалі ніколи не викликалася.

Відомо також про "оригінальні" версії вірусу, що спрацьовують в дні, відмінні

від 26 [квітня]. Даний факт пояснюється тим, що перевірка дати в коді вірусу

відбувається по двох константах. Для того, щоб поставити таймер "бомби" на будь-який

заданий день, досить поміняти лише два байти в коді вірусу.

I-Worm.Haiku.

Вірус-черв'як, що розповсюджується по мережах Інтернет за допомогою електронної пошти.

Є 16-килобайтным PE ЕХЕ-файлом Windows. Передається по електронній пошті у

вигляді приєднаного до листів файла HAIKU.EXE. При запуску цього файла черв'як

отримує управління, інсталює себе в систему, виводить повідомлення-"обманку" і

завершує свою роботу. При наступному перезавантаженні Windows черв'як активізується

з своєї інстальованої в систему копії, залишається в пам'яті Windows як прихований

додаток і розсилає в Інтернет своикопии, приєднані до електронних

листів.

I-Worm.WinExt, aka Trit.

Зашифрований вірус-черв'як, що вражає комп'ютери під управлінням Windows.

Розповсюджує свої копії через Інтернет. На комп'ютер попадає у вигляді листа з

вкладеним ЕХЕ-файлом TRYIT.EXE, що є насправді кодом черв'яка. Цей файл

є 70-килобайтной програмою, що складається з двох частин: біля 50Kb -

безпосередньо код черв'яка (написаний на Visual З++) і 15-килобайтный код

расшифровщика, яким зашифрований основний код черв'яка.

Авіація і космонавтика
Автоматизація та управління
Архітектура
Астрологія
Астрономія
Банківська справа
Безпека життєдіяльності
Біографії
Біологія
Біологія і хімія
Біржова справа
Ботаніка та сільське господарство
Валютні відносини
Ветеринарія
Військова кафедра
Географія
Геодезія
Геологія
Діловодство
Гроші та кредит
Природознавство
Журналістика
Зарубіжна література
Зоологія
Видавнича справа та поліграфія
Інвестиції
Інформатика
Історія
Історія техніки
Комунікації і зв'язок
Косметологія
Короткий зміст творів
Криміналістика
Кримінологія
Криптологія
Кулінарія
Культура і мистецтво
Культурологія
Логіка
Логістика
Маркетинг
Математика
Медицина, здоров'я
Медичні науки
Менеджмент
Металургія
Музика
Наука і техніка
Нарисна геометрія
Фільми онлайн
Педагогіка
Підприємництво
Промисловість, виробництво
Психологія
Психологія, педагогіка
Радіоелектроніка
Реклама
Релігія і міфологія
Риторика
Різне
Сексологія
Соціологія
Статистика
Страхування
Будівельні науки
Будівництво
Схемотехніка
Теорія організації
Теплотехніка
Технологія
Товарознавство
Транспорт
Туризм
Управління
Керуючі науки
Фізика
Фізкультура і спорт
Філософія
Фінансові науки
Фінанси
Фотографія
Хімія
Цифрові пристрої
Екологія
Економіка
Економіко-математичне моделювання
Економічна географія
Економічна теорія
Етика

8ref.com

© 8ref.com - українські реферати


енциклопедія  бефстроганов  рагу  оселедець  солянка