Компютърни вируси
Компютърен вирус- Това малка програма, написана от висококвалифициран програмист, способен да се самовъзпроизвежда и да извършва различни деструктивни действия. Към днешна дата са известни над 50 хиляди компютърни вируса.
Има много различни версии относно датата на раждане на първия компютърен вирус. Повечето експерти обаче са съгласни, че компютърните вируси като такива се появяват за първи път през 1986 г., въпреки че исторически появата на вируси е тясно свързана с идеята за създаване на самовъзпроизвеждащи се програми. Един от "пионерите" сред компютърните вируси е вирусът "Brain", създаден от пакистански програмист на име Алви. Само в САЩ този вирус е заразил повече от 18 000 компютъра.
Вирусите работят само чрез софтуер. Те са склонни да се прикрепят към файла или да проникнат в тялото на файла. В този случай се казва, че файлът е заразен с вирус. Вирусът влиза в компютъра само заедно със заразения файл. За да активирате вируса, трябва да изтеглите заразен файл и едва след това вирусът започва да действа самостоятелно.
Някои вируси стават резидентни по време на изпълнението на заразен файл (пребивават постоянно в RAM паметта на компютъра) и могат да заразят други изтеглени файлове и програми.
Друг вид вирус веднага след активирането може да причини сериозни щети, като например форматиране HDD. Действието на вирусите може да се прояви по различни начини: от различни визуални ефекти, които пречат на работата, до пълна загуба на информация.
Основните източници на вируси:
дискета, съдържаща заразени с вируси файлове;
компютърна мрежа, включително система за електронна поща и интернет;
твърд диск, който е бил заразен с вирус в резултат на работа със заразени програми;
вирус, оставен в RAM от предишен потребител.
Основните ранни признаци на компютърна инфекция с вирус:
намаляване на количеството свободна RAM;
забавяне на зареждането и работата на компютъра;
неразбираеми (без причина) промени във файловете, както и промени в размера и датата на последната модификация на файловете;
грешки при зареждане операционна система;
невъзможността за запазване на файлове в правилните директории;
неразбираеми системни съобщения, музика и визуални ефектии т.н.
Признаци на активната фаза на вируса:
изчезване на файлове;
форматиране харддиск;
невъзможността за зареждане на файлове или операционната система.
Има много различни вируси. Условно те могат да бъдат класифицирани, както следва:
1) зареждащи вирусиили BOOT вируси заразяват зареждащите сектори на дисковете. Много опасни, те могат да доведат до пълна загуба на цялата информация, съхранена на диска;
2) файлови вирусифайловете са заразени. Разделят се на:
вируси, които заразяват програми (файлове с разширение .EXE и .COM);
макро вируси вируси, които заразяват файлове с данни, Например, Word документиили работни книги на Excel;
сателитните вируси използват имената на други файлове;
вирусите от семейството DIR изкривяват системна информацияотносно файловите структури;
3) вируси на стартиращи файловеспособен да заразява както кода на секторите за зареждане, така и кода на файловете;
4) невидими вирусиили STEALTH вирусите фалшифицират информацията, прочетена от диска, така че програмата, която е предназначена за тази информация, получава неправилни данни. Тази технология, понякога наричана Stealth технология, може да се използва както в BOOT вируси, така и във файлови вируси;
5) ретровирусизаразяват антивирусни програмиопит да ги унищожи или да ги направи недееспособни;
6) вируси на червеипредоставят малки имейл съобщения с така наречения хедър, който по същество е уеб адресът на местоположението на самия вирус. Когато се опитате да прочетете такова съобщение, вирусът започва да го чете глобална мрежаИнтернет има собствено "тяло" и след зареждане то започва разрушително действие. Много опасни, тъй като е много трудно да ги откриете, поради факта, че заразеният файл всъщност не съдържа кода на вируса.
Ако не вземете мерки за защита срещу компютърни вируси, последствията от заразяването могат да бъдат много сериозни. В редица държави наказателното законодателство предвижда отговорност за компютърни престъпления, включително въвеждането на вируси. За защита на информацията от вируси се използват общи и софтуерни средства.
Общите средства за предотвратяване на инфекцията с вируса и неговите опустошителни ефекти включват:
архивиране на информация (създаване на копия на файлове и системни области на твърди дискове);
отказ от използване на случайни и непознати програми. Най-често вирусите се разпространяват заедно с компютърни програми;
по-специално ограничаване на достъпа до информация физическа защитадискета, докато копирате файлове от нея.
Различни антивирусни програми (антивируси) се класифицират като защитен софтуер.
Антивирусна програмае програма, която открива и неутрализира компютърни вируси. Трябва да се отбележи, че вирусите в тяхното развитие изпреварват антивирусните програми, следователно, дори и в случай на редовно използване на антивируси, няма 100% гаранция за сигурност. Антивирусните програми могат да откриват и унищожават само известни вируси; когато се появи нов компютърен вирус, няма защита срещу него, докато не бъде разработен собствен антивирус за него. Много съвременни антивирусни пакети обаче включват специален софтуерен модул, наречен евристичен анализатор, който е в състояние да изследва съдържанието на файловете за наличие на код, характерен за компютърни вируси. Това дава възможност за своевременно откриване и предупреждение за опасността от заразяване с нов вирус.
Има следните видове антивирусни програми:
1)детекторни програми: предназначен за намиране на заразени файлове с един от известните вируси. Някои програми за откриване могат също така да третират файловете за вируси или да унищожат заразените файлове. Има специализирани, тоест детектори, предназначени да се справят с един вирус и полифаги, който може да се бори с много вируси;
2) лекарски програми: предназначен за дезинфекция на заразени дискове и програми. Лечението на програмата се състои в премахване на тялото на вируса от заразената програма. Те също могат да бъдат както полифаги, така и специализирани;
3) одиторски програми: предназначен за откриване на вирусна инфекция на файлове, както и за намиране на повредени файлове. Тези програми запомнят данни за състоянието на програмата и системните области на дисковете в нормално състояние (преди заразяване) и сравняват тези данни по време на работа на компютъра. Ако данните не съвпадат, се показва съобщение за възможността за инфекция;
4) съдебни лекари: предназначен да открива промени във файлове и системни области на дискове и в случай на промени да ги връща в първоначалното им състояние.
5) филтриращи програми: предназначен за прихващане на повиквания към операционната система, които се използват от вируси за възпроизвеждане и информиране на потребителя за това. Потребителят може да активира или деактивира съответната операция. Такива програми са резидентни, т.е. те се намират в RAM паметта на компютъра.
6) програми за ваксини: използва се за обработка на файлове и сектори за стартиране, за да се предотврати заразяване с известни вируси (този метод се използва все по-често напоследък).
Трябва да се отбележи, че изборът на една "най-добра" антивирусна програма е изключително погрешно решение. Препоръчително е да използвате няколко различни антивирусни пакета едновременно. Когато избирате антивирусна програма, трябва да обърнете внимание на такъв параметър като броя на разпознаващите подписи (последователност от знаци, които гарантирано разпознават вирус). Вторият параметър е наличието на евристичен анализатор на неизвестни вируси, присъствието му е много полезно, но значително забавя програмата.
Контролни въпроси
Какво е компютърен вирус?
Как вирусът заразява компютър?
Как работят компютърните вируси?
Какви източници на заразяване с компютърни вируси познавате?
Какви признаци могат да се използват за откриване на факта на заразяване с компютърен вирус?
Какви видове вируси познавате? Какви разрушителни действия извършват?
Какви стъпки се предприемат за предотвратяване на заразяване с компютърни вируси?
Какво представлява антивирусната програма? Какви видове антивируси познавате?
Какво е евристичен анализатор? Какви функции изпълнява?
КОМПЮТЪРНИ ВИРУСИ, ТЯХНАТА КЛАСИФИКАЦИЯ. АНТИВИРУСЕН СОФТУЕР
Компютърен вирус - това е специална програма, способна спонтанно да се присъединява към други програми и при стартирането на последните да изпълнява различни нежелани действия: увреждане на файлове и директории; изкривяване на резултатите от изчисленията; запушване или изтриване на паметта; пречи на компютъра. Наличието на вируси се проявява в различни ситуации.
- Някои програми спират да работят или започват да работят неправилно.
- На екрана се показват странични съобщения, сигнали и други ефекти.
- Производителността на компютъра се забавя значително.
- Структурата на някои файлове е повредена.
Има няколко признака за класификация на съществуващите вируси:
- по местообитание;
- от засегнатата област;
- според особеностите на алгоритъма;
- според метода на заразяване;
- разрушителен потенциал.
По местообитание се разграничават файлови, зареждащи, макро и мрежови вируси.
Файловите вируси са най-разпространеният тип вируси. Тези вируси се инжектират в изпълними файлове, създават придружаващи файлове (придружаващи вируси) или използват функции за организация на файловата система (вируси с връзки).
Зареждащите вируси се записват сами зареждащ сектордиск или към сектора за зареждане на твърдия диск. Те започват при зареждане на компютъра и обикновено стават резидентни.
Макро вирусите заразяват файлове на широко използвани пакети за обработка на данни. Тези вируси са програми, написани на езиците за програмиране, вградени в тези пакети. Най-широко използвани са макровирусите Microsoft приложенияофис.
Мрежовите вируси използват протоколите или командите на компютърните мрежи за своето разпространение и електронна поща. Основният принцип на мрежовия вирус е способността самостоятелно да прехвърля своя код на отдалечен сървър или работна станция. В същото време пълноценните компютърни вируси имат способността да работят отдалечен компютървашия код за изпълнение.
На практика съществуват различни комбинации от вируси – например вируси за зареждане на файлове, които заразяват както файлове, така и сектори за зареждане на диска, или мрежови макро вируси, които заразяват редактируеми документи и изпращат свои копия по имейл.
По правило всеки вирус заразява файлове на една или повече операционни системи. Много стартиращи вируси същофокусиран върху специфични формати за местоположението на системните данни в секторите за зареждане на дисковете. Според особеностите на алгоритъма се разграничават резидентни; вируси, стелт вируси, полиморфни вируси и др. Резидентните вируси могат да оставят своите копия в операционната система, да прихващат обработката на събития (например достъп до файлове или дискове) и в същото време да извикват процедури за заразяване на обекти (файлове или сектори). Тези вируси са активни в паметта не само докато заразената програма работи, но и след това. Резидентните копия на такива вируси са жизнеспособни, докато операционната система не се рестартира, дори ако всички заразени файлове са унищожени на диска. Ако резидентният вирус също може да се стартира и се активира при зареждане на операционната система, тогава дори форматирането на диска, ако този вирус присъства в паметта, не го премахва.
Макро вирусите също трябва да бъдат класифицирани като резидентни вируси, тъй като те постоянно присъстват в паметта на компютъра, докато заразеният редактор работи.
Стелт алгоритмите позволяват на вирусите напълно или частично да скрият присъствието си. Най-разпространеният стелт алгоритъм е да прихваща заявки на ОС за четене/запис на заразени обекти. В този случай стелт вирусите или временно лекуват тези обекти, или заместват неинфектирани части от информация на тяхно място. Отчасти стелт вирусите включват малка група макро вируси, които съхраняват основния си код не в макроси, а в други области на документа - в неговите променливи или в автоматичен текст.
Полиморфизмът (самошифроването) се използва за усложняване на процедурата за откриване на вируси. Полиморфните вируси са трудни за откриване вируси, които нямат постоянна част от кода. По принцип две проби от един и същи вирус не съвпадат. Това се постига чрез криптиране на основното тяло на вируса и модифициране на програмата за декриптиране.
При създаването на вируси често се използват нестандартни техники. Използването им трябва да направи възможно най-трудно откриването и премахването на вируса.
Разграничаване според начина на заразяване троянци, скрити помощни програми за администриране, предвидени вируси и др.
Троянците са кръстени на троянски коне. Целта на тези програми е да имитират някои полезни програми, нови версии на популярни помощни програми или допълнения към тях. Когато потребител ги напише на компютъра си, троянските коне се активират и извършват нежелани действия.
Различни троянски коне са скрити помощни програми за администриране. По своята функционалност и интерфейс те в много отношения напомнят системите за мрежово компютърно администриране, разработени и разпространявани от различни производители на софтуер. По време на инсталацията тези помощни програми сами инсталират скрита система на компютъра. дистанционно. В резултат на това има възможност за скрит контрол на този компютър. Внедрявайки основните алгоритми, помощните програми приемат, стартират или изпращат файлове без знанието на потребителя, унищожават информация, рестартират компютъра и т.н. Възможно е да използвате тези помощни програми за откриване и прехвърляне на пароли и друга поверителна информация, стартиране на вируси, унищожаване на данни.
Предвидените вируси са програми, които не могат да се репликират поради съществуващи грешки. Този клас включва и вируси, които се размножават само веднъж. След като са заразили който и да е файл, те губят способността за по-нататъшно възпроизвеждане чрез него.
Според разрушителните си способности вирусите се делят на:
- неопасни, чийто ефект е ограничен до намаляване свободна паметна диск, забавяне на компютъра, графики и звукови ефекти;
- опасно, което потенциално може да доведе до нарушения в структурата на файловете и неизправности на компютъра;
- много опасен, чийто алгоритъм конкретно включва процедури за унищожаване на данни и способността да се осигури бързо износване на движещи се части на механизми чрез влизане в резонанс и разрушаване на главите за четене / запис на някои твърди дискове.
За борба с вирусите има програми, които могат да бъдат разделени на основни групи: монитори, детектори, лекари, одитори и ваксини.
Програми за наблюдение(филтриращи програми) се намират резидентно в RAM на компютъра, прихващати информира потребителя за извиквания на ОС, които се използват от вируси за възпроизвеждане и причиняване на щети. Потребителят има възможност да разреши или откаже изпълнението на тези повиквания. Предимството на такива програми е способността да откриват неизвестни вируси. Използването на филтърни програми ви позволява да откривате вируси на ранен етап от заразяването на компютъра. Недостатъците на програмите са невъзможността за проследяване на вируси, които имат директен достъп до BIOS, както и вируси за зареждане, които се активират преди стартирането на антивируса при зареждане на DOS и често издаване на заявки за операции.
Програми-детекторите проверяват дали файловете и дисковете съдържат комбинация от байтове, специфични за даден вирус. Когато бъде намерен, се показва съответното съобщение. Недостатъкът е, че може да предпазва само от известни вируси.
Докторски програмивъзстановяване на заразени програми чрез премахване на тялото на вируса от тях. Обикновено тези програми са предназначени за специфични типове вируси и се основават на сравнение на последователността от кодове, съдържащи се в тялото на вируса, с кодовете на проверяваните програми. Докторските програми трябва да се актуализират периодично, за да получат нови версии, които откриват нови видове вируси.
Одиторски програмианализирайте промените в състоянието на файловете и системните области на диска. Проверете състоянието на сектора за зареждане и FAT таблицата; дължина, атрибути и време на създаване на файловете; кодове за контролна сума. Потребителят се информира за всички открити несъответствия.
Програмите за ваксини модифицират програмите и рисковете по такъв начин, че да не засягат работата на програмите, но вирусът, срещу който се прави ваксинацията, счита програмите или дисковете за вече заразени. Съществуващите антивирусни програми принадлежат предимно към хибридния клас (детектори-доктори, лекари-одитори и др.).
В Русия най-широко се използват антивирусните програми на Kaspersky Lab (Anti-IViral Toolkit Pro) и DialogScience (Adinf, Dr.Web). AntiViral Toolkit Pro (AVP) включва AVP скенер, AVP Monitor резидентен пазач, административна програма инсталирани компоненти. Център за управление и редица други. AVP Scanner, в допълнение към традиционното сканиране на изпълними файлове и файлове с документи, обработва бази данни за електронна поща. Използването на скенера ви позволява да откривате вируси в опаковани и архивирани файлове (незащитени с пароли). Открива и премахва макро, полиморфни, stele, троянски и неизвестни досега вируси. Това се постига например чрез използване на евристични анализатори. Такива анализатори симулират работата на процесора и анализират действията на диагностицирания файл. В зависимост от тези действия се взема решение за наличието на вирус.
Мониторът следи типични пътища за проникване на вируси, като операции за достъп до файлове и сектори.
AVP Control Center - сервизна обвивка, предназначена да зададе началния час на скенера, автоматична актуализациякомпонент на пакета и др.
Ако вашият компютър е заразен или се подозира, че е заразен с вирус, трябва:
- оценявайте ситуацията и не предприемайте действия, които водят до загуба на информация;
- рестартирайте ОС на компютъра. В този случай използвайте специална, предварително създадена и защитена от запис системна дискета. В резултат на това ще бъде предотвратено активирането на зареждащи и резидентни вируси от твърдия диск на компютъра;
- стартирайте наличните антивирусни програми, докато всички вируси бъдат открити и премахнати. Ако е невъзможно да премахнете вируса и ако във файла има ценна информация, архивирайте файла и изчакайте изхода нова версияантивирусна. След като приключите, рестартирайте компютъра си.
Недържавни образователна институциявисше професионално образование
Институт по икономика и предприемачество
НОУ "ИНЕП"
Задочна
ТЕСТ
По предмет
"Информатика"
Група ученици: М 11 КЗ.
Кепина Юлия А.
Научен ръководител:
Касаев Марат Борисович
Москва 2010 г
Въведение
1. Компютърни вируси
а) Какво е компютърен вирус?
б) Повредени и заразени файлове
1) Изпълними файлове
2) Операционна система за зареждане и основна зареждащ записхарддиск
3) Драйвери на устройства
4) ИНТЕРНЕТ вируси
4.1 Прикачени файлове
4.2 Троянски коне
4.3 HTML вируси
4.4 Java вируси
в) Вируси, които се променят файлова система
г) "Невидими" и самомодифициращи се вируси
1) "Невидими" вируси
2) Самомодифициращи се вируси
д) Какво могат и какво не могат да правят компютърните вируси
2. Основни методи за защита от компютърни вируси
а) действия при заразяване с компютърен вирус
б) Компютърно лечение
в) Превенция срещу заразяване с вируса
1) Копиране на информация и контрол на достъпа
2) Проверка на данни, идващи отвън
3) Подготовка на "ремонтен комплект"
4) Защита срещу зареждащи вируси
5) Периодична проверка за вируси
Заключение
Списък на източниците на информация
Въведение
Разделът „компютърни вируси“ в информационната преса в момента е буквално пълен с различни съобщения за появата на нови разновидности на вирусни инфекции (наричани по-нататък просто „вируси“). Но до такива съобщения винаги се рисуват реклами на активни и пасивни средства за борба с вирусите, дават се препоръки за предпазване от инфекция и смразяващи описания на последствията и симптомите на "болестта".
Разпространението на компютърни вируси стана толкова широко разпространено, че почти всеки потребител поне веднъж в живота си трябваше да се сблъска с вирус на компютъра си. Броят на известните вируси е хиляди (според експерти в момента има около 3 хиляди вируса), а хакерите непрекъснато пишат нови, утвърждавайки себе си в собствените си очи. Трябва да се отбележи, че този метод на самоутвърждаване силно наподобява навика да се пише по огради, който е много разпространен в определени среди. Но това е въпрос повече на етика, отколкото на технология. Борците с вируси са по петите на своите разработчици. Пазарът на антивирусен софтуер вече излиза на първо място по отношение на обема, поне що се отнася до броя на продадените софтуерни копия. Ето защо компаниите започнаха да включват антивирусни инструменти в софтуерни пакети или операционни системи.
1. Защита от компютърни вируси
а) Какво е компютърен вирус?
Компютърният вирус е специално разработена програма с малък размер, която може да се „приписва“ на други програми, файлове (т.е. да ги „заразява“), както и да извършва различни нежелани действия на компютър (изпращане на нежелани съобщения, повреждане на данни на дискове). , "запушват" компютърната памет, умножават и т.н.).
Програма, която съдържа вирус, се нарича "заразена". Когато се стартира такава програма, вирусът първо поема контрола. Той намира и "заразява" други програми, а също така извършва някои вредни действия (например поврежда файлове или таблицата за разпределение на файлове на диска, "замърсява" RAMи т.н.). За да се маскира вирус, действията за заразяване на други програми и причиняване на вреда може да не се извършват винаги, но, да речем, при определени условия. След като вирусът извърши нужните действия, той прехвърля контрола върху програмата, в която се намира, и работи по същия начин, както обикновено. Така външно работата на една заразена програма изглежда същата като на незаразена. Всички действия на вируса могат да се извършват доста бързо и без издаване на съобщения, така че е много трудно за потребителя да забележи, че нещо необичайно се случва на компютъра.
Докато сравнително малко програми са заразени на компютъра, наличието на вирус може да бъде почти незабележимо. След известно време обаче нещо странно започва да се случва на компютъра, например:
работата на компютъра се забавя значително;
някои файлове са повредени;
някои програми спират да работят или започват да работят неправилно;
на екрана (или принтера) се показват странични съобщения, символи и др.
До този момент, като правило, доста (или дори повечето) от програмите, които използвате, са заразени с вирус, а някои файлове и дискове са повредени. Освен това, заразените програми от вашия компютър може вече да са прехвърлени чрез дискети или през локална мрежа към компютрите на вашите колеги или приятели.
Някои видове вируси са още по-коварни. Първоначално те незабележимо заразяват голям брой програми или дискове, а след това причиняват много сериозни щети, например форматиране на твърд диск на компютър. И има вируси, които се опитват да се държат възможно най-незабележимо, но постепенно развалят данните на твърдия диск на компютъра. По този начин, ако не вземете мерки за защита от вируси, последствията от заразяването на вашия компютър могат да бъдат много сериозни.
За да бъде една вирусна програма невидима, тя трябва да е малка. Следователно, като правило, вирусите се пишат на асемблер. Някои автори на такива програми ги създават от злоба, други - от желание да "досадят" някого (например фирмата, която ги е уволнила) или от омраза към целия човешки род. Във всеки случай създадената вирусна програма може (потенциално) да се разпространи във всички компютри, съвместими с този, за който е написана, и да причини унищожение. Трябва да се има предвид, че писането на вирус не е толкова трудна задача, доста достъпна за студент по програмиране. Следователно всяка седмица в света се появяват все повече и повече нови вируси. И много от тях са "произведени" у нас и в други недостатъчно цивилизовани страни: България, Пакистан и т.н.
б) Повредени и заразени файлове
Компютърният вирус може да съсипе, т.е. модифицирайте по неподходящ начин всеки файл на дисковете, налични на компютъра. Но вирусът може да "зарази" някои видове файлове. Това означава, че вирус може да "инфилтрира" тези файлове, т.е. модифицирайте ги така, че да съдържат вирус, който при определени обстоятелства може да започне да работи. Трябва да се отбележи, че текстовете на програмите и старите версии на документи (така да се каже DOS версии) информационни файловебази данни, таблични процесори (DOS версии) и други подобни файлове не могат да бъдат заразени от вирус, той може само да ги развали.
Следните видове файлове могат да бъдат "заразени" от вирус:
1) Изпълними файлове
Изпълними файлове, т.е. файлове с разширения на имена COM и EXE, както и файлове с наслагване, заредени, когато други програми работят. Вирусите, които заразяват файлове, се наричат файлови вируси. Вирусът в заразените изпълними файлове започва своята работа при стартиране на програмата, в която се намира. Най-опасни са онези файлови вируси, които след стартиране остават резидентни в паметта. Тези вируси могат да заразят файлове и да причинят щети до следващото рестартиране на компютъра. И ако заразят някоя програма, стартирана от файла AUTOEXEC.BAT или CONFIG.SYS, тогава вирусът ще започне да работи отново, когато рестартирате от твърдия диск.
2) Зареждане на операционната система и главния запис за зареждане на твърдия диск
Вирусите, които заразяват тези области, се наричат зареждащи или развалини. Такъв вирус започва своята работа при първоначалното зареждане на операционната система и става резидентен, т.е. остава постоянно в паметта на компютъра. Механизмът за разпространение е заразяването на записите за зареждане, поставени в компютърните дискети. По правило такива вируси се състоят от две части, тъй като записите за зареждане са малки и е трудно да се постави цялата вирусна програма в тях. Частта от вируса, която не се побира в тях, се намира в друга част на диска, например в края на главната директория на диска или в клъстер в областта за данни на диска (обикновено такъв клъстерът е обявен за дефектен, така че вирусната програма да не се презаписва, когато данните се записват на диска).
3) Драйвери на устройства:
Драйвери на устройства, т.е. файлове, посочени в клаузата DEVICE на файла CONFIG.SYS. Вирусът в тях започва своята работа при всеки достъп до съответното устройство. Вирусите, които заразяват драйверите на устройства, са много редки, тъй като драйверите рядко се копират от един компютър на друг. Същото важи и за системни файлове DOS (MSDOS.SYS и IO.SYS) - заразяването им също е теоретично възможно, но е неефективно за разпространение на вируси.
4) ИНТЕРНЕТ вируси
Напоследък с увеличаване на броя на потребителите се появиха. Ето някои от разновидностите на тези вируси:
4.1 Прикачени файлове. Помислете за типична ситуация: вие сте получили електронна поща, който има документ на Microsoft WORD като прикачен файл. Разбира се, вие ще искате да се запознаете със съдържанието на файла възможно най-скоро, тъй като когато използвате най-модерните имейл програмиЗа да направите това, просто щракнете върху името на този файл.
И ТОВА Е ГРЕШНО!
Ако файлът съдържа макровирус (и вируси от този тип, които заразяват Microsoft документидума, Microsoft Excelи редица други популярни системи за управление на документи, които наскоро станаха много разпространени), той незабавно ще зарази вашата система. И така, какво да правим с вложения документ? Прекарайте няколко допълнителни секунди: запишете го на диск, проверете го с най-новата версия на антивирусната програма и едва тогава, ако няма вируси, го отворете. Има и други решения. Например, има антивирусни програми, които автоматично проверяват входящата електронна поща. Ако използвате програма за наблюдение, тогава определено ще получите предупреждение при отваряне на заразен файл (по-точно просто няма да ви бъде позволено да отворите заразения файл). В края на краищата пазачът е напълно безразличен дали отваряте документа директно или "изпод" пощенската програма.
4.2 Троянски коне. Известните троянски коне, които се разпространяват в интернет, са по същество помощни програми за отдалечено администриранекомпютър. Най-просто казано, чрез такава програма нападателят може да получи достъп до вашия компютър и да извърши различни операции върху него (почти всякакви) без ваше знание и участие.
Характерен представител на описания тип е програмата BASK ORIFICE (BO). BO е система за отдалечено администриране, която позволява на потребителя да управлява компютрите с помощта на конвенционална конзола или графична обвивка. „В локална мрежа или чрез Интернет VO предоставя на потребителя повече възможности за отдалечен компютър с WINDOWSотколкото има потребителят на този компютър" - това е текстът от "рекламната" реклама на една от хакерските уеб страници. Разбира се, възможността за дистанционно администриране на вашия компютър е сериозна опасност, но не толкова голяма, колкото изглежда на на пръв поглед Обикновените потребители прекарват малко време в мрежата (качеството на телефонните линии допринася за това) и какво е толкова "интересно" от гледна точка на хакер, което може да направи на вашия компютър? да работи със сървъра на доставчика. След като получи паролата, хакерът може лесно да "пропилее" всичките ви пари. За щастие има доста троянски коне, които могат да изпълняват тези функции и всички те се откриват успешно от антивирусни програми.
4.3 HTML вируси.Вирусите от този тип са рядкост, така че информацията за тях представлява по-скоро "академичен" интерес, отколкото практически. Изводът е следният: в самия език HTML, който се използва за маркиране на хипертекстови документи, вируси, разбира се, не могат да бъдат написани. Но за създаване на динамични страници, организиране на взаимодействие с потребителя и други действия се използват програмни вмъквания (скриптове) в HTML документи. Известните HTML вируси използват скриптове, написани на език ВИЗУАЛЕНОСНОВЕН. С тяхна помощ намиране на HTM и HTML файлове на локалната машина и писане в тях. Понякога такива вируси по някакъв начин се проявяват (например показват съобщения). Малкото разпространение на вируси от този тип (както и техният малък брой) се улеснява от факта, че когато настройките по подразбиранебраузър, изпълнението на "опасни" (те включват тези, в които достъпът до файлове локален компютър) скриптовете са забранени. Обикновените, "безопасни", скриптове не могат да извършват описаните манипулации.
4.4 Java вируси. В момента има два известни вируса, написани на езика JAVA. Те представляват малка или никаква опасност. Обяснете накратко какъв е смисълът: изпълними модулипрограмите, написани на JAVA (CLASS файлове) са два вида: приложения и аплети. Приложенията се изпълняват под контрола на интерпретатор и са почти обикновени програми (почти, защото все още имат някои ограничения, например в областта на работата с памет). Аплетите, за разлика от приложенията, могат да се изпълняват от браузъри, но те са обект на много по-сериозни ограничения за сигурност: по-специално аплетите нямат почти никакъв достъп до файловата система на компютъра (за разлика от скриптовете, деактивирайте това ограничениее невъзможно в браузър), следователно JAVA вирусите могат да бъдат проектирани само като приложения и не представляват заплаха за по-голямата част от потребителите. По правило всеки специфичен тип вирус може да зарази само един или два типа файлове. Най-често има вируси, които заразяват изпълними файлове. Някои вируси само заразяват EXE файлове, някои са само COM, а повечето са и двете. На второ място по разпространение са зареждащите вируси. Някои вируси заразяват както файловете, така и зоните за стартиране на диска. Вирусите, които заразяват драйверите на устройства, са изключително редки; обикновено такива вируси могат да заразят и изпълними файлове.
V) Вируси, които променят файловата система
Напоследък се разпространи нов тип вируси - вируси, които променят файловата система на диска. Тези вируси обикновено се наричат DIR. Такива вируси крият тялото си в някаква област на диска (обикновено - в последния дисков клъстер) и го маркират в таблицата за разпределение на файлове (FAT) като край на файла. За всички COM и EXE файлове указателите към първата секция на файла, съдържаща се в съответните записи в директория, се заменят с връзка към дисковата секция, съдържаща вируса, а правилният указател в кодирана форма е скрит в неизползваната част на запис в указателя. Следователно, когато се стартира която и да е програма, вирусът се зарежда в паметта, след което остава резидентен в паметта, свързва се с DOS програми за обработка на файлове на диска и генерира правилни връзки за всички достъпи до елементи на директория. Така, когато вирусът работи, файловата система на диска изглежда напълно нормална. Повърхностният преглед на заразен диск на "чист" компютър също не показва нищо странно. Дали само при опит за четене или копиране от заразена дискета програмните файловеот тях само 512 или 1024 байта ще бъдат прочетени или копирани, дори ако файлът е много по-дълъг. И когато стартирате изпълнима програма от диск, заразен с такъв вирус, този диск, като по магия, започва да изглежда здрав (нищо чудно, защото компютърът се заразява в този случай). Когато се анализира на "чист" компютър с помощта на програмите ChkDsk или NDD, файловата система на диск, заразен с DIR вирус, изглежда напълно повредена. Например, програмата ChkDsk произвежда куп съобщения за пресичане на файлове ("... кръстосано свързани в клъстер...") и вериги от изгубени клъстери ("... изгубени клъстери, намерени в... вериги"). Не трябва да коригирате тези грешки с програми ChkDsk или NDD - в този случай дискът ще бъде напълно повреден. За да поправите дискове, заразени с тези вируси, трябва да използвате само специални антивирусни програми (напр. най-новите версии Aidstest).
G) „Невидими“ и самомодифициращи се вируси
За да предотвратят откриването им, някои вируси използват доста хитри камуфлажни техники. Ще говоря за два от тях: "невидими" (Stealth) и самомодифициращи се вируси:
1) "Невидими" вируси
Много резидентни вируси (както файлови, така и зареждащи) предотвратяват откриването им чрез прихващане на DOS повиквания (и по този начин приложни програми) към заразени файлове и дискови области и ги връща в оригиналния им вид. Разбира се, този ефект се наблюдава само на заразен компютър - на "чист" компютър промените в областите за зареждане на диска могат лесно да бъдат открити. Имайте предвид, че някои антивирусни програми все още могат да открият "невидими" вируси дори на заразен компютър. Такива програми правят това, като четат диска, без да използват DOS услуги (например ADinf).
2) Самомодифициращи се вируси
Друг начин, който вирусите използват, за да се скрият от откриване, е да модифицират тялото си. Много вируси съхраняват по-голямата част от телата си в код, така че дизасемблерите да не могат да разберат как работят. Самомодифициращите се вируси използват тази техника и често променят параметрите на това кодиране, като освен това променят началната си част, която служи за декодиране на останалите команди на вируса.
По този начин в тялото на такъв вирус няма нито един постоянен низ от байтове, по които вирусът да може да бъде идентифициран. Това, разбира се, затруднява програмите за откриване да откриват такива вируси. Въпреки това, програмите-детектори все още се научиха да хващат "прости" самомодифициращи се вируси. При тези вируси вариантите на механизма за декриптиране на кодираната част на вируса се отнасят само до използването на определени компютърни регистри, константи за криптиране, добавяне на "незначителни" команди и т.н. И програмите за откриване са адаптирани да откриват команди в началната част на вируса, въпреки маскиращите промени в тях. Но наскоро се появиха вируси с изключително сложни механизми за самопромяна. При тях началната част на вируса се генерира автоматично по много сложни алгоритми: всяка смислена инструкция за дешифратор се предава от една от стотици хиляди възможни опции, докато се използват повече от половината от всички команди на Intel-8088. Проблемът с разпознаването на такива вируси все още не е получил надеждно решение.
Какво могат и какво не могат да направят компютърните вируси
Поради непознаване на механизма на компютърните вируси, както и под влияние на различни слухове и некомпетентни публикации в пресата, много потребители на компютри развиват своеобразен страх от вируси („вирусофобия“). Този комплекс има две проявления:
1. Тенденцията да се приписва повреда на данните или необичайно събитие на вируси. Например, ако "вирусофоб" не форматира дискета, тогава той обяснява това не с дефекти на дискетата или дисковото устройство, а с действието на вируси. Ако на твърдия диск се появи лош блок, тогава, разбира се, вирусите също са виновни. Всъщност необичайните явления в компютъра са по-често причинени от потребителски грешки, програми или хардуерни дефекти, отколкото от действието на вируси.
2. Преувеличени представи за възможностите на вирусите. Някои потребители смятат например, че е достатъчно да поставите заразена дискета в устройството, за да се зарази компютърът с вирус. Също така е широко разпространено мнението, че за компютри, които просто стоят в една и съща стая, заразяването на един компютър задължително незабавно води до заразяване на останалите.
Компютърът може да се зарази с вирус в един от следните случаи:
на компютъра е изпълнена заразена програма от типа COM или EXE или заразен наслагващ програмен модул (от типа OVR или OVL);
компютърът стартира от дискета, съдържаща заразен сектор за зареждане;
На компютъра е инсталирана заразена операционна система или заразен драйвер на устройство.
От това следва, че няма причина да се страхувате от заразяване на компютър с вирус, ако:
на незаразен компютър файловете се копират от една дискета на друга. Ако компютърът е "здрав", тогава нито той, нито копираните дискети няма да бъдат заразени с вирус. Единственият начин за предаване на вируса в тази ситуация е копирането на заразения файл: в този случай неговото копие, разбира се, също ще бъде "заразено", но нито компютърът, нито други файлове ще бъдат заразени;
2. Основни методи за защита от компютърни вируси
За защита срещу вируси можете да използвате:
общи средства за защита на информацията, които също са полезни като застраховка срещу физическа повреда на дискове, неправилно работещи програми или грешни потребителски действия; превантивни мерки за намаляване на вероятността от заразяване с вируса;
специализирани програми за защита от вируси.
Общите инструменти за защита на информацията са полезни за нещо повече от защита срещу вирус. Има два основни вида тези средства:
копиране на информация - създаване на копия на файлове и системни области на дискове;
контролът на достъпа предотвратява неоторизирано използване на информация, по-специално защита срещу промени в програми и данни от вируси, неизправни програми и грешни действия на потребителите.
Въпреки факта, че общите инструменти за информационна сигурност са много важни за защита срещу вируси, те все още не са достатъчни. Също така е необходимо да се използват специализирани програми за защита от вируси. Тези програми могат да бъдат разделени на няколко вида:
Програмите за откриване ви позволяват да откривате файлове, заразени с един от няколко известни вируса.
Докторските програми, или „фаги“, „лекуват“ заразени програми или дискове, като „отхапват“ тялото на вируса от заразените програми, т.е. възстановяване на програмата до състоянието, в което е била преди заразяването с вируса.
Одиторските програми първо запомнят информация за състоянието на програмите и системните области на дисковете и след това сравняват техните състояния с оригинала.
Ако бъдат открити несъответствия, потребителят се информира за това.
Докторите-одитори са хибриди на одитори и лекари, т.е. програми, които не само откриват промени във файлове и системни области на дискове, но също така могат автоматично да ги върнат в първоначалното им състояние в случай на промени.
Филтриращите програми се намират резидентно в RAM паметта на компютъра и прихващат тези повиквания към операционната система, които се използват от вирусите за възпроизвеждане и причиняване на вреда, и ги докладват на потребителя. Потребителят може да активира или деактивира съответната операция. Моля, обърнете внимание, че нито един тип антивирусен софтуер не може напълно да защити срещу вируси и следователно съвети като „вмъкнете команда за изпълнение на Aidstest в AUTOEXEC.BAT“ няма да са достатъчни.
Най-добрата стратегия за защита срещу вируси е цялостна многопластова защита:
Преди първия етап трябва да поставите детекторни програми, които ви позволяват да проверявате новополучените софтуерза наличие на вируси;
На първия етап се поставят филтърни програми, т.к те първи ще докладват за работата на вируса и ще предотвратят заразяване на програми и дискове;
На втория етап се поставят одитори и лекари: те ви позволяват да откривате вируси, които са „проникнали“ през първия етап, и след това да лекувате заразени програми, но имайте предвид, че те не винаги лекуват правилно и би било идеално да имам копие желаните програмиархивирани на дискети, защитени от запис.
Най-важният етап от защитата е контролът на достъпа, който не позволява проникнали вируси и неправилно работещи програми да повредят важни данни.
а) Стъпки, които трябва да предприемете при заразяване с компютърен вирус
Когато компютърът се зарази с вирус (или ако се подозира), важно е да следвате четири правила :
1. Първо, не бързайте и не вземайте прибързани решения: необмислените действия могат да доведат не само до загуба на някои файлове, които могат да бъдат възстановени, но и до повторно заразяване на компютъра.
2. Въпреки това, едно нещо, което трябва да направите незабавно, е да изключите компютъра, така че вирусът да не продължи разрушителните си действия.
3. Всички действия за откриване на последствията от заразяване и дезинфекция на компютъра трябва да се извършват само когато компютърът се рестартира от защитена от запис "референтна" дискета с операционната система.
В този случай трябва да използвате само програми (изпълними файлове), съхранени на дискети, защитени от запис. Неспазването на това правило може да доведе до много сериозни последствия, тъй като при рестартиране на DOS или стартиране на програма от заразен диск може да се активира вирус в компютъра и ако вирусът работи, лечението на компютъра ще бъде безсмислено, тъй като ще бъде придружено от допълнително заразяване на дискове и програми.
4. Ако нямате достатъчно знания и опит да се справите с компютър, помолете по-опитни колеги да ви помогнат. Ако използвате резидентна филтърна програма за защита срещу вирус, тогава наличието на вирус във всяка програма може да бъде открито на много ранен етап, когато вирусът не е имал време да зарази други програми и да повреди всички файлове. В този случай трябва да презаредите DOS от дискетата и да премахнете заразената програма, след което да пренапишете тази програма от главната дискета или да я възстановите от архива. За да разберете дали вирусът е повредил някои други файлове, трябва да стартирате програмата - одитор, за да проверите за промени във файловете, за предпочитане с широк списък от файлове за проверка. За да не продължите да заразявате компютъра по време на сканирането, трябва да стартирате изпълнимия файл на програмата за проверка, който се намира на дискетата.
б) Компютърно лечение
Нека разгледаме по-сложен случай, когато вирусът вече е успял да зарази или повреди някои файлове на дисковете на компютъра. В същото време експертите препоръчват следните действия:
1. Рестартирайте операционната система DOS системаот предварително подготвена мастер дискета. Тази дискета, подобно на други дискети, използвани за възстановяване на компютърна вирусна инфекция, трябва да има етикет за защита срещу запис (пет-инчови дискети) или отворена ключалка за защита срещу запис (три-инчови дискети), така че вирусът да не може да зарази или повредени файлове на тези дискети. Отбелязвам, че рестартирането не трябва да се извършва с помощта на "Alt+Ctrl+Del", тъй като някои вируси успяват да "оцелеят" след такова рестартиране.
2. Ако вашият компютър има програма за настройка на конфигурацията (за моделите IBM PC AT и PS/2 тя е винаги налична; често се извиква чрез натискане на определена клавишна комбинация по време на зареждане на компютъра), трябва да стартирате тази програма и да проверите дали настройките за конфигурация са правилни настройките за конфигурация на компютъра (те могат да бъдат повредени от вирус). Ако са инсталирани неправилно, те трябва да бъдат преинсталирани.
3. Самият процес на лечение е следният: Ако в архива има копия на всички необходими файлове на диска, най-лесният начин е да преформатирате диска и след това да възстановите всички файлове на този диск с помощта на архивирани копия . Да кажем, че дискът съдържа необходимите файлове, чиито копия не са в архива, например на диск D: тогава трябва да следвате следните инструкции:
Стартирайте детекторна програма за диска, която открива вируса, заразил компютъра (ако не знаете кой детектор открива този вирус, стартирайте всички налични детекторни програми последователно, докато една от тях открие вирус). В този случай е по-добре да не се установява режим на лечение. Ако програмата за откриване е открила стартиращ вирус, можете безопасно да използвате нейния режим на лечение, за да елиминирате вируса. Ако бъде открит DIR вирус, той също трябва да бъде премахнат с антивирусна програма, в никакъв случай с програми като NDD или ChkDsk за това.
Сега (когато е известно, че на диска няма вируси от тип DIR), можете да проверите целостта на файловата система и повърхността на диска с помощта на програмата NDD: "NDD D: / C". Ако повредата на файловата система е значителна, препоръчително е да копирате всички необходими файлове от диска, чиито копия не са в архива, на флопи дискове и да форматирате отново диска. Ако дискът има сложна файлова структура, тогава можете да опитате да го коригирате с помощта на програмата DiskEdit (от комплекса Norton Utilities).
Ако сте записали информация за файлове на диска за програмата за одитор, тогава е полезно да стартирате програмата за одитор, за да диагностицирате промените във файловете. Това ще определи кои файлове са били заразени или повредени от вируса. Ако програмата инспектор изпълнява и функциите на лекар, можете да й поверите възстановяването на заразени файлове.
Изтрийте всичко от диска Ненужни файлове, както и файлове, чиито копия се намират в архива. Тези файлове, които не са били модифицирани от вируса (това може да се инсталира с помощта на програмата за проверка), не е необходимо да се изтриват. В никакъв случай не трябва да оставяте COM и EXE файлове на диска, за които одиторската програма съобщава, че са променени. Тези COM- и EXE-файлове, за които не е известно дали са били модифицирани от вирус или не, трябва да се оставят на диска само когато е абсолютно необходимо.
5. Ако дискът, върху който работите, е системен диск (т.е. можете да стартирате операционната система DOS от него), тогава трябва да презапишете сектора за зареждане и файловете на операционната система върху него (това може да стане с командата SYS от комплекса DOS).
6. Ако вашият компютър е заразен с файлов вирус и не сте лекували с помощта на лекар-инспектор, трябва да стартирате програмата - лекар за лечение този диск. Заразените файлове, които лекарят не е успял да възстанови, трябва да бъдат унищожени. Разбира се, ако на диска останат само онези файлове, които не могат да бъдат заразени с вирус (например изходните текстове на програми и документи), тогава не е необходимо да стартирате програма за унищожаване на вируса за този диск.
7. Използвайки резервни копия, трябва да възстановите файловете, които са били на диска.
8. Ако не сте сигурни, че в архива няма заразени файлове и имате програма за откриване или унищожаване на вируса, заразил компютъра, тогава трябва да стартирате тази програма отново за диска. Ако на диска се открият заразени файлове, тогава тези, които могат да бъдат възстановени с помощта на програмата за премахване на вируси, трябва да бъдат копирани в архива, а останалите трябва да бъдат изтрити от диска и от архива.
Всички дискове, които могат да бъдат заразени или повредени от вирус, трябва да бъдат подложени на такава обработка. Ако имате добра антивирусна филтърна програма (например VSafe от комплекса DOS), препоръчително е да работите поне за известно време, просто като стартирате тази програма. Трябва също така да се има предвид, че често компютърът е заразен с няколко вируса наведнъж, следователно, след като неутрализирате един вирус, трябва да проверите всички дискове за наличието на друг.
в) Превенция срещу заразяване с вируса
Този раздел описва мерки, които могат да бъдат предприети, за да се намали шансът компютърът да се зарази с вирус и да се минимизират щетите от вирусна инфекция, ако такава се случи. Можете, разбира се, да не използвате всички описани средства за профилактика срещу заразяване с вируса, а само тези, които смятате за необходими.
Мерките за защита срещу вируси могат да бъдат разделени на няколко групи.
1) Копиране на информация и контрол на достъпа
1. Необходимо е да имате архивни или референтни копия на софтуера и пакетите с данни, които използвате и периодично да архивирате тези файлове, които сте създали или модифицирали. Преди да архивирате файлове, препоръчително е да ги проверите за липса на вируси с помощта на програма за откриване (например AidsTest). Важно е информацията да не се копира твърде рядко - тогава загубата на информация при нейното случайно унищожаване няма да бъде толкова голяма.2. Също така е препоръчително да копирате сектора с таблицата твърда раздяладиск, секторите за зареждане на всички логически дискове и съдържанието на CMOS (компютърна енергонезависима памет).Това може да стане с помощта на елемента "Създаване на спасителна дискета" на програмата DiskTool от пакета Norton Utilites. За да възстановите тези области, използвайте елемента "Възстановяване на спасителна дискета" от същия комплекс.3. Защитата срещу запис трябва да бъде зададена на дискети с файлове, които не трябва да се променят. Препоръчително е да създадете защитен от запис логически диск на твърдия диск и да поставите на него програми и данни, които не трябва да се променят.4. Не трябва да пренаписвате софтуер от други компютри (особено тези, които могат да бъдат достъпни от различни безотговорни лица), тъй като може да е заразен с вирус.
2) Проверка на данни, идващи отвън
1. Преди употреба всички дискети, донесени отвън, трябва да бъдат проверени за наличие на вирус с помощта на детекторни програми. Това е полезно дори ако искате да използвате само файлове с данни на тези дискети - колкото по-рано откриете вирус, толкова по-добре. За да проверите, можете да използвате програмата AidsTest.
Например, за да тествате дискета A:, въведете командата: AIDSTEST A: /S /G. Тук режимът /S задава бавна работа за търсене на повредени вируси, а режимът /G - проверява всички файлове на диска.2. Ако програмите, които носите, са архивирани на дискети, трябва да извлечете файловете от архива и да ги проверите веднага след това. Например, ако файловете са извлечени в директорията C:/TIME, тогава трябва да въведете командата: AIDSTEST C:TIME*.* /S /G.3. Ако програмите от архивите могат да бъдат извлечени само от инсталатора на програмния пакет, тогава трябва да инсталирате този пакет и веднага след това да рестартирате компютъра (отново не "Alt + Ctrl + Del", а "Reset") и да проверите записаните файлове на диск, както е описано по-горе. Препоръчително е да инсталирате само с активиран антивирусен филтърен софтуер (като Vsafe от комплекта MS-DOS).
3) Подготовка на "ремонтен комплект"
1. Трябва да подготвите системна дискета с версията на DOS, която използвате. Това може да стане с командата "FORMAT A: /S" или "SYSA:". На тази дискета (ако няма достатъчно място, тогава на други дискети) трябва да се копират следните програми:
DOS програми за поддръжка на дискове: Format, FDisk, Label, Sys и др.;
други често използвани програми за поддържане на файловата система на диска, като NDD, Disk Edit, Disk Tool, Calibrate, UnErase и др., включени в софтуерния пакет Norton Utilites 7.0;
програма за настройка на параметрите на компютърната конфигурация (такава програма може да се нарича SETUP, SETUP 1, AT SETUP и т.н.), ако такава програма е включена в софтуерния пакет, доставен с вашия компютър;
програми за разопаковане на всички видове архивни файлове, използвани от вас (и вашите колеги): PKUN ZIP, ARJ, LHA, RAR и др. Препоръчително е да поставите DOS командния процесор, файла COMMAND.COM, на всяка от тези дискети, така че при работа с тези дискети да не се появяват съобщения, които изискват да поставите дискета с файла COMMAND.COM.
На една от дискетите е желателно да копирате секторите за зареждане на твърдия диск и съдържанието на CMOS (енергонезависима памет) на компютъра, като използвате елемента "Създаване на спасителна дискета" на програмата DiskTool от Norton Utilites комплекс.
Добро решение би било да поставите цялостна програма на обвивката на DOS Navigator в "ремонтния комплект": тя съчетава много полезни функциисъс сравнително малко заето дисково пространство (около 670 Kb), например: всички видове файлови операции, DiskEdit, Format, Undelete (Reanimator), Find (търсене), Label, DiskCopy, Calculator, работа с архиви, много други (които е най-важното - удобно управление).
2. "Ремонтният комплект" трябва да включва и програми за откриване и унищожаване на различни компютърни вируси. Изберете програми, които се представят добре, са предназначени за широк спектър от вируси или вируси, които не се „хващат“ от други програми и са тествани, за да не съдържат самите вируси. Програмите за детектори трябва да се актуализират периодично (например програмата AidsTest се "актуализира" няколко пъти месечно). Нови вируси сега се появяват всяка седмица и когато използвате версии на програми, които са на шест месеца или една година, е много вероятно да се заразите с вирус, който тези програми не познават.3. На дискетите с "комплект за поправка" слотът за защита срещу запис трябва да бъде запечатан (на три-инчови дискети заключването за защита от запис трябва да бъде отворено), така че копираните файлове да не могат да бъдат случайно променени или повредени.
4) Защита срещу зареждащи вируси
1. На компютри, в които програмата за настройка на конфигурацията, съдържаща се в BIOS (извиквана при зареждане чрез натискане на определена комбинация от клавиши), ви позволява да деактивирате зареждането от флопи диск, препоръчително е да направите това, тогава не се страхувате от никакво зареждане вируси. На други компютри се уверете, че няма дискета в устройство A: преди да рестартирате от твърдия диск. Ако има дискета, отворете вратата на флопи диска, преди да рестартирате.
2. Ако искате да рестартирате компютъра си от дискета, използвайте само защитена от запис "референтна" дискета, съдържаща операционната система.
5) Периодично сканиране за вируси
1. Препоръчително е да вмъкнете изпълнимия префикс за дезинфекция ADInfExt в пакетния файл AUTOEXEC.BAT, след което, ако бъдат открити заразени файлове, програмата ADinf ще ви подкани да ги дезинфекцирате незабавно.
2. Много проста и надеждна проверка за наличие на резидентни вируси е проследяването на промените в картата памет на компютъра. Опитните потребители ще могат да напишат свои собствени пакетни файловеза автоматична проверка за резидентни вируси.
Заключение
Не трябва да позволявате на неоторизирани лица да работят на компютъра без надзор, особено ако имат собствени дискети. Феновете на компютърните игри са най-опасни - те са в състояние не само да не спазват никакви предпазни мерки срещу вируси, но и да игнорират всички предупреждения от антивирусни инструменти. Много често причината за заразяване на компютъра с вирус е игра, пренесена на дискета, която някой е играл 10-15 минути на компютър.
В случай, че е невъзможно да се избегне достъпът на случайни лица до компютъра (например в тренировъчен център), препоръчително е да поставите всички или почти всички програми, намиращи се на твърдия диск на компютъра, на логически диск, защитен от запис.
Невъзможно е да се страхувате от инфекция - трябва да се пазите от нея, да използвате умело антивирусни инструменти в работата си, да не пренебрегвате различни предупреждения на антивирусни програми, но също така не ги следвайте и не им вярвайте сляпо: в повече от 85% от случаите , необичайните действия са причинени не от действието на вируса, а от неправилни действия на потребителя или използваните програми. Може да се препоръча да се използват само програми, закупени във фирмените магазини на референтни дискети (естествено защитени от запис), но практиката показва, че абсолютното мнозинство няма да последва такъв съвет.
Списък на източниците на информация
Литературни публикации:
1. Сергей Молявко, Герхард Франкен: MS-DOS 6.0 за потребителя: - Киев: BHV Trade and Publishing Bureau, 1993.
2. Фигурнов V.E.: IBM PC за потребителя: - Уфа, PC "Дегтярев и син", НПО "Информатика и компютри", 1993 г.
3. Електронен журнал"Антивирусен преглед" Таралежи ", 1999 г
4. Приложение към вестник „Първи септември” – „Информатика”, брой 38, 1999 г.
Компютърни източници :
1. Антивирусен доктор Доктор Уеб(автор - И.А. Данилов).
3. MSAV (Microsoft Anti-Virus) антивирусен лекар от MS-DOS 6.22 (Microsoft).
4. VSafe антивирусен филтър от MS-DOS 6.22 (Microsoft).
5. Антивирусна лекарска програма Aids Test версия 1721 (автор - D.N. Lozinsky).
ВЪВЕДЕНИЕ
Живеем на границата на две хилядолетия, когато човечеството е навлязло в ерата на нова научно-техническа революция.
До края на двадесети век хората са усвоили много от тайните на трансформацията на материята и енергията и са успели да използват това знание, за да подобрят живота си. Но в допълнение към материята и енергията, друг компонент играе огромна роля в човешкия живот - информацията. Това е голямо разнообразие от информация, съобщения, новини, знания, умения.
В средата на нашия век се появяват специални устройства - компютри, насочени към съхраняване и преобразуване на информация, и се извършва компютърна революция.
Днес масовото използване на персонални компютри, за съжаление, се оказа свързано с появата на самовъзпроизвеждащи се вирусни програми, които предотвратяват нормална операциякомпютър, разрушавайки файловата структура на дисковете и повреждайки информацията, съхранявана в компютъра.
Въпреки законите, приети в много страни за борба с компютърните престъпления и развитието на специални програминови инструменти за защита от вируси, броят на новите софтуерни вируси непрекъснато нараства. Това изисква потребителят персонален компютърпознания за същността на вирусите, методите на заразяване и защита срещу вируси. Това беше стимулът да избера темата на моята работа.
За това говоря в есето си. Показвам основните видове вируси, разглеждам схемите на тяхното функциониране, причините за появата им и начините за проникване в компютъра, както и предлагам мерки за защита и превенция.
Целта на работата е да запознае потребителя с основите на компютърната вирусология, да научи как да открива вируси и да се бори с тях. Методът на работа е анализ на печатни публикации по тази тема. Пред мен стоеше трудна задача - да говоря за това, което е много малко проучено, а как се е случило - вие преценете.
1. КОМПЮТЪРНИ ВИРУСИ И ТЕХНИТЕ СВОЙСТВА
И КЛАСИФИКАЦИЯ
1.1. Свойства на компютърните вируси
Сега се използват персонални компютри, при които потребителят има свободен достъп до всички ресурси на машината. Това отвори възможността за опасността, която стана известна като компютърен вирус.
Какво е компютърен вирус? Официална дефиниция на това понятие все още не е измислена и има сериозни съмнения, че тя изобщо може да бъде дадена. Многобройните опити да се даде "модерна" дефиниция на вируса не бяха успешни. За да усетите сложността на проблема, опитайте се например да дефинирате понятието "редактор". Или ще измислите нещо много общо, или ще започнете да изброявате всички известни типове редактори. И двете едва ли могат да се считат за приемливи. Затова ще се ограничим до разглеждането на някои свойства на компютърните вируси, които ни позволяват да говорим за тях като за определен специфичен клас програми.
На първо място, вирусът е програма. Само едно такова просто твърдение може да разсее много легенди за необикновените възможности на компютърните вируси. Вирусът може да обърне изображението на вашия монитор, но не може да обърне самия монитор. Легендите за убийствените вируси, „унищожаващи операторите чрез показване на смъртоносна цветова схема на 25-ия кадър“, също не трябва да се приемат на сериозно. За съжаление, някои авторитетни издания от време на време публикуват "последните новини от компютърния фронт", които при по-внимателно разглеждане се оказват резултат от не съвсем ясно разбиране на темата.
Вирусът е програма, която има способността да се самовъзпроизвежда. Тази способност е единственото средство, присъщо на всички видове вируси. Но не само вирусите са способни на самовъзпроизвеждане. Всяка операционна система и много други програми могат да създават свои собствени копия. Копията на един и същи вирус не само не трябва да съвпадат напълно с оригинала, но може и да не съвпадат изобщо!
Вирусът не може да съществува в „пълна изолация“: днес е невъзможно да си представим вирус, който не използва кода на други програми, информация за файлова структураили дори само имената на други програми. Причината е ясна: вирусът трябва по някакъв начин да осигури предаването на контрол върху себе си.
1.2. Класификация на вирусите
Понастоящем са известни повече от 5000 софтуерни вируса, които могат да бъдат класифицирани според следните критерии:
среда на живот
¨ начин на замърсяване на околната среда
¨ въздействие
¨ характеристики на алгоритъма
В зависимост от местообитанието вирусите могат да бъдат разделени на мрежови, файлови, зареждащи и зареждащи файлове. Мрежови вирусиразпределени в различни компютърни мрежи. Файловите вируси се въвеждат главно в изпълними модули, тоест във файлове с разширения COM и EXE. Файлови вирусимогат да бъдат вградени в други типове файлове, но като правило, записани в такива файлове, те никога не получават контрол и следователно губят способността си да се възпроизвеждат. Зареждащи вирусиса вградени в сектора за зареждане на диска (Boot-sector) или в сектора, съдържащ програмата за зареждане системен диск(Master Boot Re-
шнур). Файл-зарежданевирусите заразяват както файловете, така и секторите за зареждане на диска.
Според начина на заразяване вирусите се делят на резидентни и нерезидентни. Резидентен вируспри инфектиране (заразяване) на компютър, той оставя резидентната си част в RAM, която след това прихваща достъпа на операционната система до обекти на заразяване (файлове, дискови зареждащи сектори и др.) и прониква в тях. Резидентните вируси се намират в паметта и остават активни, докато компютърът не бъде изключен или рестартиран. Нерезидентни вирусине заразяват компютърната памет и са активни за ограничено време.
Според степента на въздействие вирусите могат да бъдат разделени на следните видове:
¨ неопасни, които не пречат на работата на компютъра, но намаляват количеството свободна RAM и дискова памет, действията на такива вируси се проявяват във всякакви графични или звукови ефекти
¨ опасновируси, които могат да причинят различни проблеми с вашия компютър
¨ много опасен, чието въздействие може да доведе до загуба на програми, унищожаване на данни, изтриване на информация в системните области на диска.
2. ОСНОВНИ ТИПОВЕ ВИРУСИ
И СХЕМИ НА ТЯХНОТО ФУНКЦИОНИРАНЕ
Сред разнообразието от вируси могат да се разграничат следните основни групи:
¨ зареждане
¨ файл
¨ зареждане на файл
Сега по-подробно за всяка от тези групи.
2.1. Зареждащи вируси
Помислете за работата на много прост стартиращ вирус, който заразява флопи дискове. Умишлено заобикаляме всички многобройни тънкости, които неизбежно биха се сблъскали при строгия анализ на алгоритъма за неговото функциониране.
Какво се случва, когато включите компютъра си? Първо, контролът се прехвърля програма за стартиране, който се съхранява в памет само за четене (ROM), т.е. PNZ ROM.
Тази програма тества хардуера и, ако тестовете преминат успешно, се опитва да намери флопи диска в устройство A:
Всяка дискета е обозначена на т.нар. сектори и писти. Секторите се обединяват в клъстери, но това не е от съществено значение за нас.
Сред секторите има няколко сервизни, използвани от операционната система за собствени нужди (вашите данни не могат да бъдат поставени в тези сектори). Сред секторите на услугите все още ни интересува един – т.нар. bootstrap сектор(зареждащ сектор).
Секторът за първоначално зареждане съхранява информация на дискета- броя на настилките, броя на пистите, броя на секторите и т.н. Но сега не се интересуваме от тази информация, а от малка програма за стартиране(PNZ), който трябва да зареди самата операционна система и да й прехвърли контрола.
Така че нормалният модел на стартиране е както следва:
Сега помислете за вируса. При зареждащите вируси се разграничават две части – т.нар. главаи т.н. опашка. Опашката, най-общо казано, може да бъде празна.
Да предположим, че имате празна дискета и заразен компютър, под което имаме предвид компютър с активен резидентен вирус. Веднага след като този вирус открие, че в устройството се е появила подходяща жертва - в нашия случай дискета, която не е защитена от запис и все още не е заразена, той продължава да заразява. При заразяване на дискета вирусът извършва следните действия:
n разпределя определена област на диска и я маркира като недостъпна за операционната система, това може да стане по различни начини, в най-простия и традиционен случай секторите, заети от вирус, се маркират като лоши (лоши)
n копира своята опашка и оригиналния (здрав) зареждащ сектор в разпределената дискова област
n замества bootstrapper в (истинския) boot сектор с неговата глава
n организира трансферната верига според схемата.
По този начин главата на вируса вече е първата, която поема контрола, вирусът се инсталира в паметта и прехвърля контрола върху оригиналния зареждащ сектор. Във верига
PNZ (ROM) - PNZ (диск) - СИСТЕМА
появява се нов линк:
PNZ (ROM) - ВИРУС - PNZ (диск) - СИСТЕМА
Моралът е ясен: никога (случайно) не оставяйте дискети в устройство A.
Разгледахме работата на прост бутов вирус, който живее в секторите за зареждане на дискети. По правило вирусите могат да заразят не само секторите за зареждане на дискетите, но и секторите за зареждане на твърдите дискове. В този случай, за разлика от флопи дисковете, твърдият диск има два типа сектори за зареждане, съдържащи програми за зареждане, които получават управление. При зареждане на компютър от твърд диск, програмата за зареждане в MBR (Master Boot Record - Главен запис за зареждане) поема управлението първо. Ако вашият твърд диск е разделен на няколко дяла, тогава само един от тях е маркиран като стартиращ (boot). Програмата за зареждане в MBR намира дяла за зареждане на твърдия диск и прехвърля контрола на програмата за зареждане на този дял. Кодът на последния е същият като кода на програмата за зареждане, съдържаща се на обикновени дискети, а съответните сектори за зареждане се различават само в таблиците с параметри. По този начин има два обекта на атака на зареждащи вируси на твърдия диск - програма за стартиране вMBRИ елементарен изтегляния в boot сектора диск за зареждане.
2.2. Файлови вируси
Нека сега разгледаме как работи един прост файлов вирус. За разлика от стартиращите вируси, които почти винаги са резидентни, файловите вируси не са непременно резидентни. Нека разгледаме схемата на функциониране на нерезидентен файлов вирус. Да предположим, че имаме заразен изпълним файл. Когато се стартира такъв файл, вирусът поема контрола, извършва някои действия и прехвърля контрола на "главния" (въпреки че все още не е известно кой е господарят в такава ситуация).
Какви действия извършва вирусът? Той търси нов обект за заразяване - файл от подходящ тип, който все още не е заразен (в случай, че вирусът е „приличен“, в противен случай има такива, които заразяват веднага, без да проверяват нищо). Като заразява файл, вирусът се инжектира в неговия код, за да получи контрол, когато файлът се изпълнява. В допълнение към основната си функция - възпроизвеждане, вирусът може да направи нещо сложно (да речем, да попита, да играе) - това вече зависи от въображението на автора на вируса. Ако файловият вирус е резидентен, той ще се инсталира в паметта и ще получи способността да заразява файлове и да показва други способности не само докато заразеният файл работи. Като заразява изпълним файл, вирусът винаги променя своя код - следователно винаги може да бъде открита инфекция на изпълним файл. Но като промени кода на файла, вирусът не прави непременно други промени:
à не е длъжен да променя дължината на файла
à неизползвани части от кода
à не се изисква за промяна на началото на файла
И накрая, файловите вируси често включват вируси, които „имат нещо общо с файловете“, но не се изисква да навлизат в техния код. Нека разгледаме като пример схемата на функциониране на вируси от известното семейство Dir-II. Трябва да се признае, че след като се появиха през 1991 г., тези вируси предизвикаха истинска епидемия от чума в Русия. Помислете за модел, който ясно показва основната идея на вируса. Информацията за файловете се съхранява в директории. Всеки запис в директория включва име на файл, дата и час на създаване, някои Допълнителна информация, номер на първия клъстерфайл и др. резервни байтове. Последните са оставени "в резерв" и самата MS-DOS не се използва.
Когато изпълнява изпълними файлове, системата чете първия клъстер на файла от записа в директорията и след това всички останали клъстери. Вирусите от семейството Dir-II произвеждат следната "реорганизация" на файловата система: самият вирус се записва в някои свободни дискови сектори, които маркира като лоши. В допълнение, той съхранява информация за първите клъстери от изпълними файлове в резервни битове и записва препратки към себе си вместо тази информация.
По този начин, когато се стартира който и да е файл, вирусът получава контрол (операционната система го стартира сама), остава в паметта и прехвърля контрола върху извикания файл.
2.3. Вируси на стартиращи файлове
Няма да разглеждаме модела на вируса за стартиращ файл, защото в този случай няма да научите никаква нова информация. Но тук има възможност да обсъдим накратко изключително „популярния“ напоследък вирус за зареждащ файл OneHalf, който заразява основния зареждащ сектор (MBR) и изпълними файлове. Основното разрушително действие е криптирането на секторите на твърдия диск. Всеки път, когато се стартира, вирусът криптира още една част от секторите и след като криптира половината от твърдия диск, той радостно съобщава това. Основният проблем при лечението на този вирус е, че не е достатъчно само да премахнете вируса от MBR и файловете, необходимо е да дешифрирате информацията, криптирана от него. Най-"смъртоносното" действие е просто да пренапишете нов здрав MBR. Основното нещо - не се паникьосвайте. Претеглете всичко спокойно, консултирайте се с експерти.
2.4. Полиморфни вируси
Голяма част от въпросите са свързани с понятието "полиморфен вирус". Този тип компютърен вирус е най-опасният. Нека обясним какво представлява.
Полиморфните вируси са вируси, които променят кода си в заразени програми по такъв начин, че два екземпляра на един и същи вирус може да не съвпадат в един бит.
Такива вируси не само криптират своя код, използвайки различни пътища за криптиране, но също така съдържат кода за генериране на криптатора и декриптора, което ги отличава от обикновените вируси за криптиране, които също могат да криптират секции от своя код, но в същото време имат постоянен код на шифратора и декриптора.
Полиморфните вируси са вируси със самопроменящи се декодери. Целта на такова криптиране е, че ако имате заразен и оригинален файл, пак няма да можете да анализирате неговия код с помощта на конвенционално разглобяване. Този код е криптиран и представлява безсмислен набор от команди. Дешифрирането се извършва от самия вирус по време на изпълнение. В същото време са възможни варианти: той може да се декриптира наведнъж или може да извърши такова декриптиране "в движение", може отново да криптира вече разработени секции. Всичко това се прави с цел да се затрудни анализирането на вирусния код.
3. ИСТОРИЯ НА КОМПЮТЪРНАТА ВИРУЛОГИЯ
И ПРИЧИНИ ЗА ПОЯВАТА НА ВИРУСИТЕ
Историята на компютърната вирусология днес изглежда като постоянна „надпревара за лидер“ и въпреки пълната мощ на съвременните антивирусни програми, лидерите са вирусите. Сред хилядите вируси само няколко десетки са оригинални разработки, използващи наистина фундаментално нови идеи. Всички останали са "вариации на тема". Но всяко оригинално развитие принуждава създателите на антивируси да се адаптират към новите условия, да наваксат вирусната технология. За последното може да се спори. Например през 1989 г. американски студент успява да създаде вирус, който деактивира около 6000 компютъра на Министерството на отбраната на САЩ. Или епидемията от известния вирус Dir-II, която избухна през 1991 г. Вирусът използва наистина оригинален, фундаментално нова технологияи отначало успя да се разпространи широко поради несъвършенството на традиционните антивирусни инструменти.
Или избухването на компютърни вируси в Обединеното кралство: Кристофър Пайн успя да създаде вирусите Pathogen и Queeq, както и вируса Smeg. Последният беше най-опасен, можеше да се приложи към първите два вируса и поради това след всяко стартиране на програмата те промениха конфигурацията. Следователно те бяха невъзможни за унищожаване. За да разпространява вируси, Пайн копира компютърни игрии програми, зарази ги и след това ги изпрати обратно в мрежата. Потребителите изтеглят заразени програми на своите компютри и заразени дискове. Ситуацията се влоши от факта, че Пайн успя да вкара вируси в програмата, която се бори с тях. Пускайки го, потребителите вместо да унищожават вируси, получават друг. В резултат на това досиетата на много компании бяха унищожени, загубите възлизаха на милиони лири.
Американският програмист Морис е широко известен. Той е известен като създателят на вируса, който през ноември 1988 г. зарази около 7000 персонални компютъра, свързани с интернет.
Причините за появата и разпространението на компютърните вируси, от една страна, се крият в психологията на човешката личност и нейните сенчести страни (завист, отмъщение, суета на непризнати творци, неспособност за конструктивно прилагане на способностите им), от друга страна. от друга страна, поради липсата на хардуерна защита и противодействие от страна на операционната.персонални компютърни системи.
4. НАЧИНИ ЗА ПРОНИКВАНЕ НА ВИРУСИ В КОМПЮТЪР И МЕХАНИЗЪМ ЗА РАЗПРОСТРАНЕНИЕ НА ВИРУСНИ ПРОГРАМИ
Основните начини за проникване на вируси в компютъра са сменяемите дискове (флопи и лазерни), както и компютърни мрежи. Инфекция на твърдия диск с вируси може да възникне, когато програма се зареди от дискета, съдържаща вирус. Такава инфекция може да бъде и случайна, например, ако дискетата не е извадена от устройство A и компютърът е рестартиран, докато дискетата може да не е системна. Много по-лесно е да заразите дискета. Вирус може да попадне върху него, дори ако дискетата просто се постави в дисковото устройство на заразен компютър и например се прочете съдържанието.
Вирусът обикновено заразява работна програмапо такъв начин, че при стартирането му първо се предава управлението на него и едва след изпълнението на всички негови команди се връща отново в работната програма. След като получи достъп до контрол, вирусът първо се пренаписва в друга работеща програма и я заразява. След стартиране на програма, съдържаща вирус, става възможно заразяването на други файлове. Секторът за зареждане на диска и изпълнимите файлове, които имат EXE разширения, COM, SYS, BAT. Текстовите файлове са изключително рядко заразени.
След като зарази програмата, вирусът може да извърши някакъв вид саботаж, но не много сериозен, за да не привлече вниманието. И накрая, не забравяйте да върнете контрола на програмата, от която е стартирана. Всяко изпълнение на заразена програма прехвърля вируса на следващата. Така целият софтуер ще бъде заразен.
За да илюстрира процеса на инфекция компютърна програмакато вирус има смисъл да се оприличи дисковото хранилище на старомоден архив с папки на лента. Папките съдържат програми и последователността от операции за въвеждане на вирус в този случай ще изглежда така (вижте Приложение 1)
5. ПРИЗНАЦИ ЗА ВИРУСИ
Когато компютърът е заразен с вирус, е важно да го откриете. За да направите това, трябва да знаете за основните признаци на проява на вируси. Те включват следното:
¨ прекратяване на работа или неправилна работа на предишни успешно работещи програми
¨ бавна работа на компютъра
¨ невъзможност за зареждане на операционната система
¨ изчезване на файлове и директории или изкривяване на тяхното съдържание
¨ промяна на датата и часа на промяна на файловете
¨ преоразмеряване на файла
¨ неочаквано голямо увеличение на броя на файловете на диска
¨ значително намаляване на размера на свободната RAM памет
¨ показване на неочаквани съобщения или изображения на екрана
¨ подаване на непредвидени звукови сигнали
¨ чести замръзвания и компютърни сривове
Трябва да се отбележи, че горните явления не са непременно причинени от наличието на вируса, но могат да се дължат на други причини. Следователно винаги е трудно правилно да се диагностицира състоянието на компютъра.
6. ОТКРИВАНЕ НА ВИРУС И МЕРКИ ЗА ЗАЩИТА И ПРЕВЕНЦИЯ
6.1. Как да открием вирус? Традиционен подход
И така, определен писател на вируси създава вирус и го пуска в "живот". За известно време той може да се разхожда свободно, но рано или късно „лафа“ ще свърши. Някой ще се усъмни, че нещо не е наред. Обикновено се откриват вируси обикновени потребителикоито забелязват определени аномалии в поведението на компютъра. Те в повечето случаи не са в състояние сами да се справят с инфекцията, но това не се изисква от тях.
Необходимо е само вирусът да попадне в ръцете на специалисти възможно най-скоро. Професионалистите ще го проучат, ще разберат „какво прави“, „как работи“, „кога прави“ и т.н. В процеса на такава работа се събира цялата необходима информация за този вирус, по-специално сигнатурата на вируса е подчертано - поредица от байтове, която го определя доста ясно. За изграждане на сигнатура обикновено се вземат най-важните и характерни части от кода на вируса. В същото време стават ясни механизмите на действие на вируса, например при boot вирус е важно да се знае къде крие опашката си, къде се намира оригиналният boot сектор, а при един файл, как е заразен файлът. Получената информация ни позволява да разберем:
Как да открием вирус, за това са посочени методи за търсене на сигнатури в потенциални обекти на вирусна атака - файлове и / или сектори за зареждане
как да се неутрализира вирусът, ако е възможно, се разработват алгоритми за премахване на вирусния код от засегнатите обекти
6.2. Програми за откриване и защита от вируси
За откриване, премахване и защита срещу компютърни вируси са разработени няколко вида специални програми, които ви позволяват да откривате и унищожавате вируси. Такива програми се наричат антивирусен . Има следните видове антивирусни програми:
програми-детектори
програми-доктори или фаги
програмни одитори
филтриращи програми
програми за ваксини или имунизатори
Програми-детекториизвършете търсене за сигнатура, характерна за определен вирус в RAM и във файлове и, ако бъде открита, издайте подходящо съобщение. Недостатъкът на такива антивирусни програми е, че те могат да намерят само вируси, които са известни на разработчиците на такива програми.
Докторски програмиили фаги, и програми за ваксинине само намират заразени с вируси файлове, но и ги „лекуват“, т.е. тялото на вирусната програма се премахва от файла, връщайки файловете в първоначалното им състояние. В началото на работата си фагите търсят вируси в RAM, унищожават ги и едва след това пристъпват към „третиране“ на файлове. Сред фагите се разграничават полифагите, т.е. лекарски програми, предназначени да откриват и унищожават голям брой вируси. Най-известните от тях са: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Като се има предвид, че постоянно се появяват нови вируси, програмите за откриване и лекарските програми бързо остаряват и са необходими редовни актуализации.
Одиторски програмиса сред най-надеждните средства за защита срещу вируси. Одиторите запомнят първоначалното състояние на програмите, директориите и системните области на диска, когато компютърът не е заразен с вирус, и след това периодично или по искане на потребителя сравняват текущото състояние с първоначалното. Откритите промени се показват на екрана на монитора. По правило състоянията се сравняват веднага след зареждане на операционната система. При сравняване се проверяват дължината на файла, цикличният контролен код (контролна сума на файла), датата и часа на модификация и други параметри. Програмите за одитор имат доста усъвършенствани алгоритми, откриват стелт вируси и дори могат да изчистят промените във версията на проверяваната програма от промените, направени от вируса. Сред програмите-одитори е програмата Adinf, широко използвана в Русия.
Филтриращи програмиили "пазач"са малки резидентни програми, предназначени да откриват подозрителна компютърна активност, която е характерна за вирусите. Такива действия могат да бъдат:
Опит за коригиране на файлове с разширения COM, EXE
промяна на файловите атрибути
Директен запис на диск на абсолютен адрес
Записвайте в секторите за зареждане на диска
Когато някоя програма се опита да извърши посочените действия, "пазачът" изпраща съобщение до потребителя и предлага да забрани или разреши съответното действие. Програмите за филтриране са много полезни, тъй като са в състояние да открият вируса на най-ранния етап от съществуването му преди възпроизвеждането. Те обаче не "лекуват" файлове и дискове. За да унищожите вируси, трябва да използвате други програми, като фаги. Недостатъците на програмите за наблюдение включват тяхната "досада" (например те постоянно издават предупреждение за всеки опит за копиране на изпълним файл), както и възможните конфликти с друг софтуер. Пример за филтърна програма е програмата Vsafe, която е част от помощния пакет на MS DOS.
Ваксиниили имунизаториса резидентни програми, които предотвратяват заразяване на файлове. Ваксините се използват, ако няма лекарски програми, които "лекуват" този вирус. Ваксинирането е възможно само срещу известни вируси. Ваксината модифицира програмата или диска по такъв начин, че да не повлияе на тяхната работа, а вирусът ще ги възприеме като заразени и следователно няма да се вкорени. Понастоящем програмите за ваксини са с ограничено приложение.
Навременното откриване на заразени с вируси файлове и дискове, пълното унищожаване на откритите вируси на всеки компютър помага да се избегне разпространението на вирусна епидемия към други компютри.
6.3. Основни мерки за защита срещу вируси
За да не излагате компютъра си на вируси и да осигурите надеждно съхранение на информация на дискове, трябва да спазвате следните правила:
¨ оборудвайте компютъра си с актуални антивирусни програми, като Aidstest, Doctor Web, и постоянно актуализирайте техните версии
¨ преди да прочетете информация, съхранена на други компютри от дискети, винаги проверявайте тези дискети за вируси, като стартирате антивирусни програми на вашия компютър
¨ когато прехвърляте архивирани файлове на вашия компютър, проверете ги веднага след разархивирането им на вашия твърд диск, като ограничите областта за проверка само до новозаписани файлове
¨ Периодично сканирайте твърдите дискове на вашия компютър за вируси, като стартирате антивирусни програми, за да тествате файлове, памет и системни области на дискове от защитена от запис дискета, след зареждане на операционната система от защитена от запис системна дискета
¨ винаги защитавайте дискетите си от запис, когато работите на други компютри, ако няма да се записва информация
¨ не забравяйте да го направите архивни копияна дискети с ценна информация за вас
¨ не оставяйте дискети в джоба на устройство A, когато включвате или рестартирате операционната система, за да предотвратите заразяване на компютъра с вируси за стартиране
¨ използвайте антивирусни програми за входен контрол на всички изпълними файлове, получени от компютърни мрежи
¨ за да се осигури по-голяма сигурност, използването на Aidstest и Doctor Web трябва да се комбинира с ежедневното използване на дисковия одитор Adinf
ЗАКЛЮЧЕНИЕ
И така, можем да цитираме много факти, които показват, че заплахата за информационния ресурс нараства всеки ден, паникьосвайки отговорните лица в банки, предприятия и компании по целия свят. И тази заплаха идва от компютърни вируси, които изкривяват или унищожават жизненоважна, ценна информация, което може да доведе не само до финансови загуби, но и до човешки жертви.
Компютърен вирус - специално написана програма, която може спонтанно да се прикачва към други програми, да създава свои копия и да ги вгражда във файлове, области на компютърна система и компютърни мрежи, за да наруши програмите, да повреди файлове и директории и да създаде всякакви смущения в компютъра.
В момента са известни повече от 5000 софтуерни вируса, чийто брой непрекъснато нараства. Има случаи, когато уроци са създадени, за да помогнат при писането на вируси.
Основните видове вируси: зареждане, файл, зареждане на файл. Повечето опасна гледкавирусите са полиморфни.
От историята на компютърната вирусология става ясно, че всяка оригинална компютърна разработка принуждава създателите на антивируси да се адаптират към новите технологии, постоянно да подобряват антивирусните програми.
Причините за появата и разпространението на вирусите се крият от една страна в човешката психология, от друга страна, в липсата на защита в операционната система.
Основните начини за проникване на вируси са сменяемите устройства и компютърните мрежи. За да предотвратите това, вземете предпазни мерки. Също така са разработени няколко вида специални програми, наречени антивирусни програми, за откриване, премахване и защита срещу компютърни вируси. Ако все още откриете вирус в компютъра си, тогава според традиционния подход е по-добре да се обадите на професионалист, за да може той да го разбере допълнително.
Но някои свойства на вирусите озадачават дори експертите. Доскоро беше трудно да си представим, че вирус може да оцелее след студено рестартиране или да се разпространи чрез файлове с документи. При такива условия е невъзможно да не се придава значение поне на първоначалното антивирусно обучение на потребителите. Въпреки сериозността на проблема, никой вирус не е в състояние да причини толкова вреда, колкото един побелял потребител с треперещи ръце!
Така, здравето на вашите компютри, безопасността на вашите данни - във вашите ръце!
Библиографски списък
1. Информатика: Учебник / ред. проф. Н.В. Макарова. - М.: Финанси и статистика, 1997.
2. Енциклопедия на тайните и усещанията / Подг. текст Ю.Н. Петров. - Минск: Литература, 1996.
3. Безруков Н.Н. Компютърни вируси. - М.: Наука, 1991.
4. Мостовой Д.Ю. Съвременни технологииборба с вирусите // PC World. - № 8. - 1993 г.
Обучение
Нуждаете се от помощ при изучаването на тема?
Нашите експерти ще съветват или предоставят услуги за обучение по теми, които ви интересуват.
Подайте заявлениепосочване на темата точно сега, за да разберете за възможността за получаване на консултация.
Терминът "компютърен вирус" е използван за първи път от университета Лихай (САЩ) Фред Коен през 1984 г.
Компютърният вирус е едно от най-интересните явления, които могат да се наблюдават в резултат на развитието на компютърните и информационни технологии. Същността му се свежда до факта, че програмите придобиват свойствата, присъщи на живите организми: те се раждат, размножават се, умират.
Основното условие за съществуването на вируси е универсална интерпретация в изчислителни системи. Докато заразява програма, вирусът може да я интерпретира като данни, докато по време на изпълнение може да я интерпретира като изпълним код. Този принцип е в основата на всички съвременни компютърни системиизползвайки архитектурата на фон Нойман.
Компютърният вирус е малък, сложен, внимателно изработен и опасна програма, който може да се възпроизвежда сам, да се прехвърля на дискове и флашки, да се прикачва към програми, да се предава по мрежата, нарушавайки работата на компютъра. Понятието "компютърен вирус" е тясно свързано с такова понятие като сигнатура. Подписът е част от кода, който може да се намери във всички копия на вируса и само в тях. С други думи, сигнатурата е сигнатурата на вируса, която недвусмислено определя присъствието или отсъствието му в програмата.
Програма, която съдържа компютърен вирус, се нарича заразена.
Вирусът (вирусната програма) има следните свойства:
- Възможността да създавате свои собствени копия и да ги вграждате в други програмни обекти.
- Осигуряване на секретност (латентност) до определен момент от съществуването и разпространението му.
- Неупълномощаване (от страна на потребителя) на неговите действия.
- Наличието на негативни последици от функционирането му.
Действията на компютърните вируси могат да се проявят по различни начини:
- някои файлове се повреждат;
- програмите спират да работят или работят неправилно;
- На екрана на монитора се появяват непредвидени съобщения или символи;
- компютърът се забавя и т.н.
Някои вируси не се проявяват външно при стартиране и могат от време на време да заразяват други програми и да извършват нежелани действия на компютъра, например да изпращат поверителна информация на нападател. Други видове вируси, след като заразят програми и дискове, причиняват сериозни щети, например форматират твърдия диск и т.н., или заплашват да го направят, като изискват превеждане на пари за отключване.
Заразените програми от един компютър могат да бъдат прехвърлени с помощта на флашки, дискове, локални или глобални мрежи на други компютри.
Ако не вземете мерки за защита срещу компютърни вируси, последствията от заразяването на компютрите могат да бъдат сериозни. В редица страни наказателното законодателство предвижда отговорност за компютърни престъпления, включително въвеждането на вируси.
Първичното заразяване на компютър с вирус е възможно, когато:
- на компютъра работи заразена програма;
- ОС е заредена от флаш устройство или диск, съдържащ заразен сектор за зареждане;
- На компютъра е инсталирана заразена операционна система или драйвер на устройство;
- чрез локална и глобална мрежа и др.
Класификация на вирусите
Днес има стотици хиляди вируси.
Класификацията на вирусите се извършва по следните критерии:
- среда на живот;
- метод на заразяване;
- действие;
- характеристики на алгоритъма.
В зависимост от местообитанието вирусите могат да бъдат разделени на мрежови, файлови, зареждащи и зареждащи файлове. Мрежовите вируси се разпространяват чрез различни . Файловите вируси проникват главно в изпълними модули, има файлове с разширения EXE и др. Файловите вируси могат да проникнат и в други видове файлове, но като правило те се записват в такива файлове, никога не получават контрол и следователно губят способността си да се възпроизвеждат. Вирусите за зареждане проникват в сектора за зареждане на диска (Boot sector) или в сектора, съдържащ програмата за зареждане на системния диск (Master Boot Record). Вирусите за зареждане на файлове заразяват както файловете, така и секторите за зареждане на диска.
Според начина на заразяване вирусите се делят на резидентни и нерезидентни. Когато резидентен вирус инфектира (инфектира) компютър, той оставя резидентната си част в RAM, която след това прихваща извикванията на операционната система към заразени обекти (файлове, сектори за стартиране на диска и т.н.) и прониква в тях. Резидентните вируси се намират в паметта и остават активни, докато компютърът не бъде изключен или рестартиран. Нерезидентните вируси не заразяват компютърната памет и са активни за ограничен период от време.
Според степента на въздействие вирусите могат да бъдат разделени на следните видове:
- безопасни, тези, които не пречат на работата на компютъра, но намаляват количеството свободна RAM и дисково пространство; действията на такива вируси се проявяват във всякакви графични или звукови ефекти;
- опасни вируси, което може да доведе до различни неизправности в компютъра;
- много опасни, чието действие може да доведе до загуба на програми, унищожаване на данни, изтриване на информация в системните области на диска.
Известни са невидимите вируси, наречени стелт - вируси, които са много трудни за откриване и неутрализиране, тъй като те прихващат извикванията на операционната система към заразени файлове и дискови сектори и заместват незаразени дискови области вместо тяхното тяло. Най-трудно е да се идентифицират мутантни вируси, които съдържат алгоритми за криптиране и декриптиране, благодарение на които копията на един и същ вирус нямат нито една байтова верига, която да се повтаря. Съществуват и така наречените квазивирусни или "троянски" програми, които, въпреки че не могат да се саморазмножават, са много опасни, тъй като маскирайки се като полезна програма, унищожи сектора за зареждане и файловата система на диска.
Начини за защита срещу вируси
Една от основните последици от вирусите е загубата или повреждането на информация. Ето защо, за да се осигури стабилна и надеждна работа, е необходимо (или поне желателно) винаги да имате чисти, незаразени (референтни) копия на използваната информация и софтуер.
Общите средства включват:
- архивиране на информация (създаване на копия на файлове и системни области на дискове);
- диференциране на достъпа до информация (предотвратяване на неоторизирано използване на информация).
Софтуерът включва различни антивирусни програми, които са най-ефективни в борбата с компютърните вируси. Въпреки това, няма антивируси, които да гарантират 100% защита срещу вируси, тъй като всеки антивирусен алгоритъм винаги може да бъде контра-алгоритъм на вирус, който е невидим за тази антивирусна програма. Невъзможността за съществуването на абсолютна антивирусна програма беше доказана математически въз основа на теорията на крайните автомати, авторът на доказателството е Фред Коен.
Използването на специални антивирусни инструменти в повечето случаи позволява не само откриване на вирусна инвазия, но и бързо неутрализиране на откритите вируси и възстановяване на повредена информация.
Антивирусните програми са помощни програми, които ви позволяват да откривате вируси, да лекувате или премахвате заразени файлове и дискове, да откривате и предотвратявате подозрителни (специфични за вируса) действия.
Има много класификации на антивирусни програми. Нека разгледаме един от тях.
Класификация на антивирусните програми
| Тип антивирусна програма | Принцип на действие |
| Детектори | Откриване на файлове, заразени с един от известните вируси |
| Лекари (фаги) | „Лекувайте“ заразени програми или дискове, извличайте кода на вируса от заразените програми, тоест възстановявайте програмата до състоянието, в което е била преди заразяването на вируса |
| одитори | Първо се съхранява информация за състоянието на програмите и системните области на дисковете, а след това и след това състоянието им се сравнява с оригиналното. Ако се установи несъответствие, докладвайте. |
| Филтри | Те се зареждат резидентно в RAM, прихващат тези обаждания към системата, които се използват от вируси за размножаване и причиняване на вреда, и ги докладват. Можете да активирате или деактивирате тази операция. |
Сред популярните и ефективни антивирусни софтуерни системи са:
- Kaspersky Anti-Virus - AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
- Avast (http://www.avast.ru)
- DoctorWeb (http://www.drweb.ru)
- NOD 32 http://www.esetnod32.ru;
- Norton Antivirus;
- Symantec AntiVirus и др.
| Повече ▼ надеждна защитадайте онези антивирусни програми, чиито версии се актуализират постоянно.
Премахване на шпионски софтуер
Има и друга категория злонамерен софтуер (софтуер), който е много по-малко познат от вирусите (но в никакъв случай не по-малко опасен) поради спецификата на работата си - програми за шпиониране на действията на потребителите. Такива програми (шпионски софтуер), като правило, се доставят заедно с тези, които се разпространяват чрез Интернет безплатнопрограми или автоматично инсталирани на компютър по време на сърфиране в мрежата.
Шпионският софтуер се определя като софтуер, който ви позволява да събирате информация за потребител или организация без тяхно знание. Рекламен софтуер (от реклама - реклама) - програмен код, без знанието на потребителя, въведени в софтуера с цел показване на реклами.
Според New Scientist 5,1% от свързаните с интернет компютри в света имат програмен код на твърдия си диск, предназначен за неоторизирано събиране конфиденциална информацияи/или показване на непоискани реклами чрез изскачащи прозорци на браузъра.
Според данни, получени от изследователи от Университета на Вашингтон в хода на наблюдение на разпространението само на четири шпионски софтуера (Gator, Cydoor, SaveNow, eZula) на компютри в кампуса, 5,1% от компютрите са имали софтуер за проследяване на потребителските дейности, а 69% всички отделите и офисите на университета разполагат с поне един компютър, на който е инсталиран шпионски софтуер.
Най-малко две от тези програми - Gator и eZula - позволяват на нападателя не само да събира информация, но и да контролира компютъра на някой друг.
Програма, предназначена за намиране и премахване на шпионски софтуер, сканира RAM паметта, файловете на твърдия диск и идентифицира шпионския софтуер и изпълняваните злонамерени процеси в тях. Регистърът на операционната система също се сканира. Ако в регистъра бъде намерен запис, който е инсталиран от злонамерена програма, той се изтрива. Възможно е да актуализирате базата данни за антишпионски софтуер през Интернет. Ако бъде открит шпионски софтуер, програмата предлага да ги премахне всички или избирателно. За да се предотврати случайно изтриване на желания файл или запис в системния регистър, е осигурена функция за възстановяване (автоматично се създават резервни копия на данни за това). Всеки потребител, който работи на компютър, трябва да има такава програма.
Следете събитията последните години, може да се каже, че шпионският софтуер, заедно с компютърните вируси, се превърна в глобален онлайн бич. По този начин, според EarthLink, 90% от всички компютри, свързани с интернет, са заразени с такъв софтуер. Общо бяха открити 29500000 шпионски софтуер, средно 28 на компютър. Напълно възможно е в бъдеще границата между трите компонента (шпионски софтуер, вируси и спам) на тъмната страна на Интернет да бъде напълно изтрита и вече няма да се бори с поредица от различни помощни програми, а един унифициран софтуерен пакет.
Важни изводи:
- Антивирусната защита винаги ще бъде актуална.
- Антивирусната защита трябва да бъде обмислена, изчерпателна и систематична.
- Антивирусните бази данни трябва постоянно да се актуализират.
- Вероятността от заразяване с компютърни вируси се намалява при използване на няколко антивирусни програми едновременно.
- Цената на антивирусната защита не е прекомерна.
Зареждане...