Computer Virus
Computer Virus- Das kleines Programm, geschrieben von einem hochqualifizierten Programmierer, der sich selbst replizieren und verschiedene destruktive Aktionen ausführen kann. Bis heute sind über 50.000 Computerviren bekannt.
Über das Geburtsdatum des ersten Computervirus gibt es viele unterschiedliche Versionen. Die meisten Experten sind sich jedoch einig, dass Computerviren als solche erstmals 1986 auftauchten, obwohl die Entstehung von Viren historisch eng mit der Idee verbunden ist, sich selbst replizierende Programme zu erstellen. Einer der „Pioniere“ unter den Computerviren ist der „Brain“-Virus, der von einem pakistanischen Programmierer namens Alvi entwickelt wurde. Allein in den USA hat dieser Virus mehr als 18.000 Computer infiziert.
Viren funktionieren nur per Software. Sie neigen dazu, sich an die Akte anzuheften oder den Hauptteil der Akte zu infiltrieren. In diesem Fall soll die Datei mit einem Virus infiziert sein. Der Virus dringt nur zusammen mit der infizierten Datei in den Computer ein. Um den Virus zu aktivieren, müssen Sie eine infizierte Datei herunterladen, und erst danach beginnt der Virus von selbst zu handeln.
Einige Viren werden während der Ausführung einer infizierten Datei resident (bleiben dauerhaft im Arbeitsspeicher des Computers) und können andere heruntergeladene Dateien und Programme infizieren.
Ein anderer Virustyp kann unmittelbar nach der Aktivierung schwere Schäden verursachen, z. B. Formatierung Festplatte. Die Wirkung von Viren kann sich auf unterschiedliche Weise manifestieren: von verschiedenen visuellen Effekten, die die Arbeit beeinträchtigen, bis hin zu einem vollständigen Informationsverlust.
Die Hauptquellen von Viren:
Diskette mit vireninfizierten Dateien;
Computernetze, einschließlich E-Mail-System und Internet;
eine Festplatte, die durch die Arbeit mit infizierten Programmen mit einem Virus infiziert wurde;
ein Virus, der von einem früheren Benutzer im RAM zurückgelassen wurde.
Die wichtigsten frühen Anzeichen einer Computerinfektion mit einem Virus:
Reduzieren der Menge an freiem RAM;
Verlangsamung des Ladens und des Betriebs des Computers;
unverständliche (grundlose) Änderungen an Dateien sowie Änderungen der Größe und des Datums der letzten Änderung von Dateien;
Ladefehler Betriebssystem;
die Unfähigkeit, Dateien in den richtigen Verzeichnissen zu speichern;
unverständliche Systemmeldungen, Musik u visuelle Effekte usw.
Anzeichen der aktiven Phase des Virus:
Verschwinden von Dateien;
Formatierung Festplatte;
die Unfähigkeit, Dateien oder das Betriebssystem zu laden.
Es gibt viele verschiedene Viren. Herkömmlicherweise können sie wie folgt klassifiziert werden:
1) Boot-Viren oder BOOT-Viren infizieren die Bootsektoren von Festplatten. Sehr gefährlich, sie können zum vollständigen Verlust aller auf der Festplatte gespeicherten Informationen führen;
2) Dateiviren Dateien sind infiziert. Sind geteilt in:
Viren, die Programme infizieren (Dateien mit der Erweiterung .EXE und .COM);
Makroviren Viren, die infizieren Datei, Zum Beispiel, Word-Dokumente oder Excel-Arbeitsmappen;
Satellitenviren verwenden die Namen anderer Dateien;
Viren der DIR-Familie verzerren System Informationüber Dateistrukturen;
3) Boot-Datei-Viren kann sowohl den Code von Bootsektoren als auch den Code von Dateien infizieren;
4) unsichtbare Viren oder STEALTH-Viren verfälschen die vom Datenträger gelesenen Informationen, so dass das für diese Informationen bestimmte Programm falsche Daten erhält. Diese Technologie, manchmal auch als Stealth-Technologie bezeichnet, kann sowohl in BOOT-Viren als auch in Dateiviren verwendet werden;
5) Retroviren infizieren Antivirus-Programme der Versuch, sie zu zerstören oder außer Gefecht zu setzen;
6) Wurmviren Versehen Sie kleine E-Mail-Nachrichten mit einem sogenannten Header, der im Wesentlichen die Webadresse des eigentlichen Virenstandorts ist. Wenn Sie versuchen, eine solche Nachricht zu lesen, beginnt der Virus mit dem Lesen globales Netzwerk Das Internet hat seinen eigenen "Körper" und startet nach dem Laden eine zerstörerische Aktion. Sehr gefährlich, da es sehr schwierig ist, sie zu erkennen, da die infizierte Datei den Virencode nicht wirklich enthält.
Wenn Sie keine Maßnahmen zum Schutz vor Computerviren ergreifen, können die Folgen einer Infektion sehr schwerwiegend sein. In einer Reihe von Ländern sieht das Strafrecht eine Haftung für Computerkriminalität vor, einschließlich des Einschleusens von Viren. Allgemeine und Software-Tools werden verwendet, um Informationen vor Viren zu schützen.
Zu den gängigen Mitteln, um eine Infektion mit dem Virus und seinen verheerenden Auswirkungen zu verhindern, gehören:
Sichern von Informationen (Erstellen von Kopien von Dateien und Systembereichen von Festplatten);
Weigerung, zufällige und unbekannte Programme zu verwenden. Meistens werden Viren zusammen mit Computerprogrammen verbreitet;
Einschränkung des Zugangs zu Informationen, insbesondere körperlicher Schutz Diskette, während Sie Dateien davon kopieren.
Als Schutzsoftware werden verschiedene Antivirenprogramme (Antivirenprogramme) eingestuft.
Virenschutz ist ein Programm, das Computerviren erkennt und neutralisiert. Zu beachten ist, dass Viren in ihrer Entwicklung Antivirenprogrammen voraus sind, daher gibt es auch bei regelmäßiger Anwendung von Antiviren keine 100%ige Sicherheitsgarantie. Antivirenprogramme können nur bekannte Viren erkennen und zerstören; wenn ein neuer Computervirus auftaucht, gibt es keinen Schutz dagegen, bis ein eigener Antivirus dafür entwickelt wird. Viele moderne Antivirenpakete enthalten jedoch ein spezielles Softwaremodul namens Heuristischer Analysator, das in der Lage ist, den Inhalt von Dateien auf das Vorhandensein von Code zu untersuchen, der für Computerviren charakteristisch ist. Dadurch ist es möglich, die Gefahr einer Ansteckung mit einem neuen Virus rechtzeitig zu erkennen und davor zu warnen.
Es gibt die folgenden Arten von Antivirenprogrammen:
1)Detektorprogramme: Entwickelt, um infizierte Dateien mit einem der bekannten Viren zu finden. Einige Erkennungsprogramme können Dateien auch auf Viren behandeln oder infizierte Dateien zerstören. Es gibt spezialisierte Detektoren, die darauf ausgelegt sind, mit einem Virus fertig zu werden Polyphagen, das viele Viren bekämpfen kann;
2) Arzt Programme: Entwickelt, um infizierte Datenträger und Programme zu desinfizieren. Die Behandlung des Programms besteht darin, den Viruskörper aus dem infizierten Programm zu entfernen. Sie können auch sowohl Polyphagen als auch spezialisiert sein;
3) Wirtschaftsprüfer-Programme: Entwickelt, um Virusinfektionen von Dateien zu erkennen und beschädigte Dateien zu finden. Diese Programme merken sich Daten über den Zustand der Programm- und Systembereiche von Festplatten in einem normalen Zustand (vor der Infektion) und vergleichen diese Daten während des Computerbetriebs. Wenn die Daten nicht übereinstimmen, wird eine Meldung über die Möglichkeit einer Infektion angezeigt;
4) Gerichtsmediziner: Entwickelt, um Änderungen in Dateien und Systembereichen von Festplatten zu erkennen und sie im Falle von Änderungen in ihren ursprünglichen Zustand zurückzusetzen.
5) Programme filtern: Entwickelt, um Aufrufe an das Betriebssystem abzufangen, die von Viren zur Reproduktion verwendet werden, und den Benutzer darüber zu informieren. Der Benutzer kann die entsprechende Operation aktivieren oder deaktivieren. Solche Programme sind resident, das heißt, sie befinden sich im RAM des Computers.
6) Impfprogramme: Wird verwendet, um Dateien und Bootsektoren zu verarbeiten, um eine Infektion durch bekannte Viren zu verhindern (diese Methode wird in letzter Zeit immer häufiger verwendet).
Es sollte beachtet werden, dass die Wahl eines "besten" Antivirenprogramms eine äußerst fehlerhafte Entscheidung ist. Es wird empfohlen, mehrere verschiedene Antivirenpakete gleichzeitig zu verwenden. Bei der Auswahl eines Antivirenprogramms sollten Sie auf Parameter wie die Anzahl der Erkennungssignaturen (eine Zeichenfolge, die einen Virus garantiert erkennt) achten. Der zweite Parameter ist das Vorhandensein eines heuristischen Analysators für unbekannte Viren, dessen Vorhandensein sehr nützlich ist, aber das Programm erheblich verlangsamt.
Kontrollfragen
Was ist ein Computervirus?
Wie infiziert ein Virus einen Computer?
Wie funktionieren Computerviren?
Welche Infektionsquellen für Computerviren kennen Sie?
Welche Anzeichen können verwendet werden, um die Tatsache einer Infektion mit einem Computervirus zu erkennen?
Welche Arten von Viren kennen Sie? Welche destruktiven Aktionen führen sie aus?
Welche Maßnahmen werden ergriffen, um eine Infektion durch Computerviren zu verhindern?
Was ist ein Antivirus? Welche Arten von Antivirenprogrammen kennen Sie?
Was ist ein heuristischer Analysator? Welche Funktionen erfüllt es?
COMPUTERVIREN, IHRE KLASSIFIZIERUNG. ANTIVIREN SOFTWARE
Computer Virus - Dies ist ein spezielles Programm, das in der Lage ist, sich spontan anderen Programmen anzuschließen und, wenn diese gestartet werden, verschiedene durchzuführen unerwünschte Aktionen: Schäden an Dateien und Verzeichnissen; Verzerrung von Berechnungsergebnissen; Speicher verstopfen oder löschen; Eingriff in den Computer. Das Vorhandensein von Viren manifestiert sich in verschiedenen Situationen.
- Einige Programme funktionieren nicht mehr oder beginnen nicht mehr richtig zu funktionieren.
- Fremde Meldungen, Signale und andere Effekte werden auf dem Bildschirm angezeigt.
- Die Computerleistung wird erheblich verlangsamt.
- Die Struktur einiger Dateien ist beschädigt.
Es gibt mehrere Anzeichen für die Klassifizierung vorhandener Viren:
- nach Lebensraum;
- durch den betroffenen Bereich;
- nach den Merkmalen des Algorithmus;
- nach der Infektionsmethode;
- zerstörerisches Potenzial.
Nach Lebensraum werden Datei-, Boot-, Makro- und Netzwerkviren unterschieden.
Dateiviren sind die häufigste Art von Viren. Diese Viren schleusen sich selbst in ausführbare Dateien ein, erstellen Begleitdateien (Begleitviren) oder verwenden Dateisystem-Organisationsfunktionen (Link-Viren).
Bootviren schreiben sich selbst an Bootsektor Festplatte oder in den Bootloader-Sektor der Festplatte. Sie beginnen, wenn der Computer hochfährt, und werden normalerweise resident.
Makroviren infizieren Dateien weit verbreiteter Datenverarbeitungspakete. Diese Viren sind Programme, die in den in diesen Paketen eingebetteten Programmiersprachen geschrieben sind. Am weitesten verbreitet sind Makroviren Microsoft-Anwendungen Büro.
Netzwerkviren verwenden die Protokolle oder Befehle von Computernetzwerken für ihre Verbreitung und Email. Das Hauptprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig auf einen entfernten Server oder eine entfernte Arbeitsstation zu übertragen. Gleichzeitig haben vollwertige Computerviren die Fähigkeit, weiterzulaufen entfernter Computer Ihren auszuführenden Code.
In der Praxis gibt es verschiedene Kombinationen von Viren – zum Beispiel File-Boot-Viren, die sowohl Dateien als auch Disk-Boot-Sektoren infizieren, oder Netzwerk-Makroviren, die bearbeitbare Dokumente infizieren und Kopien von sich selbst per E-Mail versenden.
In der Regel infiziert jeder Virus Dateien eines oder mehrerer Betriebssysteme. Viele Boot-Viren auchkonzentrierte sich auf spezifische Formate für die Lokalisierung von Systemdaten in den Bootsektoren von Festplatten. Entsprechend den Merkmalen des Algorithmus werden residente unterschieden; Viren, Stealth-Viren, polymorphe Viren usw. Residente Viren können ihre Kopien im Betriebssystem hinterlassen, die Verarbeitung von Ereignissen (z. B. Zugriff auf Dateien oder Festplatten) abfangen und gleichzeitig Verfahren zum Infizieren von Objekten aufrufen (Dateien oder Sektoren). Diese Viren sind nicht nur während der Ausführung des infizierten Programms im Arbeitsspeicher aktiv, sondern auch danach. Residente Kopien solcher Viren sind bis zum Neustart des Betriebssystems funktionsfähig, selbst wenn alle infizierten Dateien auf der Festplatte zerstört sind. Wenn ein residenter Virus auch bootfähig ist und beim Laden des Betriebssystems aktiviert wird, wird er selbst durch das Formatieren der Festplatte nicht entfernt, wenn dieser Virus im Speicher vorhanden ist.
Makroviren sind ebenfalls als residente Viren einzustufen, da sie während der Ausführung des infizierten Editors ständig im Arbeitsspeicher des Computers vorhanden sind.
Stealth-Algorithmen ermöglichen es Viren, ihre Präsenz ganz oder teilweise zu verbergen. Der häufigste Stealth-Algorithmus besteht darin, Betriebssystemanfragen zum Lesen/Schreiben infizierter Objekte abzufangen. In diesem Fall heilen Stealth-Viren diese Objekte entweder vorübergehend oder ersetzen sie durch nicht infizierte Informationen. Teilweise umfassen Stealth-Viren eine kleine Gruppe von Makroviren, die ihren Hauptcode nicht in Makros, sondern in anderen Bereichen des Dokuments speichern – in seinen Variablen oder in Autotext.
Polymorphismus (Selbstverschlüsselung) wird verwendet, um das Virenerkennungsverfahren zu erschweren. Polymorphe Viren sind schwer zu erkennende Viren, die keinen permanenten Code haben. Im Allgemeinen stimmen zwei Proben desselben Virus nicht überein. Dies wird erreicht, indem der Hauptteil des Virus verschlüsselt und das Entschlüsselungsprogramm modifiziert wird.
Beim Erstellen von Viren werden häufig nicht standardmäßige Techniken verwendet. Ihr Einsatz soll es möglichst erschweren, den Virus zu erkennen und zu entfernen.
Unterscheiden Sie nach dem Infektionsmodus Trojaner, versteckte Verwaltungsprogramme, beabsichtigte Viren usw.
Trojaner sind nach Trojanischen Pferden benannt. Der Zweck dieser Programme besteht darin, einige nützliche Programme, neue Versionen beliebter Dienstprogramme oder Ergänzungen zu ihnen zu imitieren. Wenn ein Benutzer sie auf seinen Computer schreibt, werden Trojaner aktiviert und führen unerwünschte Aktionen aus.
Eine Vielzahl von Trojanern sind versteckte Verwaltungsprogramme. In ihrer Funktionalität und Oberfläche erinnern sie in vielerlei Hinsicht an netzwerkfähige Computerverwaltungssysteme, die von verschiedenen Softwareherstellern entwickelt und vertrieben werden. Während der Installation installieren diese Dienstprogramme selbst ein verstecktes System auf dem Computer. Fernbedienung. Dadurch besteht die Möglichkeit der verdeckten Kontrolle dieses Computers. Durch die Implementierung der zugrunde liegenden Algorithmen akzeptieren, starten oder senden die Dienstprogramme Dateien ohne Wissen des Benutzers, zerstören Informationen, starten den Computer neu usw. Es ist möglich, diese Dienstprogramme zu verwenden, um Passwörter und andere vertrauliche Informationen zu erkennen und zu übertragen, Viren zu starten, Daten zu zerstören.
Beabsichtigte Viren sind Programme, die aufgrund vorhandener Fehler nicht repliziert werden können. Zu dieser Klasse gehören auch Viren, die sich nur einmal vermehren. Nachdem sie eine Datei infiziert haben, verlieren sie die Fähigkeit, sie weiter zu reproduzieren.
Entsprechend ihrer zerstörerischen Fähigkeiten werden Viren unterteilt in:
- ungefährlich, deren Wirkung auf eine Verringerung beschränkt ist freier Speicher auf der Festplatte, Computerverlangsamung, Grafik und Soundeffekte;
- gefährlich, was möglicherweise zu Verletzungen der Dateistruktur und Fehlfunktionen des Computers führen kann;
- sehr gefährlich, dessen Algorithmus speziell Datenvernichtungsverfahren und die Fähigkeit umfasst, einen schnellen Verschleiß beweglicher Teile von Mechanismen sicherzustellen, indem er in Resonanz gerät und die Lese- / Schreibköpfe einiger Festplatten zerstört.
Zur Bekämpfung von Viren gibt es Programme, die in Hauptgruppen unterteilt werden können: Monitore, Detektoren, Ärzte, Prüfer und Impfstoffe.
Programme überwachen(Filterprogramme) befinden sich resident im Arbeitsspeicher des Computers, abfangenund den Benutzer über OS-Aufrufe zu informieren, die von Viren verwendet werden, um sich zu reproduzieren und Schaden anzurichten. Der Benutzer hat die Möglichkeit, die Ausführung dieser Aufrufe zuzulassen oder zu verweigern. Der Vorteil solcher Programme ist die Fähigkeit, unbekannte Viren zu erkennen. Durch den Einsatz von Filterprogrammen können Sie Viren bereits in einem frühen Stadium einer Computerinfektion erkennen. Die Nachteile der Programme sind die Unfähigkeit, Viren zu verfolgen, die direkt auf das BIOS zugreifen, sowie Boot-Viren, die aktiviert werden, bevor das Antivirenprogramm beim Laden von DOS gestartet wird, und häufige Anfragen für Operationen.
Programme-Detektoren Sie überprüfen, ob Dateien und Datenträger eine Kombination von Bytes enthalten, die für einen bestimmten Virus spezifisch sind. Wenn es gefunden wird, wird eine entsprechende Meldung angezeigt. Der Nachteil ist, dass es nur vor bekannten Viren schützen kann.
Doktorprogramme infizierte Programme wiederherstellen, indem der Viruskörper von ihnen entfernt wird. Typischerweise sind diese Programme für bestimmte Virentypen konzipiert und basieren auf einem Vergleich der im Körper des Virus enthaltenen Codesequenzen mit den Codes der zu prüfenden Programme. Doctor-Programme müssen regelmäßig aktualisiert werden, um neue Versionen zu erhalten, die neue Virentypen erkennen.
Wirtschaftsprüfer-Programme Analysieren Sie Änderungen im Zustand von Dateien und Systembereichen der Festplatte. Überprüfen Sie den Status des Bootsektors und der FAT-Tabelle; Länge, Attribute und Erstellungszeit von Dateien; Prüfsummencodes. Der Benutzer wird über festgestellte Abweichungen informiert.
Impfprogramme modifizieren Programme und Risiken so, dass sie den Betrieb von Programmen nicht beeinträchtigen, aber der Virus, gegen den geimpft wird, Programme oder Datenträger als bereits infiziert betrachtet. Vorhandene Antivirenprogramme gehören hauptsächlich zur Klasse der Hybriden (Detektor-Ärzte, Arzt-Auditoren usw.).
In Russland werden am häufigsten Antivirenprogramme von Kaspersky Lab (Anti-IViral Toolkit Pro) und DialogScience (Adinf, Dr.Web) verwendet. AntiViral Toolkit Pro (AVP) beinhaltet AVP Scanner, AVP Monitor Resident Watchman, Verwaltungsprogramm installierte Komponenten. Control Center und einige andere. AVP Scanner verarbeitet zusätzlich zum herkömmlichen Scannen von ausführbaren Dateien und Dokumentdateien E-Mail-Datenbanken. Mit dem Scanner können Sie Viren in gepackten und archivierten Dateien (nicht durch Passwörter geschützt) erkennen. Erkennt und entfernt Makro-, polymorphe, Stelen-, Trojaner- und zuvor unbekannte Viren. Dies wird beispielsweise durch den Einsatz heuristischer Analysatoren erreicht. Solche Analysatoren simulieren den Betrieb des Prozessors und analysieren die Aktionen der diagnostizierten Datei. Abhängig von diesen Aktionen wird eine Entscheidung über das Vorhandensein eines Virus getroffen.
Der Monitor überwacht typische Virus-Penetrationspfade wie Datei- und Sektorzugriffsvorgänge.
AVP Control Center - eine Service-Shell zum Einstellen der Startzeit des Scanners, Automatisches Update Paketkomponente usw.
Wenn Ihr Computer mit einem Virus infiziert ist oder im Verdacht steht, infiziert zu sein, müssen Sie:
- die Situation beurteilen und keine Maßnahmen ergreifen, die zum Verlust von Informationen führen;
- starten Sie das Betriebssystem des Computers neu. Verwenden Sie in diesem Fall eine spezielle, vorgefertigte und schreibgeschützte Systemdiskette. Dadurch wird die Aktivierung von Boot- und residenten Viren von der Festplatte des Computers verhindert;
- Führen Sie die verfügbaren Antivirenprogramme aus, bis alle Viren gefunden und entfernt wurden. Wenn der Virus nicht entfernt werden kann und die Datei wertvolle Informationen enthält, archivieren Sie die Datei und warten Sie auf das Beenden neue Version Virenschutz. Starten Sie Ihren Computer nach Abschluss neu.
Nichtstaatlich Bildungseinrichtung höhere Berufsausbildung
Institut für Wirtschaft und Unternehmertum
NOU "INEP"
Außerhalb
PRÜFUNG
Nach Betreff
"Informatik"
Gruppe Studierende: M 11 KZ.
Kepina Julia A.
Wissenschaftlicher Leiter:
Kasaev Marat Borisovich
Moskau 2010
Einführung
1. Computerviren
a) Was ist ein Computervirus?
b) Beschädigte und infizierte Dateien
1) Ausführbare Dateien
2) Betriebssystemlader und Main Boot-Record Festplatte
3) Gerätetreiber
4) INTERNET-Viren
4.1 Angehängte Dateien
4.2 Trojaner
4.3 HTML-Viren
4.4 Java-Viren
c) Viren, die sich ändern Dateisystem
d) "Unsichtbare" und selbstmodifizierende Viren
1) „Unsichtbare“ Viren
2) Sich selbst modifizierende Viren
e) Was Computerviren können und was nicht
2. Grundlegende Methoden zum Schutz vor Computerviren
a) Maßnahmen im Falle einer Infektion mit einem Computervirus
b) Computerbehandlung
c) Vorbeugung gegen eine Infektion mit dem Virus
1) Kopieren von Informationen und Zugriffskontrolle
2) Überprüfung von Daten, die von außen kommen
3) Vorbereitung eines „Reparaturkits“
4) Schutz vor Bootviren
5) Regelmäßige Virenprüfung
Abschluss
Liste der Informationsquellen
Einführung
Der Abschnitt "Computerviren" in der Informationspresse ist derzeit buchstäblich voll von verschiedenen Berichten über das Auftreten neuer Arten von Virusinfektionen (im Folgenden einfach als "Viren" bezeichnet). Doch neben solchen Botschaften wird immer wieder Werbung für aktive und passive Mittel zur Virenbekämpfung gemalt, Empfehlungen zum Schutz vor Ansteckung gegeben und abschreckende Beschreibungen der Folgen und Symptome der „Krankheit“ gegeben.
Die Verbreitung von Computerviren ist inzwischen so weit verbreitet, dass fast jeder Benutzer mindestens einmal in seinem Leben mit einem Virus auf seinem Computer zu kämpfen hatte. Die Zahl der bekannten Viren geht in die Tausende (Experten zufolge gibt es derzeit etwa 3.000 Viren), und Hacker schreiben ständig neue, die sich in ihren eigenen Augen behaupten. Es sei darauf hingewiesen, dass diese Methode der Selbstbestätigung stark der in bestimmten Kreisen sehr verbreiteten Gewohnheit des Beschriftens von Zäunen ähnelt. Aber hier geht es mehr um Ethik als um Technologie. Virenbekämpfer sind ihren Entwicklern auf den Fersen. Der Markt für Antiviren-Software ist jetzt volumenmäßig an der Spitze, zumindest was die Anzahl der verkauften Softwarekopien betrifft. Aus diesem Grund begannen Unternehmen, Antiviren-Tools in Softwarepakete oder Betriebssysteme aufzunehmen.
1. Schutz vor Computerviren
a) Was ist ein Computervirus?
Ein Computervirus ist ein speziell entwickeltes kleines Programm, das sich selbst anderen Programmen und Dateien „zuordnen“ (d. h. sie „infizieren“) sowie verschiedene unerwünschte Aktionen auf einem Computer ausführen kann (unerwünschte Nachrichten ausgeben, Daten auf Datenträgern beschädigen). , Computerspeicher "verstopfen", multiplizieren usw.).
Ein Programm, das einen Virus enthält, wird als „infiziert“ bezeichnet. Wenn ein solches Programm gestartet wird, übernimmt zunächst der Virus die Kontrolle. Es findet und "infiziert" andere Programme und führt auch einige schädliche Aktionen aus (beschädigt beispielsweise Dateien oder die Dateizuordnungstabelle auf der Festplatte, "kontaminiert" RAM usw.). Um einen Virus zu maskieren, werden möglicherweise nicht immer Aktionen ausgeführt, um andere Programme zu infizieren und Schaden zu verursachen, aber beispielsweise unter bestimmten Bedingungen. Nachdem der Virus die erforderlichen Aktionen ausgeführt hat, überträgt er die Kontrolle an das Programm, in dem er sich befindet, und funktioniert wie gewohnt. Äußerlich sieht die Arbeit eines infizierten Programms also genauso aus wie die eines nicht infizierten. Alle Aktionen des Virus können ziemlich schnell und ohne Meldungen ausgeführt werden, sodass es für den Benutzer sehr schwierig ist, zu bemerken, dass auf dem Computer etwas Ungewöhnliches passiert.
Solange relativ wenige Programme auf dem Computer infiziert sind, kann das Vorhandensein eines Virus kaum wahrnehmbar sein. Nach einiger Zeit passiert jedoch etwas Seltsames auf dem Computer, zum Beispiel:
die Arbeit am Computer verlangsamt sich erheblich;
einige Dateien sind beschädigt;
einige Programme funktionieren nicht mehr oder beginnen nicht mehr richtig zu funktionieren;
irrelevante Meldungen, Symbole usw. werden auf dem Bildschirm (oder Drucker) angezeigt.
Zu diesem Zeitpunkt sind in der Regel ziemlich viele (oder sogar die meisten) der von Ihnen verwendeten Programme mit einem Virus infiziert, und einige Dateien und Datenträger sind beschädigt. Außerdem können infizierte Programme von Ihrem Computer bereits über Disketten oder über ein lokales Netzwerk auf die Computer Ihrer Kollegen oder Freunde übertragen worden sein.
Einige Arten von Viren sind sogar noch heimtückischer. Sie infizieren zunächst unmerklich eine große Anzahl von Programmen oder Datenträgern und richten dann z. B. beim Formatieren einer Festplatte eines Computers sehr schwere Schäden an. Und es gibt Viren, die versuchen, sich möglichst unauffällig zu verhalten, aber nach und nach die Daten auf der Festplatte des Computers korrumpieren. Wenn Sie also keine Maßnahmen zum Schutz vor Viren ergreifen, können die Folgen einer Infektion Ihres Computers sehr schwerwiegend sein.
Damit ein Virenprogramm unsichtbar ist, muss es klein sein. Daher werden Viren in der Regel in Assemblersprache geschrieben. Einige Autoren solcher Programme haben sie aus Unfug geschaffen, andere - aus dem Wunsch, jemanden zu "ärgern" (zum Beispiel die Firma, die sie gefeuert hat) oder aus Hass auf die gesamte Menschheit. In jedem Fall kann sich das erstellte Virenprogramm (möglicherweise) auf alle Computer ausbreiten, die mit dem kompatibel sind, für den es geschrieben wurde, und Zerstörung verursachen. Es sollte berücksichtigt werden, dass das Schreiben eines Virus keine so schwierige Aufgabe ist, die für einen Programmierstudenten durchaus zugänglich ist. Daher erscheinen jede Woche mehr und mehr neue Viren auf der Welt. Und viele von ihnen werden in unserem Land und in anderen unzureichend zivilisierten Ländern "hergestellt": Bulgarien, Pakistan usw.
b) Beschädigte und infizierte Dateien
Ein Computervirus kann ruinieren, d.h. unangemessene Änderungen an Dateien auf den auf dem Computer verfügbaren Datenträgern vornehmen. Der Virus kann jedoch einige Dateitypen „infizieren“. Dies bedeutet, dass ein Virus diese Dateien "infiltrieren" kann, dh. modifizieren Sie sie so, dass sie einen Virus enthalten, der unter bestimmten Umständen funktionieren kann. Zu beachten ist, dass die Texte von Programmen und alten Versionen von Dokumenten (sozusagen DOS-Versionen) Informationsdateien Datenbanken, Tabellenprozessoren (DOS-Versionen) und andere ähnliche Dateien können nicht von einem Virus infiziert werden, er kann sie nur beschädigen.
Die folgenden Dateitypen können von einem Virus „infiziert“ werden:
1) Ausführbare Dateien
Ausführbare Dateien, d.h. Dateien mit den Namenserweiterungen COM und EXE sowie Overlay-Dateien, die geladen werden, wenn andere Programme ausgeführt werden. Viren, die Dateien infizieren, werden als Dateiviren bezeichnet. Der Virus in infizierten ausführbaren Dateien beginnt seine Arbeit beim Start des Programms, in dem er sich befindet. Am gefährlichsten sind Dateiviren, die nach dem Start im Arbeitsspeicher verbleiben. Diese Viren können Dateien infizieren und bis zum nächsten Neustart des Computers Schaden anrichten. Und wenn sie ein Programm infizieren, das von der Datei AUTOEXEC.BAT oder CONFIG.SYS gestartet wird, beginnt der Virus wieder zu arbeiten, wenn Sie von der Festplatte neu starten.
2) Betriebssystem-Loader und Festplatten-Master-Boot-Record
Viren, die diese Bereiche infizieren, werden Boot oder Schutt genannt. Ein solcher Virus beginnt seine Arbeit beim ersten Booten des Betriebssystems und wird resident, d.h. befindet sich dauerhaft im Speicher des Computers. Der Verteilungsmechanismus ist die Infektion von Boot-Datensätzen, die in die Computerdisketten eingefügt werden. Solche Viren bestehen in der Regel aus zwei Teilen, da die Bootrecords klein sind und es schwierig ist, das gesamte Virenprogramm darin unterzubringen. Der Teil des Virus, der nicht hineinpasst, befindet sich in einem anderen Teil des Datenträgers, beispielsweise am Ende des Stammverzeichnisses des Datenträgers oder in einem Cluster im Datenbereich des Datenträgers (normalerweise so ein Cluster als defekt deklariert, damit das Virenprogramm nicht überschrieben wird, wenn Daten auf die Platte geschrieben werden).
3) Gerätetreiber:
Gerätetreiber, d.h. Dateien, die in der DEVICE-Klausel der Datei CONFIG.SYS angegeben sind. Der darin enthaltene Virus nimmt bei jedem Zugriff auf das entsprechende Gerät seine Arbeit auf. Viren, die Gerätetreiber infizieren, sind sehr selten, da Treiber nur selten von einem Computer auf einen anderen kopiert werden. Gleiches gilt für Systemdateien DOS (MSDOS.SYS und IO.SYS) - ihre Infektion ist theoretisch ebenfalls möglich, aber für die Verbreitung von Viren unwirksam.
4) INTERNET-Viren
In letzter Zeit ist eine Zunahme der Benutzerzahlen aufgetreten. Hier sind einige der Varianten dieser Viren:
4.1 Angehängte Dateien. Stellen Sie sich eine typische Situation vor: Sie haben erhalten Email, die ein Microsoft WORD-Dokument als Anhang hat. Natürlich möchten Sie den Inhalt der Datei so schnell wie möglich kennenlernen, da die Verwendung modernster ist E-Mail-Programme Klicken Sie dazu einfach auf den Namen dieser Datei.
UND DAS IST FALSCH!
Wenn die Datei einen Makrovirus enthält (und Viren dieses Typs, die infizieren Microsoft-Dokumente Wort, Microsoft Excel und eine Reihe anderer beliebter Dokumentenverwaltungssysteme, die in letzter Zeit sehr verbreitet sind), wird Ihr System sofort infizieren. Was also tun mit dem verschachtelten Dokument? Verbringen Sie ein paar zusätzliche Sekunden: Speichern Sie es auf der Festplatte, überprüfen Sie es mit der neuesten Version des Antivirenprogramms und öffnen Sie es erst dann, wenn keine Viren vorhanden sind. Es gibt andere Lösungen. So gibt es beispielsweise Antivirenprogramme, die eingehende E-Mails automatisch prüfen. Wenn Sie ein Watchdog-Programm verwenden, erhalten Sie beim Öffnen einer infizierten Datei auf jeden Fall eine Warnung (genauer gesagt, Sie dürfen die infizierte Datei einfach nicht öffnen). Schließlich ist es dem Wächter völlig gleichgültig, ob Sie das Dokument direkt oder „unter“ dem Mailprogramm öffnen.
4.2 Trojaner. Bekannte Trojaner, die sich über das Internet verbreiten, sind im Wesentlichen Dienstprogramme für Fernverwaltung Computer. Einfach ausgedrückt, durch ein solches Programm kann ein Angreifer ohne Ihr Wissen und Ihre Beteiligung auf Ihren Computer zugreifen und verschiedene Operationen darauf (fast alle) ausführen.
Ein charakteristischer Vertreter der beschriebenen Art ist das Programm BASK ORIFICE (BO). BO ist ein Fernverwaltungssystem, mit dem der Benutzer Computer über eine herkömmliche Konsole oder eine grafische Shell steuern kann. „In einem lokalen Netzwerk oder über das Internet bietet VO dem Benutzer mehr Möglichkeiten Remote-WINDOWS-Computer als der Benutzer dieses Computers hat" - das ist der Text aus der "Werbung"-Anzeige auf einer der Hacker-Webseiten. Natürlich ist die Möglichkeit, Ihren Computer aus der Ferne zu verwalten, eine ernsthafte Gefahr, aber nicht so groß, wie es scheint Auf den ersten Blick Normale Benutzer verbringen dort nicht viel Zeit im Internet (dazu trägt die Qualität der Telefonleitungen bei), und was ist aus Sicht eines Hackers so „interessant“, was auf Ihrem Computer angestellt werden kann? um mit dem Server des Anbieters zu arbeiten. Mit dem Passwort kann ein Hacker leicht Ihr ganzes Geld "verschwenden". Glücklicherweise gibt es eine ganze Reihe von Trojanern, die diese Funktionen ausführen können, und alle von ihnen werden erfolgreich von Antivirenprogrammen erkannt.
4.3 HTML-Viren. Viren dieses Typs sind selten, daher sind Informationen über sie eher von "akademischem" Interesse als von praktischem Interesse. Fazit: In die HTML-Sprache selbst, die zur Auszeichnung von Hypertext-Dokumenten verwendet wird, können natürlich keine Viren geschrieben werden. Um jedoch dynamische Seiten zu erstellen, Benutzerinteraktionen und andere Aktionen zu organisieren, werden Programmeinfügungen (Skripte) in HTML-Dokumente verwendet. Bekannte HTML-Viren verwenden darin geschriebene Skripte Sprache VISUELL BASIC. Mit ihrer Hilfe HTM- und HTML-Dateien auf dem lokalen Rechner finden und darauf schreiben. Manchmal manifestieren sich solche Viren irgendwie (z. B. Anzeige von Meldungen). Die geringe Verbreitung von Viren dieses Typs (sowie ihre geringe Anzahl) wird dadurch erleichtert, dass wann Standardeinstellungen Browser, die Ausführung "gefährlicher" (dazu gehören solche, bei denen der Zugriff auf Dateien lokalen Computer)-Skripte sind verboten. Gewöhnliche "Sicherheits"-Skripte können die beschriebenen Manipulationen nicht durchführen.
4.4 Java-Viren. Derzeit gibt es zwei bekannte Viren, die in der Sprache JAVA geschrieben sind. Sie stellen wenig bis gar keine Gefahr dar. Erklären Sie kurz, worum es geht: ausführbare Module Es gibt zwei Arten von Programmen, die in JAVA (CLASS-Dateien) geschrieben sind: Anwendungen und Applets. Anwendungen werden unter der Kontrolle eines Interpreters ausgeführt und sind fast gewöhnliche Programme (fast, weil sie noch einige Einschränkungen haben, beispielsweise im Bereich der Arbeit mit dem Gedächtnis). Applets können im Gegensatz zu Anwendungen von Browsern ausgeführt werden, unterliegen jedoch weitaus schwerwiegenderen Sicherheitsbeschränkungen: Insbesondere Applets haben fast keinen Zugriff auf das Dateisystem des Computers (anders als bei Skripten deaktivieren Sie diese Einschränkung ist in einem Browser nicht möglich), daher können JAVA-Viren nur als Anwendungen konzipiert werden und stellen für die überwiegende Mehrheit der Benutzer keine Bedrohung dar. In der Regel kann jeder spezifische Virustyp nur ein oder zwei Dateitypen infizieren. Meistens gibt es Viren, die ausführbare Dateien infizieren. Einige Viren infizieren nur EXE-Dateien, einige sind nur COM und die meisten sind beides. An zweiter Stelle in Bezug auf die Verbreitung stehen Bootviren. Einige Viren infizieren sowohl Dateien als auch Festplatten-Startbereiche. Viren, die Gerätetreiber infizieren, sind extrem selten; normalerweise können solche Viren auch ausführbare Dateien infizieren.
V) Viren, die das Dateisystem verändern
In letzter Zeit hat sich ein neuer Virentyp verbreitet – Viren, die das Dateisystem auf der Festplatte verändern. Diese Viren werden allgemein als DIR bezeichnet. Solche Viren verstecken ihren Körper in einem bestimmten Bereich der Festplatte (normalerweise im letzten Festplattencluster) und markieren ihn in der Dateizuordnungstabelle (FAT) als Dateiende. Bei allen COM- und EXE-Dateien werden die in den entsprechenden Verzeichniseinträgen enthaltenen Zeiger auf den ersten Abschnitt der Datei durch einen Link auf den Datenträgerabschnitt mit dem Virus ersetzt und der korrekte Zeiger in verschlüsselter Form im unbenutzten Teil der Datei versteckt Verzeichniseintrag. Daher wird beim Start eines beliebigen Programms ein Virus in den Arbeitsspeicher geladen, verbleibt danach im Arbeitsspeicher, verbindet sich mit DOS-Programmen, um Dateien auf der Festplatte zu verarbeiten, und generiert korrekte Verknüpfungen für alle Zugriffe auf Verzeichniselemente. Daher scheint das Dateisystem auf der Festplatte völlig normal zu sein, wenn der Virus ausgeführt wird. Bei einer oberflächlichen Untersuchung einer infizierten Festplatte auf einem "sauberen" Computer wird nichts Seltsames beobachtet. Ist es nur beim Versuch, von einer infizierten Diskette zu lesen oder zu kopieren Programmdateien davon werden nur 512 oder 1024 Bytes gelesen oder kopiert, auch wenn die Datei viel länger ist. Und wenn Sie ein ausführbares Programm von einer mit einem solchen Virus infizierten Festplatte ausführen, beginnt diese Festplatte wie von Zauberhand gesund zu erscheinen (kein Wunder, da der Computer in diesem Fall infiziert wird). Bei der Analyse auf einem "sauberen" Computer mit den Programmen ChkDsk oder NDD scheint das Dateisystem einer mit einem DIR-Virus infizierten Festplatte vollständig beschädigt zu sein. Beispielsweise erzeugt das Programm ChkDsk eine Reihe von Meldungen über Dateiüberschneidungen ("... vernetzt auf Cluster...") und Ketten verlorener Cluster ("... verlorene Cluster gefunden in ... Ketten"). Sie sollten diese Fehler nicht mit ChkDsk- oder NDD-Programmen beheben - in diesem Fall wird die Festplatte vollständig beschädigt. Um mit diesen Viren infizierte Datenträger zu reparieren, sollten Sie nur spezielle Antivirenprogramme verwenden (z. letzte Version Aidstest).
G) "Unsichtbare" und selbstmodifizierende Viren
Um ihre Erkennung zu verhindern, verwenden einige Viren ziemlich raffinierte Tarntechniken. Ich werde über zwei davon sprechen: "unsichtbare" (Stealth) und selbstmodifizierende Viren:
1) „Unsichtbare“ Viren
Viele residente Viren (sowohl Datei- als auch Boot-Viren) verhindern ihre Erkennung, indem sie DOS-Aufrufe abfangen (und dadurch Anwendungsprogramme) in infizierte Dateien und Festplattenbereiche und geben sie in ihrer ursprünglichen Form zurück. Dieser Effekt wird natürlich nur auf einem infizierten Computer beobachtet - auf einem "sauberen" Computer können Änderungen in den Boot-Bereichen der Festplatte leicht erkannt werden. Beachten Sie, dass einige Antivirenprogramme auch auf einem infizierten Computer „unsichtbare“ Viren erkennen können. Solche Programme tun dies, indem sie die Diskette lesen, ohne DOS-Dienste (z. B. ADinf) zu verwenden.
2) Sich selbst modifizierende Viren
Eine andere Methode, mit der sich Viren vor der Entdeckung verstecken, besteht darin, ihren Körper zu modifizieren. Viele Viren speichern den größten Teil ihres Körpers in Code, sodass Disassembler nicht herausfinden können, wie sie funktionieren. Selbstmodifizierende Viren nutzen diese Technik und ändern häufig die Parameter dieser Kodierung und ändern zusätzlich ihren Startteil, der dazu dient, die restlichen Befehle des Virus zu entschlüsseln.
Somit gibt es im Körper eines solchen Virus keine einzige permanente Folge von Bytes, anhand derer der Virus identifiziert werden könnte. Das erschwert es Erkennungsprogrammen natürlich, solche Viren zu finden. Die Programm-Detektoren lernten jedoch immer noch, "einfache" selbstmodifizierende Viren zu fangen. Bei diesen Viren betreffen Variationen des Mechanismus zum Entschlüsseln des verschlüsselten Teils des Virus nur die Verwendung bestimmter Computerregister, Verschlüsselungskonstanten, das Hinzufügen "unbedeutender" Befehle usw. Und die Erkennungsprogramme haben sich angepasst, um Befehle im Startteil des Virus trotz der darin enthaltenen maskierenden Änderungen zu erkennen. In letzter Zeit sind jedoch Viren mit äußerst komplexen Selbstmodifizierungsmechanismen aufgetaucht. In ihnen wird der Anfangsteil des Virus nach sehr komplexen Algorithmen automatisch generiert: Jede sinnvolle Decryptor-Anweisung wird von einer von Hunderttausenden möglichen Optionen übertragen, während mehr als die Hälfte aller Intel-8088-Befehle verwendet werden. Das Problem, solche Viren zu erkennen, hat noch keine zuverlässige Lösung erhalten.
Was Computerviren können und was nicht
Aufgrund der Unkenntnis des Mechanismus von Computerviren sowie unter dem Einfluss verschiedener Gerüchte und inkompetenter Veröffentlichungen in der Presse entwickeln viele Computerbenutzer eine Art Angst vor Viren ("Virusophobie"). Dieser Komplex hat zwei Erscheinungsformen:
1. Die Tendenz, Datenbeschädigungen oder ungewöhnliche Vorkommnisse Viren zuzuschreiben. Wenn zum Beispiel ein "Virenphob" eine Diskette nicht formatiert, dann erklärt er das nicht mit Defekten der Diskette oder des Laufwerks, sondern mit der Einwirkung von Viren. Wenn auf der Festplatte ein fehlerhafter Block auftaucht, sind natürlich auch Viren schuld. Tatsächlich werden ungewöhnliche Phänomene auf dem Computer häufiger durch Benutzerfehler, Programme oder Hardwarefehler verursacht als durch die Einwirkung von Viren.
2. Übertriebene Vorstellungen über die Fähigkeiten von Viren. Einige Benutzer denken beispielsweise, dass es ausreicht, eine infizierte Diskette in das Laufwerk einzulegen, damit der Computer mit einem Virus infiziert wird. Es wird auch allgemein angenommen, dass bei Computern, die nur im selben Raum stehen, die Infektion eines Computers zwangsläufig sofort zur Infektion der anderen führt.
Ein Computer kann in einem der folgenden Fälle mit einem Virus infiziert werden:
auf dem Computer wurde ein infiziertes Programm vom Typ COM oder EXE oder ein infiziertes Overlay-Programmmodul (vom Typ OVR oder OVL) ausgeführt;
der Computer bootete von einer Diskette, die einen infizierten Bootsektor enthielt;
Auf dem Computer wurde ein infiziertes Betriebssystem oder ein infizierter Gerätetreiber installiert.
Folglich besteht kein Grund zur Befürchtung, dass ein Computer mit einem Virus infiziert wird, wenn:
Auf einem nicht infizierten Computer werden Dateien von einer Diskette auf eine andere kopiert. Wenn der Computer "gesund" ist, werden weder er noch die kopierten Disketten mit einem Virus infiziert. Die einzige Möglichkeit, den Virus in dieser Situation zu übertragen, besteht darin, die infizierte Datei zu kopieren: In diesem Fall wird natürlich auch ihre Kopie „infiziert“, aber weder der Computer noch andere Dateien werden infiziert;
2. Grundlegende Methoden zum Schutz vor Computerviren
Zum Schutz vor Viren können Sie Folgendes verwenden:
allgemeine Mittel zum Schutz von Informationen, die auch als Versicherung gegen physische Schäden an Festplatten, fehlerhafte Programme oder fehlerhafte Benutzeraktionen nützlich sind; vorbeugende Maßnahmen zur Verringerung der Wahrscheinlichkeit einer Ansteckung mit dem Virus;
Spezialprogramme zum Schutz vor Viren.
Allgemeine Informationssicherheitstools sind nicht nur zum Schutz vor einem Virus nützlich. Es gibt zwei Haupttypen dieser Fonds:
Kopieren von Informationen - Erstellen von Kopien von Dateien und Systembereichen von Festplatten;
Zugriffskontrolle verhindert unbefugte Nutzung von Informationen, insbesondere Schutz vor Änderungen an Programmen und Daten durch Viren, fehlerhafte Programme und Fehlhandlungen von Benutzern.
Obwohl allgemeine Informationssicherheitstools für den Schutz vor Viren sehr wichtig sind, reichen sie immer noch nicht aus. Es ist auch erforderlich, spezielle Programme zum Schutz vor Viren zu verwenden. Diese Programme können in verschiedene Typen unterteilt werden:
Mit Erkennungsprogrammen können Sie Dateien erkennen, die mit einem von mehreren bekannten Viren infiziert sind.
Doktorprogramme oder „Phagen“ „heilen“ infizierte Programme oder Datenträger, indem sie den Körper des Virus aus den infizierten Programmen „herausbeißen“, d. h. Wiederherstellung des Zustands des Programms vor der Virusinfektion.
Prüfprogramme merken sich zuerst Informationen über den Zustand von Programmen und Systembereichen von Festplatten und vergleichen dann ihren Zustand mit dem Original.
Werden Unstimmigkeiten festgestellt, wird der Benutzer darüber informiert.
Ärzte-Auditoren sind Mischlinge aus Auditoren und Ärzten, d.h. Programme, die nicht nur Änderungen in Dateien und Systembereichen von Datenträgern erkennen, sondern diese bei Änderungen auch automatisch in ihren ursprünglichen Zustand zurückversetzen können.
Filterprogramme befinden sich resident im Arbeitsspeicher des Computers und fangen diejenigen Aufrufe an das Betriebssystem ab, die von Viren zur Vervielfältigung und Schadensverursachung verwendet werden, und melden sie dem Benutzer. Der Benutzer kann die entsprechende Operation aktivieren oder deaktivieren. Bitte beachten Sie, dass keine einzelne Art von Antivirensoftware vollständig vor Viren schützen kann und daher ein Hinweis wie „Aidstest-Ausführungsbefehl in AUTOEXEC.BAT einfügen“ nicht ausreicht.
Die beste Strategie zum Schutz vor Viren ist ein umfassender mehrschichtiger Schutz:
Vor der ersten Phase sollten Sie Detektorprogramme platzieren, mit denen Sie die neu empfangenen Daten überprüfen können Software für das Vorhandensein von Viren;
In der ersten Phase werden Filterprogramme platziert, weil sie werden die ersten sein, die über die Funktionsweise des Virus berichten und eine Infektion von Programmen und Datenträgern verhindern;
In der zweiten Phase werden Prüfer und Ärzte platziert: Sie ermöglichen es Ihnen, Viren zu erkennen, die die erste Phase „durchdrungen“ haben, und dann infizierte Programme zu heilen, aber denken Sie daran, dass sie nicht immer richtig heilen und es ideal wäre eine Kopie haben gewünschte Programme auf schreibgeschützten Disketten archiviert.
Die wichtigste Schutzstufe ist die Zugriffskontrolle, die verhindert, dass eingeschleuste Viren und fehlerhaft funktionierende Programme wichtige Daten beschädigen.
A) Maßnahmen bei einer Infektion mit einem Computervirus
Wenn ein Computer mit einem Virus infiziert wird (oder wenn es vermutet wird), ist es wichtig, vier Regeln zu befolgen :
1. Überstürzen Sie nichts und treffen Sie keine überstürzten Entscheidungen: Überstürzte Aktionen können nicht nur zum Verlust einiger Dateien führen, die wiederhergestellt werden könnten, sondern auch zu einer erneuten Infektion des Computers.
2. Eine Sache, die jedoch sofort getan werden muss, ist, den Computer auszuschalten, damit der Virus seine zerstörerischen Aktionen nicht fortsetzt.
3. Alle Maßnahmen zur Erkennung der Folgen einer Infektion und zur Desinfektion des Computers sollten nur durchgeführt werden, wenn der Computer von einer schreibgeschützten „Referenz“-Diskette mit dem Betriebssystem neu gestartet wird.
In diesem Fall sollten Sie nur Programme (ausführbare Dateien) verwenden, die auf schreibgeschützten Disketten gespeichert sind. Die Nichteinhaltung dieser Regel kann zu sehr schwerwiegenden Folgen führen, da beim Neustart von DOS oder beim Ausführen eines Programms von einer infizierten Festplatte ein Virus auf dem Computer aktiviert werden kann und wenn der Virus ausgeführt wird, die Computerbehandlung bedeutungslos ist. da es von einer weiteren Infektion von Datenträgern und Programmen begleitet wird.
4. Wenn Sie nicht über ausreichende Kenntnisse und Erfahrungen verfügen, um einen Computer zu behandeln, bitten Sie erfahrenere Kollegen um Hilfe. Wenn Sie ein residentes Filterprogramm zum Schutz vor einem Virus verwenden, kann das Vorhandensein eines Virus in einem beliebigen Programm in einem sehr frühen Stadium erkannt werden, wenn der Virus noch keine Zeit hatte, andere Programme zu infizieren und Dateien zu beschädigen. In diesem Fall sollten Sie DOS von der Diskette neu laden und das infizierte Programm entfernen und dieses Programm dann von der Masterdiskette neu schreiben oder aus dem Archiv wiederherstellen. Um herauszufinden, ob der Virus andere Dateien beschädigt hat, sollten Sie das Programm - den Prüfer - ausführen, um nach Änderungen in Dateien zu suchen, vorzugsweise mit einer breiten Liste von Dateien, die überprüft werden sollen. Um den Computer während des Scans nicht weiter zu infizieren, sollten Sie die ausführbare Datei des Prüfprogramms ausführen, die sich auf der Diskette befindet.
b) Computerbehandlung
Betrachten wir einen komplizierteren Fall, in dem es dem Virus bereits gelungen ist, einige Dateien auf den Festplatten des Computers zu infizieren oder zu beschädigen. Gleichzeitig empfehlen Experten folgende Maßnahmen:
1. Starten Sie das Betriebssystem neu DOS-System von einer vorbereiteten Masterdiskette. Diese Diskette muss, wie andere Disketten, die zur Wiederherstellung einer Computervireninfektion verwendet werden, mit einem Schreibschutzetikett (5-Zoll-Disketten) oder einer geöffneten Schreibschutzverriegelung (3-Zoll-Disketten) versehen sein, damit sie nicht von einem Virus infiziert werden kann oder beschädigte Dateien auf diesen Disketten. Ich merke an, dass der Neustart nicht mit "Alt+Strg+Entf" durchgeführt werden sollte, da einige Viren einen solchen Neustart "überleben".
2. Wenn Ihr Computer über ein Konfigurations-Setup-Programm verfügt (für IBM PC AT- und PS/2-Modelle ist es immer verfügbar; es wird oft durch Drücken einer bestimmten Tastenkombination während des Computerstarts aufgerufen), sollten Sie dieses Programm ausführen und überprüfen, ob das Konfigurationseinstellungen sind korrekt Konfigurationseinstellungen des Computers (sie können durch einen Virus beschädigt werden). Wenn sie falsch installiert sind, müssen sie neu installiert werden.
3. Der Behandlungsprozess selbst ist wie folgt: Wenn im Archiv Kopien aller erforderlichen Dateien auf der Festplatte vorhanden sind, ist es am einfachsten, die Festplatte neu zu formatieren und dann alle Dateien auf dieser Festplatte mit archivierten Kopien wiederherzustellen . Angenommen, die Festplatte enthält die erforderlichen Dateien, von denen sich Kopien nicht im Archiv befinden, z. B. auf Festplatte D: Dann müssen Sie die folgenden Anweisungen befolgen:
Führen Sie ein Erkennungsprogramm für den Datenträger aus, der den Virus erkennt, der den Computer infiziert hat (wenn Sie nicht wissen, welcher Detektor diesen Virus erkennt, führen Sie nacheinander alle verfügbaren Erkennungsprogramme aus, bis eines von ihnen einen Virus erkennt). In diesem Fall ist es besser, kein Behandlungsschema festzulegen. Wenn das Erkennungsprogramm einen Boot-Virus gefunden hat, können Sie seinen Behandlungsmodus sicher verwenden, um den Virus zu beseitigen. Wird ein DIR-Virus entdeckt, muss dieser ebenfalls mit einem Antivirenprogramm entfernt werden, auf keinen Fall mit Programmen wie NDD oder ChkDsk.
Jetzt (wenn bekannt ist, dass sich keine Viren vom Typ DIR auf der Festplatte befinden) können Sie die Integrität des Dateisystems und der Festplattenoberfläche mit dem NDD-Programm überprüfen: „NDD D: / C“. Wenn das Dateisystem erheblich beschädigt ist, empfiehlt es sich, alle erforderlichen Dateien von der Festplatte, deren Kopien sich nicht im Archiv befinden, auf Disketten zu kopieren und die Festplatte neu zu formatieren. Wenn die Festplatte eine komplexe Dateistruktur hat, können Sie versuchen, sie mit dem Programm DiskEdit (aus dem Norton Utilities-Komplex) zu korrigieren.
Wenn Sie für das Prüfprogramm Informationen zu Dateien auf der Festplatte gespeichert haben, ist es hilfreich, das Prüfprogramm auszuführen, um Änderungen in Dateien zu diagnostizieren. Dadurch wird festgestellt, welche Dateien durch den Virus infiziert oder beschädigt wurden. Wenn das Inspector-Programm auch die Funktionen eines Arztes erfüllt, können Sie es mit der Wiederherstellung infizierter Dateien beauftragen.
Löschen Sie alles von der Festplatte Junk-Dateien, sowie Dateien, von denen sich Kopien im Archiv befinden. Dateien, die nicht durch den Virus verändert wurden (dieser kann mit dem Prüfprogramm installiert werden), müssen nicht gelöscht werden. Auf keinen Fall sollten Sie COM- und EXE-Dateien auf der Diskette belassen, bei denen das Prüfprogramm eine Änderung meldet. Jene COM- und EXE-Dateien, von denen nicht bekannt ist, ob sie durch einen Virus verändert wurden oder nicht, sollten nur im Notfall auf der Festplatte belassen werden.
5. Wenn die Festplatte, auf der Sie arbeiten, eine Systemfestplatte ist (d. h. Sie können das DOS-Betriebssystem von ihr booten), sollten Sie den Bootsektor und die Betriebssystemdateien darauf neu schreiben (dies kann mit dem Befehl SYS erfolgen aus dem DOS-Komplex).
6. Wenn Ihr Computer mit einem Dateivirus infiziert wurde und Sie ihn nicht mit Hilfe eines Arztes behandelt haben, sollten Sie das Programm ausführen - einen Arzt zur Behandlung diese Scheibe. Infizierte Dateien, die der Arzt nicht wiederherstellen konnte, sollten vernichtet werden. Wenn natürlich nur die Dateien auf dem Datenträger verbleiben, die nicht mit einem Virus infiziert werden können (z. B. die Quelltexte von Programmen und Dokumenten), müssen Sie für diesen Datenträger kein Programm ausführen, um den Virus zu zerstören.
7. Mithilfe von Sicherungskopien sollten Sie die Dateien wiederherstellen, die sich auf der Festplatte befanden.
8. Wenn Sie nicht sicher sind, dass das Archiv keine infizierten Dateien enthält, und Sie über ein Programm zum Erkennen oder Zerstören des Virus verfügen, der den Computer infiziert hat, sollten Sie dieses Programm für die Festplatte erneut ausführen. Wenn auf der Festplatte infizierte Dateien gefunden werden, müssen diejenigen, die mit dem Virenentfernungsprogramm wiederhergestellt werden können, in das Archiv kopiert werden, und der Rest muss von der Festplatte und aus dem Archiv gelöscht werden.
Alle Datenträger, die durch einen Virus infiziert oder beschädigt werden könnten, sollten einer solchen Verarbeitung unterzogen werden. Wenn Sie ein gutes Antiviren-Filterprogramm haben (z. B. VSafe aus dem DOS-Komplex), ist es ratsam, zumindest eine Weile damit zu arbeiten, dieses Programm auszuführen. Es sollte auch berücksichtigt werden, dass ein Computer häufig mit mehreren Viren gleichzeitig infiziert ist. Nachdem Sie einen Virus neutralisiert haben, sollten Sie daher alle Festplatten auf das Vorhandensein eines anderen überprüfen.
c) Vorbeugung gegen eine Infektion mit dem Virus
In diesem Abschnitt werden Maßnahmen beschrieben, die ergriffen werden können, um die Wahrscheinlichkeit zu verringern, dass ein Computer mit einem Virus infiziert wird, und um den Schaden durch eine Virusinfektion zu minimieren, falls sie doch auftritt. Selbstverständlich können Sie nicht alle beschriebenen Mittel zur Vorbeugung gegen eine Ansteckung mit dem Virus anwenden, sondern nur die, die Sie für notwendig erachten.
Maßnahmen zum Schutz vor Viren lassen sich in mehrere Gruppen einteilen.
1) Kopieren von Informationen und Zugriffskontrolle
1. Es ist notwendig, Archiv- oder Referenzkopien der von Ihnen verwendeten Software und Datenpakete zu haben und die von Ihnen erstellten oder geänderten Dateien regelmäßig zu archivieren. Vor dem Archivieren von Dateien empfiehlt es sich, diese mit einem Erkennungsprogramm (z. B. AidsTest) auf Virenfreiheit zu prüfen. Wichtig ist, dass Informationen nicht zu selten kopiert werden – dann ist der Informationsverlust bei versehentlicher Zerstörung nicht so groß.2. Es ist auch ratsam, den Sektor mit der Tabelle zu kopieren harte Trennung Festplatte, die Bootsektoren aller logischen Festplatten und den Inhalt des CMOS (Computer Non-Volatile Memory) Dies kann mit dem Element „Rettungsdiskette erstellen“ des Programms DiskTool aus der Norton Utilites-Suite erfolgen. Um diese Bereiche wiederherzustellen, verwenden Sie den Artikel "Rettungsdiskette wiederherstellen" desselben Komplexes.3. Auf Disketten mit Dateien, die nicht geändert werden müssen, sollte ein Schreibschutz gesetzt werden. Es empfiehlt sich, auf der Festplatte einen schreibgeschützten logischen Datenträger anzulegen und darauf Programme und Daten abzulegen, die nicht geändert werden müssen.4. Sie sollten keine Software von anderen Computern umschreiben (insbesondere von solchen, auf die verschiedene unverantwortliche Personen zugreifen können), da sie mit einem Virus infiziert sein kann.
2) Überprüfung von Daten, die von außen kommen
1. Alle von außen mitgebrachten Disketten sollten vor Gebrauch mit Hilfe von Erkennungsprogrammen auf das Vorhandensein eines Virus überprüft werden. Dies ist auch nützlich, wenn Sie nur Datendateien auf diesen Disketten verwenden möchten - je früher Sie einen Virus entdecken, desto besser. Zur Überprüfung können Sie das Programm AidsTest verwenden.
Um beispielsweise Diskette A: zu testen, geben Sie den folgenden Befehl ein: AIDSTEST A: /S /G. Hier stellt der /S-Modus langsame Arbeit ein, um nach beschädigten Viren zu suchen, und der /G-Modus überprüft alle Dateien auf der Festplatte.2. Wenn die mitgebrachten Programme auf Disketten archiviert sind, sollten Sie die Dateien aus dem Archiv extrahieren und anschließend sofort überprüfen. Wenn die Dateien beispielsweise in das Verzeichnis C:/TIME extrahiert werden, sollten Sie den folgenden Befehl eingeben: AIDSTEST C:TIME*.* /S /G.3. Wenn Programme aus Archiven nur mit dem Programmpaket-Installer entpackt werden können, müssen Sie dieses Paket installieren und unmittelbar danach den Computer neu starten (wieder nicht „Alt + Strg + Entf“, sondern „Zurücksetzen“) und die geschriebenen Dateien überprüfen auf die Festplatte, wie weiter oben beschrieben. Es wird empfohlen, die Installation nur mit aktivierter Antivirus-Filtersoftware (z. B. Vsafe aus dem MS-DOS-Kit) durchzuführen.
3) Vorbereitung eines „Reparaturkits“
1. Sie müssen eine Systemdiskette mit der von Ihnen verwendeten DOS-Version vorbereiten. Dies kann mit dem Befehl "FORMAT A: /S" oder "SYSA:" erfolgen. Auf diese Diskette (wenn der Platz nicht ausreicht, dann auf andere Disketten) sollten folgende Programme kopiert werden:
DOS-Festplattenwartungsprogramme: Format, FDisk, Label, Sys usw.;
andere häufig verwendete Programme zum Verwalten des Dateisystems auf der Festplatte, wie NDD, Disk Edit, Disk Tool, Calibrate, UnErase usw., die in der Norton Utilites 7.0-Softwaresuite enthalten sind;
ein Programm zum Einstellen von Computerkonfigurationsparametern (ein solches Programm kann SETUP, SETUP 1, AT SETUP usw. heißen), wenn ein solches Programm in dem mit Ihrem Computer gelieferten Softwarepaket enthalten ist;
Programme zum Entpacken aller Arten von Archivdateien, die Sie (und Ihre Kollegen) verwenden: PKUN ZIP, ARJ, LHA, RAR usw. Es empfiehlt sich, auf jeder dieser Disketten den DOS-Kommandoprozessor, die Datei COMMAND.COM, abzulegen, damit beim Arbeiten mit diesen Disketten keine Meldungen erscheinen, die Sie auffordern, eine Diskette mit der Datei COMMAND.COM einzulegen.
Auf eine der Disketten ist es wünschenswert, die Bootsektoren der Festplatte und den Inhalt des CMOS (nichtflüchtiger Speicher) des Computers mit dem Element "Rettungsdiskette erstellen" des Programms DiskTool von Norton Utilites zu kopieren Komplex.
Eine gute Lösung wäre, ein umfassendes DOS-Navigator-Shell-Programm in das "Reparatur-Kit" zu packen: Es kombiniert vieles nützliche Funktionen mit relativ wenig belegtem Speicherplatz (ca. 670 Kb), zum Beispiel: alle Arten von Dateioperationen, DiskEdit, Format, Undelete (Reanimator), Find (Suche), Label, DiskCopy, Calculator, Arbeiten mit Archiven, vieles mehr (was ist am wichtigsten - bequemes Management).
2. Das "Reparatur-Kit" sollte auch Programme zum Erkennen und Zerstören verschiedener Computerviren enthalten. Wählen Sie Programme, die gut funktionieren, für eine breite Palette von Viren entwickelt wurden oder Viren, die von anderen Programmen nicht "abgefangen" werden und selbst auf Virenfreiheit getestet wurden. Detektorprogramme sollten regelmäßig aktualisiert werden (zB wird das AidsTest-Programm mehrmals im Monat „aktualisiert“). Jetzt erscheinen jede Woche neue Viren, und wenn Sie Programmversionen verwenden, die sechs Monate oder ein Jahr alt sind, ist es sehr wahrscheinlich, dass Sie sich mit einem Virus infizieren, den diese Programme nicht kennen.3. Bei "Repair Kit"-Disketten sollte der Schreibschutzschlitz versiegelt sein (bei 3-Zoll-Disketten muss der Schreibschutzriegel geöffnet sein), damit die kopierten Dateien nicht versehentlich verändert oder beschädigt werden können.
4) Schutz vor Bootviren
1. Auf Computern, bei denen das im BIOS enthaltene Konfigurations-Setup-Programm (das beim Booten durch Drücken einer bestimmten Tastenkombination aufgerufen wird) es Ihnen ermöglicht, das Booten von einer Diskette zu deaktivieren, ist es ratsam, dies zu tun, dann haben Sie keine Angst vor jedem Booten Viren. Stellen Sie auf anderen Computern sicher, dass sich keine Diskette in Laufwerk A: befindet, bevor Sie von der Festplatte neu starten. Wenn eine Diskette vorhanden ist, öffnen Sie die Diskettentür, bevor Sie neu starten.
2. Wenn Sie Ihren Computer von einer Diskette neu starten möchten, verwenden Sie nur eine schreibgeschützte "Referenz"-Diskette, die das Betriebssystem enthält.
5) Periodischer Virenscan
1. Es ist ratsam, das ausführbare ADInfExt-Desinfektionspräfix in die Batch-Datei AUTOEXEC.BAT einzufügen. Wenn infizierte Dateien gefunden werden, fordert das ADinf-Programm Sie auf, diese sofort zu desinfizieren.
2. Eine sehr einfache und zuverlässige Prüfung auf residente Viren besteht darin, Änderungen auf der Speicherkarte des Computers zu verfolgen. Erfahrene Benutzer werden in der Lage sein, ihre eigenen zu schreiben Batch-Dateien um automatisch nach residenten Viren zu suchen.
Abschluss
Lassen Sie nicht autorisierte Personen nicht unbeaufsichtigt am Computer arbeiten, insbesondere wenn sie über eigene Disketten verfügen. Fans von Computerspielen sind am gefährlichsten - sie können nicht nur keine Vorsichtsmaßnahmen gegen Viren befolgen, sondern auch alle Warnungen von Antiviren-Tools ignorieren. Sehr oft war die Ursache einer Computerinfektion mit einem Virus ein Spiel, das auf einer Diskette mitgebracht wurde und das jemand 10-15 Minuten lang auf einem Computer spielte.
Für den Fall, dass es nicht möglich ist, den Zugriff zufälliger Personen auf den Computer zu vermeiden (z Trainingszentrum), empfiehlt es sich, alle oder fast alle Programme, die sich auf der Festplatte des Computers befinden, auf einem schreibgeschützten logischen Datenträger abzulegen.
Es ist unmöglich, Angst vor einer Infektion zu haben - Sie müssen sich davor hüten, Antiviren-Tools bei Ihrer Arbeit geschickt einsetzen, verschiedene Warnungen von Antivirenprogrammen nicht ignorieren, aber auch nicht blind folgen oder ihnen glauben: in mehr als 85% der Fälle , werden ungewöhnliche Aktionen nicht durch die Aktion des Virus verursacht, sondern durch falsche Aktionen des Benutzers oder der verwendeten Programme. Es kann empfohlen werden, nur Programme zu verwenden, die in Firmengeschäften auf Referenzdisketten (natürlich schreibgeschützt) gekauft wurden, aber die Praxis zeigt, dass die absolute Mehrheit solchen Ratschlägen nicht folgen wird.
Liste der Informationsquellen
Literarische Veröffentlichungen:
1. Sergey Molyavko, Gerhard Franken: MS-DOS 6.0 für den Benutzer: - Kyiv: BHV Trade and Publishing Bureau, 1993.
2. Figurnov V.E.: IBM PC für den Benutzer: - Ufa, PC "Degtyarev and son", NPO "Informatics and Computers", 1993.
3. Elektronisches Tagebuch"Antivirus-Review" Hedgehogs ", 1999
4. Beilage zur Zeitung "Erster September" - "Informatik", Nummer 38, 1999
Computerquellen :
1. Antivirus-Doktor Doctor Web(Autor - I. A. Danilov).
3. MSAV (Microsoft Anti-Virus) Antivirus-Doktor von MS-DOS 6.22 (Microsoft).
4. VSafe-Virenschutzfilter von MS-DOS 6.22 (Microsoft).
5. Antiviren-Arztprogramm Aids Test Version 1721 (Autor - D. N. Lozinsky).
EINFÜHRUNG
Wir leben an der Wende von zwei Jahrtausenden, als die Menschheit in die Ära einer neuen wissenschaftlichen und technologischen Revolution eingetreten ist.
Ende des 20. Jahrhunderts hatten die Menschen viele der Geheimnisse der Umwandlung von Materie und Energie gemeistert und konnten dieses Wissen nutzen, um ihr Leben zu verbessern. Doch neben Materie und Energie spielt eine weitere Komponente im menschlichen Leben eine große Rolle – die Information. Dies ist eine Vielzahl von Informationen, Nachrichten, Nachrichten, Wissen, Fähigkeiten.
In der Mitte unseres Jahrhunderts tauchten spezielle Geräte auf - Computer, die sich auf das Speichern und Konvertieren von Informationen konzentrierten, und es fand eine Computerrevolution statt.
Heutzutage hat sich leider herausgestellt, dass die Massennutzung von PCs mit dem Aufkommen von sich selbst reproduzierenden Virenprogrammen verbunden ist, die verhindern normale Operation Computer, Zerstörung der Dateistruktur von Datenträgern und Beschädigung der auf dem Computer gespeicherten Informationen.
Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung der Computerkriminalität und der Entwicklung von spezielle Programme neuer Virenschutztools wächst die Zahl neuer Softwareviren ständig. Dies erfordert den Benutzer persönlicher Computer Kenntnisse über die Natur von Viren, Infektionsmethoden und Schutz vor Viren. Dies war der Anstoß für die Wahl des Themas meiner Arbeit.
Davon rede ich in meinem Aufsatz. Ich zeige die Haupttypen von Viren, betrachte die Schemata ihrer Funktionsweise, die Gründe für ihr Auftreten und die Möglichkeiten, in den Computer einzudringen, und schlage auch Maßnahmen zum Schutz und zur Vorbeugung vor.
Ziel der Arbeit ist es, den Benutzer mit den Grundlagen der Computervirologie vertraut zu machen, Viren zu erkennen und zu bekämpfen. Die Arbeitsmethode ist die Analyse gedruckter Publikationen zu diesem Thema. Ich stand vor einer schwierigen Aufgabe – darüber zu sprechen, was sehr wenig untersucht wurde und wie es passiert ist – Sie sind der Richter.
1. COMPUTERVIREN UND IHRE EIGENSCHAFTEN
UND KLASSIFIZIERUNG
1.1. Eigenschaften von Computerviren
Jetzt werden Personal Computer verwendet, bei denen der Benutzer freien Zugriff auf alle Ressourcen der Maschine hat. Dies eröffnete die Möglichkeit für die Gefahr, die als Computervirus bekannt wurde.
Was ist ein Computervirus? Eine formale Definition dieses Begriffs wurde noch nicht erfunden, und es bestehen ernsthafte Zweifel, ob sie überhaupt gegeben werden kann. Zahlreiche Versuche, eine „moderne“ Definition des Virus zu geben, waren nicht erfolgreich. Um die Komplexität des Problems zu spüren, versuchen Sie beispielsweise, den Begriff „Editor“ zu definieren. Entweder fällt Ihnen etwas sehr Allgemeines ein, oder Sie fangen an, alle bekannten Arten von Editoren aufzulisten. Beides kann kaum als akzeptabel angesehen werden. Daher beschränken wir uns darauf, einige Eigenschaften von Computerviren zu betrachten, die es uns ermöglichen, von ihnen als einer bestimmten spezifischen Klasse von Programmen zu sprechen.
Zunächst einmal ist ein Virus ein Programm. Allein eine solch einfache Aussage kann viele Legenden über die außergewöhnlichen Fähigkeiten von Computerviren zerstreuen. Der Virus kann das Bild auf Ihrem Monitor umdrehen, aber nicht den Monitor selbst. Legenden über Killerviren, die „Operatoren zerstören, indem sie ein tödliches Farbschema auf dem 25. Frame anzeigen“, sollten ebenfalls nicht ernst genommen werden. Leider veröffentlichen einige maßgebliche Veröffentlichungen von Zeit zu Zeit "die neuesten Nachrichten von der Computerfront", die sich bei näherer Betrachtung als Ergebnis eines nicht ganz klaren Verständnisses des Themas herausstellen.
Ein Virus ist ein Programm, das sich selbst reproduzieren kann. Diese Fähigkeit ist das einzige Mittel, das allen Arten von Viren innewohnt. Aber nicht nur Viren sind zur Selbstreplikation fähig. Jedes Betriebssystem und viele andere Programme sind in der Lage, ihre eigenen Kopien zu erstellen. Kopien desselben Virus müssen nicht nur nicht vollständig mit dem Original übereinstimmen, sondern dürfen überhaupt nicht übereinstimmen!
Ein Virus kann nicht in „vollständiger Isolation“ existieren: Heutzutage ist es unmöglich, sich einen Virus vorzustellen, der nicht den Code anderer Programme verwendet, Informationen darüber Dateistruktur oder auch nur die Namen anderer Programme. Der Grund ist klar: Das Virus muss irgendwie dafür sorgen, dass die Kontrolle auf sich selbst übertragen wird.
1.2. Virusklassifizierung
Derzeit sind mehr als 5.000 Softwareviren bekannt, die nach folgenden Kriterien eingeteilt werden können:
¨ Lebensraum
¨ Weg der Umweltverschmutzung
Auswirkung
¨ Merkmale des Algorithmus
Je nach Lebensraum können Viren in Netzwerk-, Datei-, Boot- und Datei-Boot-Viren unterteilt werden. Netzwerkviren verteilt über verschiedene Computernetzwerke. Dateiviren werden hauptsächlich in ausführbare Module eingeführt, dh in Dateien mit den Erweiterungen COM und EXE. Dateiviren können in andere Arten von Dateien eingebettet werden, aber in der Regel in solche Dateien geschrieben werden, erhalten sie niemals die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion. Boot-Viren sind in den Bootsektor der Platte (Boot-Sektor) oder in den Sektor eingebettet, der das Bootprogramm enthält Systemfestplatte(Master Boot Re-
Kabel). Dateiboot Viren infizieren sowohl Dateien als auch Festplatten-Bootsektoren.
Je nach Infektionsmethode werden Viren in residente und nicht residente Viren unterteilt. Residenter Virus Beim Infizieren (Infizieren) eines Computers belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte (Dateien, Festplatten-Bootsektoren usw.) abfängt und in sie eindringt. Residente Viren befinden sich im Arbeitsspeicher und bleiben aktiv, bis der Computer ausgeschaltet oder neu gestartet wird. Nicht residente Viren infizieren den Computerspeicher nicht und sind für eine begrenzte Zeit aktiv.
Je nach Grad der Auswirkung können Viren in folgende Typen eingeteilt werden:
¨ ungefährlich, die den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Festplattenspeicher reduzieren, manifestieren sich die Aktionen solcher Viren in Grafik- oder Soundeffekten
¨ gefährlich Viren, die verschiedene Probleme mit Ihrem Computer verursachen können
¨ sehr gefährlich, deren Auswirkungen zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen von Informationen in den Systembereichen der Festplatte führen können.
2. HAUPTVIRUSTYPEN
UND SCHEMA IHRER FUNKTION
Unter der Vielzahl von Viren können folgende Hauptgruppen unterschieden werden:
Stiefel
Datei
¨ Dateiboot
Nun detaillierter zu jeder dieser Gruppen.
2.1. Boot-Viren
Betrachten Sie die Funktionsweise eines sehr einfachen Boot-Virus, der Disketten infiziert. Wir umgehen bewusst alle zahlreichen Feinheiten, die bei einer rigorosen Analyse des Algorithmus auf seine Funktionsweise zwangsläufig auftreten würden.
Was passiert, wenn Sie Ihren Computer einschalten? Zunächst wird die Kontrolle übertragen Bootstrap-Programm, die im Nur-Lese-Speicher (ROM) gespeichert ist, d.h. PNZ-ROM.
Dieses Programm testet die Hardware und versucht, wenn die Tests bestanden werden, die Diskette in Laufwerk A zu finden:
Jede Diskette ist auf der sog. Sektoren und Spuren. Sektoren werden zu Clustern zusammengefasst, was für uns aber nicht zwingend ist.
Unter den Sektoren gibt es mehrere Dienstsektoren, die vom Betriebssystem für seine eigenen Bedürfnisse verwendet werden (Ihre Daten können nicht in diesen Sektoren abgelegt werden). Unter den Dienstleistungsbereichen interessiert uns noch einer - der sogenannte. Bootstrap-Sektor(Bootsektor).
Der Bootstrap-Sektor speichert Disketteninformationen- die Anzahl der Flächen, die Anzahl der Gleise, die Anzahl der Sektoren usw. Aber jetzt interessieren uns diese Informationen nicht, sondern nur eine kleine Bootstrap-Programm(PNZ), der das Betriebssystem selbst laden und ihm die Steuerung übergeben soll.
Das normale Bootstrap-Muster sieht also wie folgt aus:
Denken Sie jetzt an das Virus. Bei Boot-Viren werden zwei Teile unterschieden - die sogenannten. Kopf usw. Schwanz. Der Schwanz kann im Allgemeinen leer sein.
Angenommen, Sie haben eine leere Diskette und einen infizierten Computer, womit wir einen Computer mit einem aktiven residenten Virus meinen. Sobald dieser Virus erkennt, dass ein geeignetes Opfer im Laufwerk aufgetaucht ist – in unserem Fall eine nicht schreibgeschützte und noch nicht infizierte Diskette – beginnt er mit der Infektion. Beim Infizieren einer Diskette führt der Virus die folgenden Aktionen aus:
n weist einen bestimmten Bereich der Festplatte zu und markiert ihn als für das Betriebssystem unzugänglich, dies kann auf verschiedene Arten erfolgen, im einfachsten und traditionellen Fall werden Sektoren, die von einem Virus belegt sind, als schlecht (schlecht) markiert.
n kopiert seinen Schwanz und den ursprünglichen (fehlerfreien) Bootsektor in den zugewiesenen Festplattenbereich
n ersetzt den Bootstrapper im (echten) Bootsektor durch seinen Kopf
n organisiert die Übertragungskette nach dem Schema.
Damit übernimmt nun der Kopf des Virus als erster die Kontrolle, der Virus wird im Arbeitsspeicher installiert und übergibt die Kontrolle an den ursprünglichen Bootsektor. An einer Kette
PNZ (ROM) - PNZ (Festplatte) - SYSTEM
ein neuer Link erscheint:
PNZ (ROM) - VIRUS - PNZ (Festplatte) - SYSTEM
Die Moral ist klar: Lassen Sie niemals (versehentlich) Disketten in Laufwerk A.
Wir haben die Funktionsweise eines einfachen Butovy-Virus untersucht, der in den Bootsektoren von Disketten lebt. Viren können in der Regel nicht nur die Bootsektoren von Disketten, sondern auch die Bootsektoren von Festplatten infizieren. In diesem Fall hat eine Festplatte im Gegensatz zu Disketten zwei Arten von Bootsektoren, die Bootprogramme enthalten, die die Steuerung erhalten. Beim Booten eines Computers von einer Festplatte übernimmt zunächst das Bootprogramm im MBR (Master Boot Record – Master Boot Record). Wenn Ihre Festplatte in mehrere Partitionen aufgeteilt ist, dann ist nur eine davon als bootfähig (boot) gekennzeichnet. Das Bootstrap-Programm im MBR findet die Boot-Partition der Festplatte und übergibt die Kontrolle an den Bootloader dieser Partition. Der Code des letzteren ist derselbe wie der Code des Bootprogramms, das auf gewöhnlichen Disketten enthalten ist, und die entsprechenden Bootsektoren unterscheiden sich nur in den Parametertabellen. Somit gibt es zwei Angriffsziele von Bootviren auf der Festplatte - Bootstrap-Programm einMBR Und elementar Downloads im Bootsektor Boot-Diskette.
2.2. Dateiviren
Betrachten wir nun, wie ein einfacher Dateivirus funktioniert. Im Gegensatz zu Bootviren, die fast immer resident sind, sind Dateiviren nicht unbedingt resident. Betrachten wir das Funktionsschema eines nicht residenten Dateivirus. Angenommen, wir haben eine infizierte ausführbare Datei. Wenn eine solche Datei gestartet wird, übernimmt der Virus die Kontrolle, führt einige Aktionen aus und übergibt die Kontrolle an den "Master" (obwohl noch unbekannt ist, wer in einer solchen Situation der Master ist).
Welche Aktionen führt der Virus aus? Es sucht nach einem neuen zu infizierenden Objekt - einer Datei eines geeigneten Typs, die noch nicht infiziert wurde (falls der Virus „anständig“ ist, ansonsten gibt es solche, die sofort infizieren, ohne etwas zu überprüfen). Durch das Infizieren einer Datei injiziert sich der Virus in seinen Code, um die Kontrolle zu erlangen, wenn die Datei ausgeführt wird. Neben seiner Hauptfunktion - der Reproduktion - kann der Virus durchaus etwas Kompliziertes tun (sagen, fragen, spielen) - dies hängt bereits von der Vorstellungskraft des Virusautors ab. Wenn ein Dateivirus resident ist, installiert er sich selbst im Speicher und erhält die Fähigkeit, Dateien zu infizieren und andere Fähigkeiten zu zeigen, nicht nur während die infizierte Datei ausgeführt wird. Durch die Infektion einer ausführbaren Datei verändert ein Virus immer seinen Code – daher kann eine Infektion einer ausführbaren Datei immer erkannt werden. Aber durch die Änderung des Dateicodes nimmt der Virus nicht unbedingt andere Änderungen vor:
à Es ist nicht verpflichtet, die Länge der Datei zu ändern
à unbenutzte Codeabschnitte
à ist nicht erforderlich, um den Anfang der Datei zu ändern
Schließlich enthalten Dateiviren oft Viren, die „etwas mit Dateien zu tun haben“, aber nicht in ihren Code eindringen müssen. Betrachten wir als Beispiel das Funktionsschema der Viren der bekannten Dir-II-Familie. Es muss zugegeben werden, dass diese Viren, nachdem sie 1991 aufgetaucht waren, in Russland eine echte Pestepidemie verursachten. Betrachten Sie ein Modell, das die Grundidee eines Virus deutlich zeigt. Informationen zu Dateien werden in Verzeichnissen gespeichert. Jeder Verzeichniseintrag enthält einen Dateinamen, Erstellungsdatum und -zeit, einige Weitere Informationen, Nummer des ersten Clusters Datei usw. Ersatzbytes. Letztere bleiben "in Reserve" und MS-DOS selbst wird nicht verwendet.
Beim Ausführen ausführbarer Dateien liest das System den ersten Cluster der Datei aus dem Verzeichniseintrag und dann alle anderen Cluster. Viren der Dir-II-Familie erzeugen die folgende "Reorganisation" des Dateisystems: Der Virus selbst wird in einige freie Festplattensektoren geschrieben, die er als schlecht markiert. Außerdem speichert es Informationen über die ersten Cluster ausführbarer Dateien in Ersatzbits und schreibt anstelle dieser Informationen Verweise auf sich selbst.
Wenn also eine Datei gestartet wird, erhält der Virus die Kontrolle (das Betriebssystem startet ihn selbst), bleibt im Speicher und überträgt die Kontrolle an die aufgerufene Datei.
2.3. Boot-Datei-Viren
Wir werden das Virusmodell der Bootdatei nicht betrachten, da Sie in diesem Fall keine neuen Informationen erfahren. Aber hier ist eine Gelegenheit, kurz auf den kürzlich äußerst "populären" OneHalf-Bootdateivirus einzugehen, der den Master-Bootsektor (MBR) und ausführbare Dateien infiziert. Die wichtigste destruktive Aktion ist die Verschlüsselung von Festplattensektoren. Bei jedem Start verschlüsselt der Virus einen weiteren Teil der Sektoren, und nachdem er die Hälfte der Festplatte verschlüsselt hat, gibt er dies fröhlich bekannt. Das Hauptproblem bei der Behandlung dieses Virus besteht darin, dass es nicht ausreicht, den Virus nur aus dem MBR und den Dateien zu entfernen, es ist notwendig, die von ihm verschlüsselten Informationen zu entschlüsseln. Die "tödlichste" Aktion besteht darin, einfach einen neuen gesunden MBR neu zu schreiben. Die Hauptsache - keine Panik. Alles in Ruhe abwägen, Experten konsultieren.
2.4. Polymorphe Viren
Die meisten Fragen beziehen sich auf den Begriff "polymorphes Virus". Diese Art von Computerviren ist bei weitem die gefährlichste. Lassen Sie uns erklären, was es ist.
Polymorphe Viren sind Viren, die ihren Code in infizierten Programmen so verändern, dass zwei Instanzen desselben Virus möglicherweise nicht in einem Bit übereinstimmen.
Solche Viren verschlüsseln nicht nur ihren Code mit unterschiedlichen Verschlüsselungswegen, sondern enthalten auch den Generierungscode des Ver- und Entschlüsselers, was sie von gewöhnlichen Verschlüsselungsviren unterscheidet, die zwar auch Teile ihres Codes verschlüsseln können, aber gleichzeitig einen konstanten Code haben des Ver- und Entschlüsselers.
Polymorphe Viren sind Viren mit selbstmodifizierenden Decodern. Der Zweck einer solchen Verschlüsselung besteht darin, dass Sie, wenn Sie eine infizierte Originaldatei haben, ihren Code immer noch nicht mit herkömmlicher Disassemblierung analysieren können. Dieser Code ist verschlüsselt und ist ein bedeutungsloser Satz von Befehlen. Die Entschlüsselung wird zur Laufzeit vom Virus selbst durchgeführt. Dabei sind Optionen möglich: er kann sich auf einmal entschlüsseln, oder er kann eine solche Entschlüsselung „unterwegs“ durchführen, er kann bereits ausgearbeitete Abschnitte nochmals verschlüsseln. All dies geschieht, um die Analyse des Virencodes zu erschweren.
3. GESCHICHTE DER COMPUTERVIROLOGIE
UND GRÜNDE FÜR DAS ERSCHEINEN VON VIREN
Die Geschichte der Computervirologie scheint heute ein ständiger „Wettlauf um die Führung“ zu sein, und trotz der vollen Leistungsfähigkeit moderner Antivirenprogramme sind es die Viren, die die Führung übernehmen. Unter den Tausenden von Viren sind nur wenige Dutzend Originalentwicklungen, die wirklich grundlegend neue Ideen verwenden. Alle anderen sind "Variationen über ein Thema". Aber jede originelle Entwicklung zwingt die Entwickler von Antivirenprogrammen, sich an neue Bedingungen anzupassen und mit der Virentechnologie Schritt zu halten. Letzteres kann bestritten werden. Beispielsweise gelang es einem amerikanischen Studenten 1989, einen Virus zu erstellen, der etwa 6.000 Computer des US-Verteidigungsministeriums deaktivierte. Oder die Epidemie des berühmten Dir-II-Virus, die 1991 ausbrach. Das Virus verwendet eine wirklich originelle, grundlegend neue Technologie und konnte sich aufgrund der Unvollkommenheit herkömmlicher Antiviren-Tools zunächst weit verbreiten.
Oder der Ausbruch von Computerviren in Großbritannien: Christopher Pine gelang es, die Viren Pathogen und Queeq sowie den Smeg-Virus zu erschaffen. Letzteres war am gefährlichsten, es konnte auf die ersten beiden Viren angewendet werden, und aus diesem Grund änderten sie nach jedem Programmlauf die Konfiguration. Daher konnten sie nicht zerstört werden. Um Viren zu verbreiten, kopierte Pine Computerspiele und Programme, infizierte sie und schickte sie dann zurück an das Netzwerk. Benutzer luden infizierte Programme auf ihre Computer und infizierten Festplatten herunter. Die Situation wurde durch die Tatsache verschlimmert, dass es Pine gelang, Viren in das Programm zu bringen, das sie bekämpft. Durch die Ausführung erhielten Benutzer, anstatt Viren zu zerstören, einen anderen. In der Folge wurden die Akten vieler Firmen vernichtet, die Verluste beliefen sich auf Millionen von Pfund.
Der amerikanische Programmierer Morris ist weithin bekannt. Er ist als Schöpfer des Virus bekannt, der im November 1988 etwa 7.000 mit dem Internet verbundene PCs infizierte.
Die Gründe für das Auftreten und die Verbreitung von Computerviren liegen einerseits in der Psychologie der menschlichen Persönlichkeit und ihren Schattenseiten (Neid, Rache, Eitelkeit unerkannter Schöpfer, Unfähigkeit, ihre Fähigkeiten konstruktiv einzusetzen), andererseits andererseits aufgrund des Fehlens von Hardwareschutz und Gegenmaßnahmen aus dem Operationssaal Personalcomputersysteme.
4. WEGE DES EINDRINGENS VON VIREN IN EINEN COMPUTER UND MECHANISMUS DER VERTEILUNG VON VIRUSPROGRAMMEN
Die Hauptwege für Viren, um in einen Computer einzudringen, sind Wechseldatenträger (Disketten und Laser) sowie Computernetzwerke. Eine Vireninfektion der Festplatte kann auftreten, wenn ein Programm von einer Diskette geladen wird, die einen Virus enthält. Eine solche Infektion kann auch zufällig sein, wenn beispielsweise die Diskette nicht aus Laufwerk A entfernt und der Computer neu gestartet wurde, obwohl es sich bei der Diskette möglicherweise nicht um eine Systemdiskette handelt. Es ist viel einfacher, eine Diskette zu infizieren. Ein Virus kann darauf gelangen, selbst wenn die Diskette einfach in das Laufwerk eines infizierten Computers eingelegt und beispielsweise dessen Inhaltsverzeichnis ausgelesen wird.
Das Virus infiziert normalerweise Arbeitsprogramm in der Weise, dass ihm beim Start zunächst die Kontrolle übertragen wird und erst nach Ausführung aller seiner Befehle wieder zum Arbeitsprogramm zurückkehrt. Nachdem der Virus Zugriff auf die Kontrolle erlangt hat, schreibt er sich zunächst in ein anderes Arbeitsprogramm um und infiziert es. Nach dem Ausführen eines Programms, das einen Virus enthält, können andere Dateien infiziert werden. Der Bootsektor der Festplatte und ausführbare Dateien, die haben EXE-Erweiterungen, COM, SYS, BAT. Textdateien werden äußerst selten infiziert.
Nach der Infektion des Programms kann der Virus eine Art Sabotage ausführen, die nicht zu schwerwiegend ist, um keine Aufmerksamkeit zu erregen. Und schließlich vergessen Sie nicht, die Kontrolle an das Programm zurückzugeben, von dem aus es gestartet wurde. Jede Ausführung eines infizierten Programms überträgt den Virus auf das nächste. Somit wird die gesamte Software infiziert.
Zur Veranschaulichung des Infektionsprozesses Computer Programm Als Virus ist es sinnvoll, Plattenspeicher mit einem altmodischen Archiv mit Ordnern auf Band zu vergleichen. Die Ordner enthalten Programme, und die Reihenfolge der Vorgänge zum Einschleusen eines Virus sieht in diesem Fall wie folgt aus (siehe Anhang 1).
5. ANZEIGEN VON VIREN
Wenn ein Computer mit einem Virus infiziert ist, ist es wichtig, ihn zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen für die Manifestation von Viren kennen. Dazu gehören die folgenden:
¨ Beendigung der Arbeit oder Fehlbedienung von zuvor erfolgreich funktionierenden Programmen
¨ langsame Computerleistung
¨ Unfähigkeit, das Betriebssystem zu booten
¨ Verschwinden von Dateien und Verzeichnissen oder Verzerrung ihres Inhalts
¨ Datum und Uhrzeit der Änderung von Dateien ändern
¨ Dateigrößenänderung
¨ unerwarteter starker Anstieg der Anzahl der Dateien auf der Festplatte
¨ eine deutliche Verringerung der Größe des freien RAM
¨ Anzeigen unerwarteter Nachrichten oder Bilder auf dem Bildschirm
¨ Einreichung von unvorhergesehenen Tonsignale
¨ häufiges Einfrieren und Computerabstürze
Es sollte beachtet werden, dass die oben genannten Phänomene nicht unbedingt durch das Vorhandensein des Virus verursacht werden, sondern auf andere Ursachen zurückzuführen sein können. Daher ist es immer schwierig, den Zustand des Computers richtig zu diagnostizieren.
6. VIRUS-ERKENNUNG UND -SCHUTZ UND PRÄVENTIONSMASSNAHMEN
6.1. So erkennen Sie einen Virus? Traditioneller Ansatz
Ein bestimmter Virenschreiber erstellt also einen Virus und erweckt ihn zum „Leben“. Eine Zeit lang mag er frei gehen, aber früher oder später wird das „lafa“ enden. Jemand wird vermuten, dass etwas nicht stimmt. Viren werden normalerweise gefunden gewöhnliche Benutzer die bestimmte Anomalien im Verhalten des Computers bemerken. Sie sind in den meisten Fällen nicht in der Lage, die Infektion alleine zu bewältigen, dies wird jedoch nicht von ihnen verlangt.
Es ist nur notwendig, dass das Virus so schnell wie möglich in die Hände von Spezialisten gelangt. Fachleute werden es studieren, herausfinden, „was es tut“, „wie es tut“, „wann es tut“ usw. Bei dieser Arbeit werden alle notwendigen Informationen über diesen Virus gesammelt, insbesondere die Virensignatur ist hervorgehoben - eine Folge von Bytes, die es ganz klar definiert. Um eine Signatur aufzubauen, werden in der Regel die wichtigsten und charakteristischsten Teile des Virencodes genommen. Gleichzeitig werden die Wirkungsmechanismen des Virus deutlich, beispielsweise ist es bei einem Bootvirus wichtig zu wissen, wo er seinen Schwanz versteckt, wo sich der ursprüngliche Bootsektor befindet, und bei eine Datei, wie die Datei infiziert ist. Die erhaltenen Informationen ermöglichen es uns, Folgendes herauszufinden:
So erkennen Sie einen Virus, dazu werden Methoden zur Suche nach Signaturen in potentiellen Objekten eines Virenbefalls - Dateien und / oder Bootsektoren angegeben
wie man den Virus neutralisiert, wenn möglich, werden Algorithmen zum Entfernen von Virencode von betroffenen Objekten entwickelt
6.2. Virenerkennungs- und Schutzprogramme
Zum Erkennen, Entfernen und Schützen vor Computerviren wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme werden aufgerufen Virostatikum . Es gibt die folgenden Arten von Antivirenprogrammen:
Programme-Detektoren
Programme-Ärzte oder Phagen
Programmprüfer
Programme filtern
Impfprogramme oder Immunisierer
Programme-Detektoren Durchführen einer Suche nach einer für einen bestimmten Virus charakteristischen Signatur im RAM und in Dateien und Ausgeben einer entsprechenden Meldung, wenn sie erkannt wird. Der Nachteil solcher Antivirenprogramme ist, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.
Doktorprogramme oder Phagen, und auch Impfprogramme virenverseuchte Dateien nicht nur finden, sondern auch „behandeln“, d.h. Der Hauptteil des Virusprogramms wird aus der Datei entfernt, wodurch die Dateien in ihren ursprünglichen Zustand zurückversetzt werden. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören sie und fahren erst dann mit der „Behandlung“ von Dateien fort. Unter Phagen werden Polyphagen unterschieden, d.h. Doctor-Programme, die entwickelt wurden, um eine große Anzahl von Viren zu finden und zu zerstören. Die bekanntesten von ihnen sind: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Da ständig neue Viren auftauchen, veralten Erkennungs- und Doktorprogramme schnell und es sind regelmäßige Updates erforderlich.
Wirtschaftsprüfer-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Anfangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem ursprünglichen. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Kontrollcode (Dateiprüfsumme), Datum und Uhrzeit der Änderung und andere Parameter überprüft. Auditor-Programme verfügen über ziemlich fortschrittliche Algorithmen, erkennen Stealth-Viren und können sogar Änderungen an der Version des zu prüfenden Programms von Änderungen bereinigen, die durch den Virus vorgenommen wurden. Unter den Programmprüfern ist das in Russland weit verbreitete Adinf-Programm.
Programme filtern oder "Wächter" sind kleine residente Programme, die darauf ausgelegt sind, verdächtige Computeraktivitäten zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:
Versucht, Dateien mit den Erweiterungen COM, EXE zu korrigieren
Dateiattribute ändern
Direktes Schreiben auf Platte an absoluter Adresse
Schreiben Sie in Boot-Sektoren der Festplatte
Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der "Wächter" eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie einen Virus im frühesten Stadium seiner Existenz vor der Reproduktion erkennen können. Sie "heilen" jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme wie Phagen verwenden. Zu den Nachteilen von Watchdog-Programmen gehören ihre „Ärgerlichkeit“ (sie warnen beispielsweise ständig vor dem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software. Ein Beispiel für ein Filterprogramm ist das Vsafe-Programm, das Teil des MS DOS-Dienstprogrammpakets ist.
Impfungen oder Immunisierer sind residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden verwendet, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff modifiziert das Programm oder die Diskette so, dass es ihre Arbeit nicht beeinträchtigt, und der Virus sie als infiziert wahrnimmt und sich daher nicht festsetzt. Impfprogramme sind derzeit von begrenztem Nutzen.
Die rechtzeitige Erkennung von mit Viren infizierten Dateien und Datenträgern sowie die vollständige Zerstörung erkannter Viren auf jedem Computer hilft, die Ausbreitung einer Virenepidemie auf andere Computer zu vermeiden.
6.3. Grundlegende Maßnahmen zum Schutz vor Viren
Um Ihren Computer keinen Viren auszusetzen und eine zuverlässige Speicherung von Informationen auf Datenträgern zu gewährleisten, müssen Sie die folgenden Regeln beachten:
¨ Statten Sie Ihren Computer mit aktuellen Antivirenprogrammen wie Aidstest, Doctor Web aus und aktualisieren Sie deren Versionen ständig
¨ Bevor Sie Informationen, die auf anderen Computern gespeichert sind, von Disketten lesen, überprüfen Sie diese Disketten immer auf Viren, indem Sie Antivirenprogramme auf Ihrem Computer ausführen
¨ Wenn Sie archivierte Dateien auf Ihren Computer übertragen, überprüfen Sie diese sofort nach dem Entpacken auf Ihrer Festplatte, indem Sie den Prüfbereich nur auf neu aufgezeichnete Dateien beschränken
¨ Überprüfen Sie regelmäßig die Festplatten Ihres Computers auf Viren, indem Sie Antivirenprogramme ausführen, um Dateien, Speicher und Systembereiche von Festplatten von einer schreibgeschützten Diskette zu testen, nachdem Sie das Betriebssystem von einer schreibgeschützten Systemdiskette geladen haben
¨ Schützen Sie Ihre Disketten immer schreibgeschützt, wenn Sie an anderen Computern arbeiten, wenn sie nicht auf Informationen geschrieben werden
¨ unbedingt tun Archivkopien auf Disketten mit wertvollen Informationen für Sie
¨ Lassen Sie beim Einschalten oder Neustarten des Betriebssystems keine Disketten im Fach von Laufwerk A, um eine Infektion des Computers mit Boot-Viren zu verhindern
¨ Verwenden Sie Antivirenprogramme zur Eingabekontrolle aller aus Computernetzwerken empfangenen ausführbaren Dateien
¨ Um eine größere Sicherheit zu gewährleisten, muss die Verwendung von Aidstest und Doctor Web mit der täglichen Verwendung des Adinf Disk Auditor kombiniert werden
ABSCHLUSS
Wir können also viele Fakten anführen, die darauf hindeuten, dass die Bedrohung der Informationsressource jeden Tag zunimmt und die Verantwortlichen in Banken, Unternehmen und Unternehmen auf der ganzen Welt in Panik versetzt. Und diese Bedrohung geht von Computerviren aus, die lebenswichtige, wertvolle Informationen verfälschen oder zerstören, was nicht nur zu finanziellen Verlusten, sondern auch zu menschlichen Opfern führen kann.
Computer Virus - ein speziell geschriebenes Programm, das sich spontan an andere Programme anhängen, Kopien von sich selbst erstellen und sie in Dateien, Computersystembereiche und Computernetzwerke einbetten kann, um Programme zu stören, Dateien und Verzeichnisse zu beschädigen und alle Arten von Störungen im Computer zu erzeugen.
Derzeit sind mehr als 5.000 Softwareviren bekannt, deren Zahl ständig wächst. Es gibt Fälle, in denen Tutorials erstellt wurden, um beim Schreiben von Viren zu helfen.
Die Haupttypen von Viren: Boot, Datei, Datei-Boot. Am meisten gefährlicher Anblick Viren sind polymorph.
Aus der Geschichte der Computervirologie geht hervor, dass jede originelle Computerentwicklung die Entwickler von Antivirenprogrammen dazu zwingt, sich an neue Technologien anzupassen und Antivirenprogramme ständig zu verbessern.
Die Gründe für das Auftreten und die Verbreitung von Viren verstecken sich einerseits in der menschlichen Psychologie, andererseits im fehlenden Schutz des Betriebssystems.
Die Hauptwege für das Eindringen von Viren sind Wechseldatenträger und Computernetzwerke. Treffen Sie Vorkehrungen, um dies zu verhindern. Außerdem wurden verschiedene Arten von speziellen Programmen, die als Antivirenprogramme bezeichnet werden, entwickelt, um Computerviren zu erkennen, zu entfernen und sich davor zu schützen. Wenn Sie immer noch einen Virus auf Ihrem Computer finden, ist es nach dem traditionellen Ansatz besser, einen Fachmann anzurufen, damit er es weiter herausfinden kann.
Aber einige Eigenschaften von Viren stellen selbst Experten vor Rätsel. Bis vor kurzem war es schwer vorstellbar, dass ein Virus einen Kaltstart überleben oder sich über Dokumentdateien ausbreiten könnte. Unter solchen Bedingungen ist es unmöglich, zumindest auf die anfängliche Antiviren-Schulung der Benutzer keinen Wert zu legen. Trotz der Ernsthaftigkeit des Problems kann kein Virus so viel Schaden anrichten wie ein weißer Benutzer mit zitternden Händen!
So, die Gesundheit Ihrer Computer, die Sicherheit Ihrer Daten - in Ihren Händen!
Bibliographisches Verzeichnis
1. Informatik: Lehrbuch / Hrsg. Prof.. NV Makarowa. - M.: Finanzen und Statistik, 1997.
2. Enzyklopädie der Geheimnisse und Empfindungen / Vorbereitet. Text von Yu.N. Petrow. - Minsk: Literatur, 1996.
3. Bezrukow N.N. Computer Virus. -M.: Nauka, 1991.
4. Mostovoy D.Ju. Moderne Technologien Kampf gegen Viren // PC World. - Nr. 8. - 1993.
Unterrichten
Benötigen Sie Hilfe beim Erlernen eines Themas?
Unsere Experten beraten oder bieten Nachhilfe zu Themen an, die Sie interessieren.
Einen Antrag stellen gleich das Thema angeben, um sich über die Möglichkeit einer Beratung zu informieren.
Der Begriff „Computervirus“ wurde erstmals 1984 von Fred Cohen an der Lehigh University (USA) verwendet.
Ein Computervirus ist eines der interessantesten Phänomene, die bei der Entwicklung der Computer- und Informationstechnologie beobachtet werden können. Seine Essenz läuft darauf hinaus, dass Programme die Eigenschaften lebender Organismen erwerben: sie werden geboren, vermehren sich, sterben.
Die Hauptbedingung für die Existenz von Viren ist eine universelle Interpretation in Computersysteme. Während ein Virus ein Programm infiziert, kann es als Daten interpretiert werden, während es während der Ausführung als ausführbarer Code interpretiert werden kann. Dieses Prinzip war die Grundlage aller modernen Computersysteme unter Verwendung der von Neumann-Architektur.
Ein Computervirus ist ein kleines, komplexes, sorgfältig hergestelltes und gefährliches Programm, die sich selbst reproduzieren, auf Festplatten und Flash-Laufwerke übertragen, an Programme anhängen, über das Netzwerk übertragen und den Computer stören können. Der Begriff eines "Computervirus" ist eng mit einem solchen Konzept wie einer Signatur verbunden. Eine Signatur ist ein Stück Code, das in allen Kopien eines Virus und nur in ihnen zu finden ist. Mit anderen Worten, die Signatur ist die Signatur des Virus, die eindeutig das Vorhandensein oder Fehlen des Virus im Programm bestimmt.
Ein Programm, das einen Computervirus enthält, wird als infiziert bezeichnet.
Ein Virus (Virenprogramm) hat folgende Eigenschaften:
- Die Möglichkeit, eigene Kopien zu erstellen und sie in andere Programmobjekte einzubetten.
- Gewährleistung der Geheimhaltung (Latenz) bis zu einem bestimmten Moment ihrer Existenz und Verbreitung.
- Unautorisierung (seitens des Benutzers) seiner Handlungen.
- Das Vorhandensein negativer Folgen seiner Funktionsweise.
Die Aktionen von Computerviren können sich auf unterschiedliche Weise manifestieren:
- einige Dateien werden beschädigt;
- Programme werden nicht mehr oder nicht richtig ausgeführt;
- Unvorhergesehene Meldungen oder Symbole erscheinen auf dem Monitorbildschirm;
- Computer wird langsamer usw.
Einige Viren manifestieren sich beim Start nicht extern und können von Zeit zu Zeit andere Programme infizieren und unerwünschte Aktionen auf dem Computer ausführen, z. B. vertrauliche Informationen an einen Angreifer senden. Andere Arten von Viren verursachen nach dem Infizieren von Programmen und Datenträgern ernsthaften Schaden, z. B. formatieren sie die Festplatte usw. oder drohen damit, indem sie Geld für die Entsperrung verlangen.
Infizierte Programme von einem PC können über Flash-Laufwerke, Festplatten, lokale oder globale Netzwerke auf andere Computer übertragen werden.
Wenn Sie keine Maßnahmen zum Schutz vor Computerviren ergreifen, können die Folgen einer Computerinfektion schwerwiegend sein. In einer Reihe von Ländern sieht das Strafrecht eine Haftung für Computerkriminalität vor, einschließlich der Einschleppung von Viren.
Die Erstinfektion eines PCs mit einem Virus ist möglich, wenn:
- auf dem Computer wurde ein infiziertes Programm ausgeführt;
- Das Betriebssystem wurde von einem Flash-Laufwerk oder einer Festplatte geladen, die einen infizierten Bootsektor enthält;
- Auf dem Computer ist ein infiziertes Betriebssystem oder ein infizierter Gerätetreiber installiert;
- über ein lokales und globales Netzwerk usw.
Virusklassifizierung
Heute gibt es Hunderttausende von Viren.
Die Klassifizierung von Viren erfolgt nach folgenden Kriterien:
- Lebensraum;
- Infektionsmethode;
- Aktion;
- Merkmale des Algorithmus.
Je nach Lebensraum können Viren in Netzwerk-, Datei-, Boot- und Datei-Boot-Viren unterteilt werden. Netzwerkviren verbreiten sich über verschiedene . Dateiviren dringen hauptsächlich in ausführbare Module ein, es gibt Dateien mit EXE-Erweiterungen usw. Dateiviren können auch andere Arten von Dateien infiltrieren, aber in der Regel werden sie in solchen Dateien gespeichert, sie erlangen nie die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion. Bootviren dringen in den Bootsektor des Datenträgers (Bootsektor) oder in den Sektor mit dem Bootprogramm des Systemdatenträgers (Master Boot Record) ein. Datei-Boot-Viren infizieren sowohl Dateien als auch Festplatten-Boot-Sektoren.
Je nach Infektionsmethode werden Viren in residente und nicht residente Viren unterteilt. Wenn ein residenter Virus einen Computer infiziert (infiziert), belässt er seinen residenten Teil im RAM, der dann die Aufrufe des Betriebssystems an infizierte Objekte (Dateien, Festplatten-Bootsektoren usw.) abfängt und in sie eindringt. Residente Viren befinden sich im Arbeitsspeicher und bleiben aktiv, bis der Computer ausgeschaltet oder neu gestartet wird. Nicht-residente Viren infizieren den Computerspeicher nicht und sind für eine begrenzte Zeit aktiv.
Je nach Grad der Auswirkung können Viren in folgende Typen eingeteilt werden:
- sicher, diejenigen, die den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Speicherplatz reduzieren; die Aktionen solcher Viren manifestieren sich in Grafik- oder Soundeffekten;
- gefährliche Viren, was zu verschiedenen Fehlfunktionen des Computers führen kann;
- sehr gefährlich, dessen Aktion zum Verlust von Programmen, Zerstörung von Daten und zum Löschen von Informationen in den Systembereichen der Festplatte führen kann.
Es sind unsichtbare Viren bekannt, die als Stealth-Viren bezeichnet werden – Viren, die sehr schwer zu erkennen und zu neutralisieren sind, da sie Betriebssystemaufrufe zu infizierten Dateien und Festplattensektoren abfangen und ihren Körper durch nicht infizierte Festplattenbereiche ersetzen. Am schwierigsten ist es, mutierte Viren zu identifizieren, die Verschlüsselungs-Entschlüsselungs-Algorithmen enthalten, dank derer Kopien desselben Virus keine einzelne Bytekette haben, die sich wiederholt. Es gibt auch sogenannte Quasi-Viren- oder "Trojaner"-Programme, die, obwohl sie sich nicht selbst verbreiten können, sehr gefährlich sind, weil sie sich als solche ausgeben nützliches Programm, den Bootsektor und das Festplattendateisystem zerstören.
Möglichkeiten zum Schutz vor Viren
Eine der Hauptfolgen von Viren ist der Verlust oder die Beschädigung von Informationen. Um einen stabilen und zuverlässigen Betrieb zu gewährleisten, ist es daher notwendig (oder zumindest wünschenswert), immer über saubere, nicht infizierte (Referenz-)Kopien der verwendeten Informationen und Software zu verfügen.
Zu den Gemeinschaftsfonds gehören:
- Sichern von Informationen (Erstellen von Kopien von Dateien und Systembereichen von Festplatten);
- Differenzierung des Zugangs zu Informationen (Verhinderung der unbefugten Nutzung von Informationen).
Die Software enthält verschiedene Antivirenprogramme, die bei der Bekämpfung von Computerviren am effektivsten sind. Es gibt jedoch keine Antivirenprogramme, die einen 100%igen Schutz vor Viren garantieren, da jeder Antiviren-Algorithmus immer ein Gegenalgorithmus eines Virus sein kann, der für diesen Antivirus unsichtbar ist. Die Unmöglichkeit der Existenz eines absoluten Antivirus wurde mathematisch auf der Grundlage der Theorie der endlichen Automaten bewiesen, der Autor des Beweises ist Fred Cohen.
Die Verwendung spezieller Antiviren-Tools ermöglicht es in den meisten Fällen nicht nur, eine Vireninvasion zu erkennen, sondern auch die erkannten Viren schnell zu neutralisieren und beschädigte Informationen wiederherzustellen.
Antivirenprogramme sind Dienstprogramme, mit denen Sie Viren erkennen, infizierte Dateien und Datenträger heilen oder entfernen sowie verdächtige (virenspezifische) Aktionen erkennen und verhindern können.
Es gibt viele Klassifizierungen von Antivirenprogrammen. Betrachten wir einen von ihnen.
Klassifizierung von Antivirenprogrammen
| Art des Antivirenprogramms | Funktionsprinzip |
| Detektoren | Erkennen Sie Dateien, die mit einem der bekannten Viren infiziert sind |
| Ärzte (Phagen) | Infizierte Programme oder Datenträger „heilen“, den Viruscode aus infizierten Programmen extrahieren, d. h. das Programm in den Zustand zurückversetzen, in dem es sich befand, bevor der Virus infiziert wurde |
| Wirtschaftsprüfer | Zuerst werden Informationen über den Zustand von Programmen und Systembereichen von Festplatten gespeichert, und dann wird ihr Zustand mit dem ursprünglichen verglichen. Wenn eine Abweichung festgestellt wird, melden Sie diese. |
| Filter | Sie werden resident in den Arbeitsspeicher geladen, fangen jene Aufrufe an das System ab, die von Viren genutzt werden, um sich zu vermehren und Schaden anzurichten, und melden sie. Sie können diesen Vorgang aktivieren oder deaktivieren. |
Zu den beliebten und effektiven Antiviren-Softwaresystemen gehören:
- Kaspersky Anti-Virus – AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
- Avast (http://www.avast.ru)
- DoctorWeb (http://www.drweb.ru)
- NOD32 http://www.esetnod32.ru;
- Norton Antivirus;
- Symantec AntiVirus usw.
Mehr zuverlässiger Schutz Geben Sie diese Antivirenprogramme, deren Versionen ständig aktualisiert werden.
Spyware-Entfernung
Es gibt eine andere Kategorie von Schadsoftware (Software), die aufgrund der Besonderheiten ihrer Arbeit viel weniger bekannt ist als Viren (aber keineswegs weniger gefährlich) - Spionageprogramme für Benutzeraktionen. Solche Programme (Spyware) werden in der Regel zusammen mit den durchverteilten ausgeliefert Internetzugang kostenlos Programmen oder beim Surfen im Internet automatisch auf einem PC installiert werden.
Spyware wird als Software definiert, die es Ihnen ermöglicht, Informationen über einen Benutzer oder eine Organisation ohne deren Wissen zu sammeln. Adware (aus Werbung - Werbung) - Programmiercode, ohne Wissen des Benutzers in die Software eingeführt, um Werbung anzuzeigen.
Laut New Scientist haben 5,1 % der weltweit mit dem Internet verbundenen Computer Programmcode auf ihrer Festplatte, der dazu bestimmt ist, von Unbefugten gesammelt zu werden vertrauliche Informationen und/oder das Anzeigen unerwünschter Werbung durch Browser-Popups.
Laut Daten, die Forscher der University of Washington im Zuge der Beobachtung der Verbreitung von nur vier Spyware (Gator, Cydoor, SaveNow, eZula) auf Campus-Computern erhalten haben, verfügten 5,1 % der Computer über eine Software zur Verfolgung von Benutzeraktivitäten und 69 % alle Abteilungen und Ämter der Universität verfügten über mindestens einen Computer, auf dem Spyware installiert war.
Mindestens zwei dieser Programme – Gator und eZula – ermöglichen es einem Angreifer, nicht nur Informationen zu sammeln, sondern auch den Computer eines anderen zu kontrollieren.
Ein Programm zum Auffinden und Entfernen von Spyware scannt den Arbeitsspeicher, Dateien auf der Festplatte und identifiziert Spyware und darin ausgeführte bösartige Prozesse. Auch die Registry des Betriebssystems wird gescannt. Wird in der Registry ein Eintrag gefunden, der von einem Schadprogramm installiert wurde, wird dieser gelöscht. Es ist möglich, die Anti-Spyware-Datenbank über das Internet zu aktualisieren. Wenn Spyware entdeckt wird, bietet das Programm an, sie alle oder selektiv zu entfernen. Um ein versehentliches Löschen der gewünschten Datei oder des Registrierungseintrags zu verhindern, ist eine Wiederherstellungsfunktion vorgesehen (dazu werden automatisch Sicherungskopien der Daten erstellt). Jeder Benutzer, der an einem Computer arbeitet, sollte ein solches Programm haben.
Folgen Sie den Ereignissen den letzten Jahren, kann man mit Sicherheit sagen, dass Spyware zusammen mit Computerviren zu einer globalen Online-Geißel geworden ist. So sind laut EarthLink 90 % aller mit dem Internet verbundenen PCs mit solcher Software infiziert. Insgesamt wurden 29500000 entdeckt Spyware, durchschnittlich 28 pro PC. Gut möglich, dass in Zukunft die Grenze zwischen den drei Komponenten (Spyware, Viren und Spam) der dunklen Seite des Internets komplett aufgehoben wird und nicht mehr eine Aneinanderreihung verschiedener Utilities sie bekämpft, sondern ein einheitliches Softwarepaket.
Wichtige Takeaways:
- Der Virenschutz ist immer auf dem neuesten Stand.
- Virenschutz sollte durchdacht, umfassend und systematisch sein.
- Antivirus-Datenbanken müssen ständig aktualisiert werden.
- Die Wahrscheinlichkeit, sich mit Computerviren zu infizieren, wird durch die gleichzeitige Verwendung mehrerer Antivirenprogramme verringert.
- Die Kosten für den Virenschutz sind nicht übertrieben.
Wird geladen...