Počítačové vírusy
Počítačový vírus- Toto malý program, napísaný vysoko kvalifikovaným programátorom, schopným sebareplikácie a vykonávania rôznych deštruktívnych akcií. K dnešnému dňu je známych viac ako 50 tisíc počítačových vírusov.
Existuje mnoho rôznych verzií týkajúcich sa dátumu narodenia prvého počítačového vírusu. Väčšina odborníkov sa však zhoduje v tom, že počítačové vírusy ako také sa prvýkrát objavili v roku 1986, hoci historicky vznik vírusov úzko súvisí s myšlienkou vytvárania samoreplikujúcich sa programov. Jedným z „priekopníkov“ medzi počítačovými vírusmi je vírus „Brain“, ktorý vytvoril pakistanský programátor Alvi. Len v USA tento vírus infikoval viac ako 18 000 počítačov.
Vírusy fungujú iba softvérovo. Majú tendenciu sa pripojiť k súboru alebo preniknúť do tela súboru. V tomto prípade sa hovorí, že súbor je infikovaný vírusom. Vírus sa do počítača dostane len spolu s infikovaným súborom. Na aktiváciu vírusu je potrebné stiahnuť infikovaný súbor a až potom začne vírus konať sám.
Niektoré vírusy sa stanú rezidentnými počas vykonávania infikovaného súboru (natrvalo sa nachádzajú v pamäti RAM počítača) a môžu infikovať ďalšie stiahnuté súbory a programy.
Iný typ vírusu môže bezprostredne po aktivácii spôsobiť vážne poškodenie, napríklad formátovanie HDD. Pôsobenie vírusov sa môže prejaviť rôznymi spôsobmi: od rôznych vizuálnych efektov, ktoré zasahujú do práce, až po úplnú stratu informácií.
Hlavné zdroje vírusov:
disketa obsahujúca súbory infikované vírusmi;
Počítačová sieť, vrátane e-mailového systému a internetu;
pevný disk, ktorý bol infikovaný vírusom v dôsledku práce s infikovanými programami;
vírus, ktorý zostal v pamäti RAM od predchádzajúceho používateľa.
Hlavné skoré príznaky infekcie počítača vírusom:
zníženie množstva voľnej pamäte RAM;
spomalenie načítania a prevádzky počítača;
nezrozumiteľné (bezdôvodné) zmeny v súboroch, ako aj zmeny veľkosti a dátumu poslednej úpravy súborov;
chyby pri načítavaní operačný systém;
neschopnosť ukladať súbory do správnych adresárov;
nezrozumiteľné systémové hlásenia, hudba a vizuálne efekty atď.
Príznaky aktívnej fázy vírusu:
zmiznutie súborov;
formátovanie pevný disk;
nemožnosť načítať súbory alebo operačný systém.
Existuje veľa rôznych vírusov. Bežne ich možno klasifikovať takto:
1) zavádzacie vírusy alebo BOOT vírusy infikujú zavádzacie sektory diskov. Veľmi nebezpečné, môžu viesť k úplnej strate všetkých informácií uložených na disku;
2) súborové vírusy súbory sú infikované. Delia sa na:
vírusy, ktoré infikujú programy (súbory s príponou .EXE a .COM);
makrovírusy vírusy, ktoré infikujú dátové súbory, Napríklad, Word dokumenty alebo zošity programu Excel;
satelitné vírusy používajú názvy iných súborov;
vírusy rodiny DIR deformujú systémové informácie o štruktúre súborov;
3) boot-file vírusy schopný infikovať kód zavádzacích sektorov aj kód súborov;
4) neviditeľné vírusy alebo STEALTH vírusy falšujú informácie načítané z disku, takže program, ktorý je na tieto informácie určený, dostáva nesprávne údaje. Táto technológia, niekedy označovaná ako technológia Stealth, môže byť použitá v BOOT vírusoch aj súborových vírusoch;
5) retrovírusy infikovať antivírusové programy pokúšať sa ich zničiť alebo zneschopniť;
6) červí vírusy poskytovať malé e-mailové správy s takzvanou hlavičkou, čo je v podstate webová adresa umiestnenia samotného vírusu. Keď sa pokúsite prečítať takúto správu, vírus ju začne čítať globálnej siete Internet má svoje „telo“ a po načítaní spustí deštruktívnu akciu. Veľmi nebezpečné, pretože je veľmi ťažké ich odhaliť, pretože infikovaný súbor v skutočnosti neobsahuje kód vírusu.
Ak neprijmete opatrenia na ochranu pred počítačovými vírusmi, následky infekcie môžu byť veľmi vážne. V mnohých krajinách trestné právo stanovuje zodpovednosť za počítačové zločiny vrátane zavlečenia vírusov. Na ochranu informácií pred vírusmi sa používajú všeobecné a softvérové nástroje.
Bežné prostriedky, ktoré pomáhajú predchádzať infekcii vírusom a jeho ničivým účinkom, zahŕňajú:
zálohovanie informácií (vytváranie kópií súborov a systémových oblastí pevných diskov);
odmietnutie používania náhodných a neznámych programov. Vírusy sú najčastejšie distribuované spolu s počítačovými programami;
najmä obmedzenie prístupu k informáciám fyzická ochrana disketu pri kopírovaní súborov z nej.
Rôzne antivírusové programy (antivírusy) sú klasifikované ako ochranný softvér.
Antivírus je program, ktorý zisťuje a neutralizuje počítačové vírusy. Treba si uvedomiť, že vírusy vo svojom vývoji predbiehajú antivírusové programy, preto ani v prípade pravidelného používania antivírusov neexistuje 100% záruka bezpečnosti. Antivírusové programy dokážu odhaliť a zničiť len známe vírusy, keď sa objaví nový počítačový vírus, neexistuje proti nemu žiadna ochrana, kým sa preň nevyvinie vlastný antivírus. Mnohé moderné antivírusové balíky však obsahujú špeciálny softvérový modul tzv heuristický analyzátor, ktorý je schopný preskúmať obsah súborov na prítomnosť kódu charakteristického pre počítačové vírusy. To umožňuje včas odhaliť a upozorniť na nebezpečenstvo infekcie novým vírusom.
Existujú nasledujúce typy antivírusových programov:
1)detektorové programy: určený na vyhľadávanie infikovaných súborov jedným zo známych vírusov. Niektoré detekčné programy môžu tiež ošetriť súbory na vírusy alebo zničiť infikované súbory. Existujú špecializované, teda detektory určené na riešenie jedného vírusu a polyfágy, ktorý dokáže bojovať proti mnohým vírusom;
2) doktorské programy: určený na dezinfekciu infikovaných diskov a programov. Liečba programu spočíva v odstránení tela vírusu z infikovaného programu. Môžu to byť aj polyfágy a špecializované;
3) audítorské programy: určený na detekciu vírusovej infekcie súborov, ako aj na nájdenie poškodených súborov. Tieto programy si pamätajú údaje o stave programu a systémových oblastí diskov v normálnom stave (pred infekciou) a porovnávajú tieto údaje počas prevádzky počítača. Ak sa údaje nezhodujú, zobrazí sa hlásenie o možnosti infekcie;
4) posudkoví lekári: určený na detekciu zmien v súboroch a systémových oblastiach diskov a v prípade zmien ich vrátiť do pôvodného stavu.
5) filtračné programy: navrhnutý tak, aby zachytával hovory operačného systému, ktoré používajú vírusy na reprodukciu, a informoval o tom používateľa. Používateľ môže povoliť alebo zakázať príslušnú operáciu. Takéto programy sú rezidentné, to znamená, že sa nachádzajú v pamäti RAM počítača.
6) očkovacie programy: používa sa na spracovanie súborov a zavádzacích sektorov, aby sa zabránilo infekcii známymi vírusmi (táto metóda sa v poslednej dobe používa čoraz viac).
Treba poznamenať, že výber jedného „najlepšieho“ antivírusu je mimoriadne chybné rozhodnutie. Odporúča sa používať niekoľko rôznych antivírusových balíkov súčasne. Pri výbere antivírusového programu by ste mali venovať pozornosť takému parametru, ako je počet rozpoznávacích podpisov (sekvencia znakov, ktoré zaručene rozpoznajú vírus). Druhým parametrom je prítomnosť heuristického analyzátora neznámych vírusov, jeho prítomnosť je veľmi užitočná, no výrazne spomaľuje program.
Kontrolné otázky
Čo je počítačový vírus?
Ako vírus infikuje počítač?
Ako fungujú počítačové vírusy?
Aké zdroje infekcie počítačovými vírusmi poznáte?
Aké znaky možno použiť na zistenie skutočnosti, že došlo k infekcii počítačovým vírusom?
Aké druhy vírusov poznáte? Aké deštruktívne akcie vykonávajú?
Aké kroky podniknú, aby sa zabránilo infekcii počítačovými vírusmi?
Čo je antivírus? Aké typy antivírusov poznáte?
Čo je to heuristický analyzátor? Aké funkcie vykonáva?
POČÍTAČOVÉ VÍRUSY, ICH KLASIFIKÁCIA. ANTIVIRUSOVÝ SOFTVÉR
Počítačový vírus - ide o špeciálny program, ktorý sa dokáže spontánne pripojiť k iným programom a pri spustení týchto programov vykonávať rôzne nežiaduce akcie: poškodenie súborov a adresárov; skreslenie výsledkov výpočtov; upchatie alebo vymazanie pamäte; zasahovanie do počítača. Prítomnosť vírusov sa prejavuje v rôznych situáciách.
- Niektoré programy prestanú fungovať alebo začnú pracovať nesprávne.
- Nadbytočné správy, signály a iné efekty sa zobrazujú na obrazovke.
- Výkon počítača sa výrazne spomalí.
- Štruktúra niektorých súborov je poškodená.
Existuje niekoľko znakov klasifikácie existujúcich vírusov:
- podľa biotopu;
- podľa postihnutej oblasti;
- podľa vlastností algoritmu;
- podľa spôsobu infekcie;
- deštruktívny potenciál.
Podľa biotopu sa rozlišujú súborové, zavádzacie, makro a sieťové vírusy.
Súborové vírusy sú najbežnejším typom vírusov. Tieto vírusy sa vložia do spustiteľných súborov, vytvárajú sprievodné súbory (sprievodné vírusy) alebo používajú funkcie organizácie súborového systému (vírusy prepojenia).
Boot vírusy sa zapisujú boot sektor disku alebo do sektora zavádzača pevného disku. Začínajú sa pri spustení počítača a zvyčajne sa stávajú rezidentnými.
Makrovírusy infikujú súbory široko používaných balíkov na spracovanie údajov. Tieto vírusy sú programy napísané v programovacích jazykoch zabudovaných v týchto balíkoch. Najpoužívanejšie sú makrovírusy aplikácie spoločnosti Microsoft kancelária.
Sieťové vírusy využívajú na svoju distribúciu protokoly alebo príkazy počítačových sietí a Email. Hlavným princípom sieťového vírusu je schopnosť nezávisle prenášať svoj kód na vzdialený server alebo pracovnú stanicu. Plnohodnotné počítačové vírusy majú zároveň schopnosť bežať ďalej vzdialený počítač spustiť váš kód.
V praxi existujú rôzne kombinácie vírusov – napríklad vírusy na spúšťanie súborov, ktoré infikujú súbory aj boot sektory disku, alebo sieťové makrovírusy, ktoré infikujú upraviteľné dokumenty a posielajú svoje kópie e-mailom.
Každý vírus spravidla infikuje súbory jedného alebo viacerých operačných systémov. Mnoho zavádzacích vírusov tiežzameraný na špecifické formáty pre umiestnenie systémových dát v boot sektoroch diskov. Podľa vlastností algoritmu sa rozlišujú rezidentné; vírusy, stealth vírusy, polymorfné vírusy atď. Rezidentné vírusy sú schopné zanechať svoje kópie v operačnom systéme, zachytiť spracovanie udalostí (napríklad prístup k súborom alebo diskom) a zároveň vyvolať procedúry na infikovanie objektov (súbory alebo sektory). Tieto vírusy sú aktívne v pamäti nielen počas spustenia infikovaného programu, ale aj po ňom. Rezidentné kópie takýchto vírusov sú životaschopné až do reštartovania operačného systému, aj keď sú všetky infikované súbory na disku zničené. Ak je aj rezidentný vírus bootovateľný a je aktivovaný pri načítaní OS, neodstráni ho ani formátovanie disku, ak je tento vírus prítomný v pamäti.
Makrovírusy by mali byť tiež klasifikované ako rezidentné vírusy, pretože sú neustále prítomné v pamäti počítača, kým je spustený infikovaný editor.
Stealth algoritmy umožňujú vírusom úplne alebo čiastočne skryť svoju prítomnosť. Najbežnejším tajným algoritmom je zachytiť požiadavky OS na čítanie/zápis infikovaných objektov. V tomto prípade stealth vírusy tieto objekty buď dočasne vyliečia, alebo nahradia neinfikované informácie. Čiastočne, stealth vírusy zahŕňajú malú skupinu makrovírusov, ktoré neukladajú svoj hlavný kód do makier, ale do iných oblastí dokumentu – do jeho premenných alebo do automatického textu.
Na skomplikovanie postupu detekcie vírusu sa používa polymorfizmus (samošifrovanie). Polymorfné vírusy sú ťažko zistiteľné vírusy, ktoré nemajú trvalý kus kódu. Vo všeobecnosti sa dve vzorky toho istého vírusu nezhodujú. To sa dosiahne zašifrovaním hlavného tela vírusu a úpravou dešifrovacieho programu.
Pri vytváraní vírusov sa často používajú neštandardné techniky. Ich použitie by malo čo najviac sťažiť detekciu a odstránenie vírusu.
Rozlišujte podľa spôsobu infekcie trójske kone, skryté administračné nástroje, zamýšľané vírusy atď.
Trójske kone sú pomenované po trójskych koňoch. Účelom týchto programov je napodobniť niektoré užitočné programy, nové verzie populárnych nástrojov alebo ich doplnky. Keď ich používateľ zapíše do svojho počítača, trójske kone sa aktivujú a vykonajú nechcené akcie.
Rôzne trójske kone sú skryté správcovské nástroje. Svojou funkcionalitou a rozhraním v mnohom pripomínajú sieťové systémy na správu počítačov vyvíjané a distribuované rôznymi výrobcami softvéru. Počas inštalácie tieto nástroje samy nainštalujú skrytý systém do počítača. diaľkové ovládanie. V dôsledku toho existuje možnosť skrytého ovládania tohto počítača. Implementáciou základných algoritmov nástroje prijímajú, spúšťajú alebo odosielajú súbory bez vedomia používateľa, ničia informácie, reštartujú počítač atď. Tieto nástroje je možné použiť na zisťovanie a prenos hesiel a iných dôverných informácií, spúšťanie vírusov a ničenie údajov.
Zamýšľané vírusy sú programy, ktoré sa nedokážu replikovať kvôli existujúcim chybám. Do tejto triedy patria aj vírusy, ktoré sa množia len raz. Po infikovaní akéhokoľvek súboru strácajú schopnosť ďalej ho reprodukovať.
Podľa ich deštruktívnych schopností sa vírusy delia na:
- nie nebezpečné, ktorých účinok je obmedzený na pokles voľná pamäť na disku, spomalenie počítača, grafické a zvukové efekty;
- nebezpečné, čo môže potenciálne viesť k narušeniu štruktúry súborov a poruchám počítača;
- veľmi nebezpečné, ktorého algoritmus konkrétne zahŕňa postupy deštrukcie dát a schopnosť zabezpečiť rýchle opotrebovanie pohyblivých častí mechanizmov vstupom do rezonancie a zničením čítacích/zápisových hláv niektorých pevných diskov.
Na boj proti vírusom existujú programy, ktoré možno rozdeliť do hlavných skupín: monitory, detektory, lekári, audítori a vakcíny.
Monitorujte programy(filtračné programy) sú umiestnené v pamäti RAM počítača, odposlucha informovať používateľa o volaniach OS, ktoré používajú vírusy na reprodukciu a spôsobenie škody. Používateľ má možnosť povoliť alebo zakázať vykonanie týchto hovorov. Výhodou takýchto programov je schopnosť odhaliť neznáme vírusy. Použitie filtračných programov umožňuje odhaliť vírusy v počiatočnom štádiu počítačovej infekcie. Nevýhodou programov je nemožnosť sledovania vírusov, ktoré priamo pristupujú do BIOSu, ako aj zavádzacie vírusy, ktoré sa aktivujú pred spustením antivírusu pri zavádzaní DOSu a časté vydávanie požiadaviek na operácie.
Programy-detektory kontrolujú, či súbory a disky obsahujú kombináciu bajtov špecifických pre daný vírus. Keď sa nájde, zobrazí sa príslušná správa. Nevýhodou je, že dokáže chrániť len pred známymi vírusmi.
Lekárske programy obnoviť infikované programy odstránením tela vírusu z nich. Typicky sú tieto programy určené pre špecifické typy vírusov a sú založené na porovnaní sekvencie kódov obsiahnutých v tele vírusu s kódmi kontrolovaných programov. Lekárske programy je potrebné pravidelne aktualizovať, aby ste získali nové verzie, ktoré detegujú nové typy vírusov.
Audítorské programy analyzovať zmeny v stave súborov a systémových oblastí disku. Skontrolujte stav zavádzacieho sektora a tabuľky FAT; dĺžka, atribúty a čas vytvorenia súborov; kódy kontrolných súčtov. Používateľ je informovaný o všetkých zistených nezrovnalostiach.
Očkovacie programy upravujú programy a riziká tak, že neovplyvňujú činnosť programov, ale vírus, proti ktorému sa očkovanie robí, považuje programy alebo disky už za infikované. Existujúce antivírusové programy patria prevažne do hybridnej triedy (detektor-lekári, lekári-audítori atď.).
V Rusku sú najrozšírenejšie antivírusové programy Kaspersky Lab (Anti-IViral Toolkit Pro) a DialogScience (Adinf, Dr.Web). AntiViral Toolkit Pro (AVP) obsahuje AVP Scanner, AVP Monitor rezidentný strážca, administračný program nainštalované komponenty. Control Center a množstvo ďalších. AVP Scanner okrem tradičného skenovania spustiteľných súborov a súborov dokumentov spracováva aj e-mailové databázy. Používanie skenera vám umožňuje detekovať vírusy v zabalených a archivovaných súboroch (nechránených heslom). Detekuje a odstraňuje makrovírusy, polymorfné vírusy, hviezdy, trójske kone a predtým neznáme vírusy. To sa dosiahne napríklad použitím heuristických analyzátorov. Takéto analyzátory simulujú činnosť procesora a analyzujú akcie diagnostikovaného súboru. V závislosti od týchto akcií sa rozhodne o prítomnosti vírusu.
Monitor monitoruje typické cesty prieniku vírusov, ako sú operácie prístupu k súborom a sektorom.
AVP Control Center - servisný shell určený na nastavenie času spustenia skenera, automatická aktualizácia súčasť balíka atď.
Ak je váš počítač infikovaný alebo existuje podozrenie, že je infikovaný vírusom, musíte:
- posúdiť situáciu a nepodniknúť kroky, ktoré vedú k strate informácií;
- reštartujte OS počítača. V takom prípade použite špeciálnu, vopred vytvorenú systémovú disketu chránenú proti zápisu. V dôsledku toho sa zabráni aktivácii zavádzacích a rezidentných vírusov z pevného disku počítača;
- spúšťajte dostupné antivírusové programy, kým sa nenájdu a neodstránia všetky vírusy. Ak nie je možné odstrániť vírus a súbor obsahuje cenné informácie, archivujte súbor a počkajte na ukončenie Nová verzia antivírus. Po dokončení reštartujte počítač.
Neštátne vzdelávacia inštitúcia vyššie odborné vzdelanie
Inštitút ekonómie a podnikania
NO "INEP"
Extramurálna
TEST
Podľa predmetu
"Počítačová veda"
Skupina žiakov: M 11 KZ.
Kepina Julia A.
Vedecký poradca:
Kasaev Marat Borisovič
Moskva 2010
Úvod
1. Počítačové vírusy
a) Čo je to počítačový vírus?
b) Poškodené a infikované súbory
1) Spustiteľné súbory
2) Zavádzač a hlavný operačný systém zavádzací záznam pevný disk
3) Ovládače zariadení
4) INTERNETOVÉ vírusy
4.1 Priložené súbory
4.2 Trójske kone
4.3 HTML vírusy
4.4 Java vírusy
c) Vírusy, ktoré sa menia systém súborov
d) „neviditeľné“ a samomodifikujúce sa vírusy
1) "Neviditeľné" vírusy
2) Samomodifikačné vírusy
e) Čo môžu a čo nedokážu počítačové vírusy
2. Základné metódy ochrany pred počítačovými vírusmi
a) akcie v prípade infekcie počítačovým vírusom
b) Počítačová liečba
c) Prevencia pred infekciou vírusom
1) Kopírovanie informácií a riadenie prístupu
2) Kontrola údajov prichádzajúcich zvonku
3) Príprava „súpravy na opravu“
4) Ochrana proti boot vírusom
5) Pravidelná kontrola vírusov
Záver
Zoznam informačných zdrojov
Úvod
Sekcia "počítačové vírusy" v informačnej tlači je v súčasnosti doslova preplnená rôznymi správami o výskyte nových odrôd vírusových infekcií (ďalej len "vírusy"). Ale vedľa takýchto správ sú vždy zobrazené reklamy na aktívne a pasívne prostriedky boja proti vírusom, odporúčania na ochranu pred infekciou a mrazivé opisy následkov a symptómov "choroby".
Šírenie počítačových vírusov sa tak rozšírilo, že takmer každý používateľ sa aspoň raz v živote musel vysporiadať s vírusom na svojom počítači. Počet známych vírusov sa pohybuje v tisícoch (podľa odborníkov je to v súčasnosti okolo 3 tisíc vírusov) a hackeri neustále píšu nové a presadzujú sa vo vlastných očiach. Treba poznamenať, že tento spôsob sebapotvrdenia silne pripomína zvyk písať na ploty, ktorý je v určitých kruhoch veľmi bežný. Ale to je otázka viac etiky ako technológie. Vírusoví bojovníci sú v pätách ich vývojárom. Trh s antivírusovým softvérom sa v súčasnosti dostáva na vrchol z hľadiska objemu, aspoň čo sa týka počtu predaných kópií softvéru. Preto firmy začali zaraďovať antivírusové nástroje do softvérových balíkov či operačných systémov.
1. Ochrana pred počítačovými vírusmi
a) Čo je to počítačový vírus?
Počítačový vírus je špeciálne navrhnutý malý program, ktorý sa môže "pripísať" iným programom, súborom (t.j. ich "infikovať"), ako aj vykonávať rôzne nežiaduce akcie na počítači (poskytovať nechcené správy, poškodzovať dáta na diskoch , "upchávanie" pamäte počítača, násobenie atď.).
Program, ktorý obsahuje vírus, sa nazýva „infikovaný“. Keď sa takýto program spustí, vírus najprv prevezme kontrolu. Nájde a „infikuje“ iné programy a tiež vykoná niektoré škodlivé akcie (napríklad poškodí súbory alebo tabuľku alokácie súborov na disku, „kontaminuje“ RAM atď.). Ak chcete maskovať vírus, akcie na infikovanie iných programov a spôsobenie škody sa nemusia vykonať vždy, ale povedzme za určitých podmienok. Potom, čo vírus vykoná akcie, ktoré potrebuje, odovzdá riadenie programu, v ktorom sa nachádza, a funguje rovnako ako zvyčajne. Navonok teda práca infikovaného programu vyzerá rovnako ako neinfikovaného. Všetky akcie vírusu je možné vykonať pomerne rýchlo a bez vydávania akýchkoľvek správ, takže pre používateľa je veľmi ťažké si všimnúť, že sa v počítači deje niečo neobvyklé.
Pokiaľ je v počítači infikovaných relatívne málo programov, prítomnosť vírusu môže byť takmer nepostrehnuteľná. Po určitom čase sa však na počítači začne diať niečo zvláštne, napríklad:
práca na počítači sa výrazne spomalí;
niektoré súbory sú poškodené;
niektoré programy prestanú fungovať alebo začnú fungovať nesprávne;
na obrazovke (alebo tlačiarni) sa zobrazujú cudzie správy, symboly atď.
V tomto čase je spravidla pomerne veľa (alebo dokonca väčšina) programov, ktoré používate, infikovaných vírusom a niektoré súbory a disky sú poškodené. Navyše infikované programy z vášho počítača už mohli byť prenesené cez diskety alebo cez lokálnu sieť do počítačov vašich kolegov alebo priateľov.
Niektoré typy vírusov sú ešte zákernejšie. Najprv nepostrehnuteľne infikujú veľké množstvo programov alebo diskov a potom spôsobujú veľmi vážne škody, napríklad formátovanie pevného disku v počítači. A existujú vírusy, ktoré sa snažia správať čo najnenápadnejšie, no postupne pokazia dáta na pevnom disku počítača. Ak teda neprijmete opatrenia na ochranu pred vírusmi, následky infikovania počítača môžu byť veľmi vážne.
Aby bol vírusový program neviditeľný, musí byť malý. Preto sú vírusy spravidla písané v jazyku symbolických inštancií. Niektorí autori takýchto programov ich vytvorili zo škodoradosti, niektorí z túžby niekoho „otravovať“ (napríklad firmy, ktorá ich vyhodila) alebo z nenávisti k celému ľudskému pokoleniu. V každom prípade sa vytvorený vírusový program môže (potenciálne) rozšíriť na všetky počítače kompatibilné s tým, pre ktorý bol napísaný, a spôsobiť zničenie. Malo by sa vziať do úvahy, že napísanie vírusu nie je taká náročná úloha, celkom prístupná pre študenta programovania. Vo svete sa preto každý týždeň objavuje stále viac nových vírusov. A mnohé z nich sú „vyrobené“ u nás a v iných nedostatočne civilizovaných krajinách: Bulharsko, Pakistan atď.
b) Poškodené a infikované súbory
Počítačový vírus môže zničiť, t.j. nevhodne upravovať akýkoľvek súbor na diskoch dostupných v počítači. Vírus však môže „infikovať“ niektoré typy súborov. To znamená, že do týchto súborov môže „preniknúť“ vírus, tzn. upraviť ich tak, aby obsahovali vírus, ktorý za určitých okolností môže začať fungovať. Treba poznamenať, že texty programov a staré verzie dokumentov (takpovediac verzie DOS) informačné súbory databázy, tabuľkové procesory (verzie DOS) a iné podobné súbory nemôžu byť infikované vírusom, môže ich len pokaziť.
Vírusom môžu byť „infikované“ nasledujúce typy súborov:
1) Spustiteľné súbory
Spustiteľné súbory, t.j. súbory s príponami COM a EXE, ako aj prekryvné súbory načítané, keď sú spustené iné programy. Vírusy, ktoré infikujú súbory, sa nazývajú súborové vírusy. Vírus v infikovaných spustiteľných súboroch začína svoju prácu pri štarte programu, v ktorom sa nachádza. Najnebezpečnejšie sú tie súborové vírusy, ktoré po spustení zostávajú rezidentné v pamäti. Tieto vírusy môžu infikovať súbory a spôsobiť škody až do nasledujúceho reštartu počítača. A ak infikujú akýkoľvek program spustený zo súboru AUTOEXEC.BAT alebo CONFIG.SYS, po reštarte z pevného disku začne vírus opäť fungovať.
2) Zavádzač operačného systému a hlavný zavádzací záznam pevného disku
Vírusy, ktoré infikujú tieto oblasti, sa nazývajú boot alebo sutina. Takýto vírus začína svoju prácu pri úvodnom spustení operačného systému a stáva sa rezidentným, t.j. je trvalo uložený v pamäti počítača. Distribučný mechanizmus je infekcia zavádzacích záznamov vložených na diskety počítača. Takéto vírusy sa spravidla skladajú z dvoch častí, pretože bootovacie záznamy sú malé a je ťažké do nich umiestniť celý vírusový program. Časť vírusu, ktorá sa do nich nezmestí, sa nachádza v inej časti disku, napríklad na konci koreňového adresára disku alebo v klastri v dátovej oblasti disku (zvyčajne napr. klaster je vyhlásený za chybný, takže vírusový program sa pri zápise dát na disk neprepíše).
3) Ovládače zariadení:
Ovládače zariadení, t.j. súbory špecifikované v klauzule DEVICE súboru CONFIG.SYS. Vírus v nich začína svoju prácu pri každom prístupe k príslušnému zariadeniu. Vírusy, ktoré infikujú ovládače zariadení, sú veľmi zriedkavé, pretože ovládače sa zriedka skopírujú z jedného počítača do druhého. To isté platí pre systémové súbory DOS (MSDOS.SYS a IO.SYS) - ich infekcia je tiež teoreticky možná, ale na šírenie vírusov je neúčinná.
4) INTERNETOVÉ vírusy
V poslednej dobe sa s nárastom počtu používateľov objavili. Tu sú niektoré z odrôd týchto vírusov:
4.1 Priložené súbory. Zvážte typickú situáciu: dostali ste email, ktorý má ako prílohu dokument Microsoft WORD. Samozrejme, budete chcieť spoznať obsah súboru čo najskôr, pretože pri používaní najmodernejších e-mailové programy Ak to chcete urobiť, stačí kliknúť na názov tohto súboru.
A TO JE NESPRÁVNE!
Ak súbor obsahuje makrovírus (a vírusy tohto typu, ktoré infikujú dokumenty spoločnosti Microsoft slovo, Microsoft Excel a množstvo ďalších populárnych systémov na správu dokumentov, ktoré sa v poslednej dobe veľmi rozšírili), okamžite infikuje váš systém. Čo teda robiť s vnoreným dokumentom? Venujte niekoľko sekúnd navyše: uložte ho na disk, skontrolujte ho pomocou najnovšej verzie antivírusového programu a až potom, ak neexistujú žiadne vírusy, ho otvorte. Sú aj iné riešenia. Existujú napríklad antivírusové programy, ktoré automaticky kontrolujú prichádzajúce e-maily. Ak používate watchdog program, tak pri otvorení infikovaného súboru určite dostanete varovanie (presnejšie povedané, infikovaný súbor vám jednoducho nedovolia otvoriť). Strážcovi je totiž úplne ľahostajné, či dokument otvárate priamo alebo „spodku“ poštového programu.
4.2 Trójske kone. Známe trójske kone, ktoré sa šíria internetom, sú v podstate nástroje pre vzdialená správa počítač. Zjednodušene povedané, cez takýto program môže útočník získať prístup k vášmu počítaču a vykonávať na ňom rôzne operácie (takmer akékoľvek) bez vášho vedomia a účasti.
Charakteristickým predstaviteľom opísaného typu je program BASK ORIFICE (BO). BO je systém vzdialenej správy, ktorý umožňuje používateľovi ovládať počítače pomocou bežnej konzoly alebo grafického prostredia. „V lokálnej sieti alebo cez internet poskytuje VO užívateľovi viac možností vzdialený počítač WINDOWS než má používateľ tohto počítača“ – to je text z „reklamného“ inzerátu na jednej z hackerských webových stránok. Samozrejme, možnosť vzdialene spravovať váš počítač predstavuje vážne nebezpečenstvo, ale nie také, ako sa zdá na na prvý pohľad. Bežní používatelia trávia na webe málo času (prispieva k tomu kvalita telefónnych liniek) a čo je také "zaujímavé" z pohľadu hackera, čo sa dá urobiť na vašom počítači? pracovať so serverom poskytovateľa.Po získaní hesla môže hacker ľahko „premrhať“ všetky vaše peniaze. Našťastie existuje pomerne veľa trójskych koní, ktoré dokážu tieto funkcie vykonávať, a všetky sú úspešne detegované antivírusovými programami.
4.3 HTML vírusy. Vírusy tohto typu sú zriedkavé, takže informácie o nich sú skôr "akademické" ako praktické. Pointa je nasledovná: v samotnom jazyku HTML, ktorý sa používa na označovanie hypertextových dokumentov, sa samozrejme nedajú písať žiadne vírusy. Na vytváranie dynamických stránok, organizovanie interakcií s používateľmi a iné akcie sa však používajú programové vložky (skripty) do dokumentov HTML. Známe vírusy HTML používajú napísané skripty jazyk VIZUÁLNY ZÁKLADNÉ. S ich pomocou nájsť HTM a HTML súbory na lokálnom počítači a zapisovať do nich. Niekedy sa takéto vírusy nejako prejavia (napríklad zobrazujú správy). Malá distribúcia vírusov tohto typu (ako aj ich malý počet) je uľahčená tým, že keď predvolené nastavenia prehliadač, spustenie „nebezpečných“ (medzi ne patria tie, v ktorých je prístup k súborom lokálny počítač) skripty sú zakázané. Obyčajné, „bezpečnostné“, skripty nemôžu vykonávať opísané manipulácie.
4.4 Java vírusy. V súčasnosti sú známe dva vírusy napísané v jazyku JAVA. Nepredstavujú malé až žiadne nebezpečenstvo. Stručne vysvetlite, o čo ide: spustiteľné moduly programy napísané v JAVA (CLASS súbory) sú dvoch typov: aplikácie a applety. Aplikácie sa spúšťajú pod kontrolou tlmočníka a sú to takmer obyčajné programy (takmer preto, že majú ešte určité obmedzenia, napr. v oblasti práce s pamäťou). Applety môžu na rozdiel od aplikácií spúšťať prehliadače, ale vzťahujú sa na ne oveľa závažnejšie bezpečnostné obmedzenia: najmä applety nemajú takmer žiadny prístup k súborovému systému počítača (na rozdiel od skriptov zakážte toto obmedzenie je nemožné v prehliadači), preto môžu byť JAVA vírusy navrhnuté iba ako aplikácie a nepredstavujú hrozbu pre veľkú väčšinu používateľov. Každý konkrétny typ vírusu môže spravidla infikovať iba jeden alebo dva typy súborov. Najčastejšie ide o vírusy, ktoré infikujú spustiteľné súbory. Niektoré vírusy iba infikujú EXE súbory, niektoré sú len COM a väčšina sú oboje. Na druhom mieste z hľadiska prevalencie sú boot vírusy. Niektoré vírusy infikujú súbory aj bootovacie oblasti disku. Vírusy, ktoré infikujú ovládače zariadení, sú extrémne zriedkavé; zvyčajne takéto vírusy môžu infikovať aj spustiteľné súbory.
V) Vírusy, ktoré menia systém súborov
V poslednej dobe sa rozšíril nový typ vírusu - vírusy, ktoré menia súborový systém na disku. Tieto vírusy sa bežne označujú ako DIR. Takéto vírusy skryjú svoje telo v určitej oblasti disku (zvyčajne - v poslednom klastri disku) a označia ho v tabuľke prideľovania súborov (FAT) ako koniec súboru. Pre všetky súbory COM a EXE sú ukazovatele na prvú časť súboru obsiahnutú v príslušných položkách adresára nahradené odkazom na časť disku obsahujúcu vírus a správny ukazovateľ v zakódovanej forme je skrytý v nepoužitej časti súboru. vstup do adresára. Preto pri spustení akéhokoľvek programu sa do pamäte nahrá vírus, po ktorom zostane v pamäti, pripojí sa k programom DOS na spracovanie súborov na disku a vygeneruje správne odkazy pre všetky prístupy k prvkom adresára. Keď je teda vírus spustený, súborový systém na disku sa zdá byť úplne normálny. Povrchové vyšetrenie infikovaného disku na „čistom“ počítači tiež neukazuje nič zvláštne. Je to len pri pokuse o čítanie alebo kopírovanie z infikovanej diskety programové súbory z nich sa prečíta alebo skopíruje iba 512 alebo 1024 bajtov, aj keď je súbor oveľa dlhší. A keď spustíte akýkoľvek spustiteľný program z disku infikovaného takýmto vírusom, tento disk sa akoby zázrakom začne javiť zdravý (nečudo, pretože počítač sa v tomto prípade infikuje). Pri analýze na „čistom“ počítači pomocou programov ChkDsk alebo NDD sa zdá, že súborový systém disku infikovaného vírusom DIR je úplne poškodený. Napríklad program ChkDsk vytvára množstvo správ o prienikoch súborov („... crosslinked on cluster...“) a reťazcoch stratených klastrov („... stratené klastre nájdené v... chains“). Tieto chyby by ste nemali opravovať pomocou programov ChkDsk alebo NDD - v tomto prípade bude disk úplne poškodený. Na opravu diskov infikovaných týmito vírusmi by ste mali používať iba špeciálne antivírusové programy (napr. najnovšie verzie AIDStest).
G) "Neviditeľné" a samomodifikujúce vírusy
Aby sa zabránilo ich odhaleniu, niektoré vírusy používajú pomerne prefíkané maskovacie techniky. Budem hovoriť o dvoch z nich: „neviditeľné“ (stealth) a samomodifikujúce sa vírusy:
1) "Neviditeľné" vírusy
Mnoho rezidentných vírusov (súborových aj zavádzacích) bráni ich detekcii zachytením volaní systému DOS (a tým aplikačné programy) do infikovaných súborov a oblastí disku a vrátiť ich v pôvodnej podobe. Tento efekt je samozrejme pozorovaný len na infikovanom počítači – na „čistom“ počítači sa dajú ľahko zistiť zmeny v bootovacích oblastiach disku. Všimnite si, že niektoré antivírusové programy stále dokážu odhaliť „neviditeľné“ vírusy aj na infikovanom počítači. Takéto programy to robia čítaním disku bez použitia služieb DOS (napríklad ADinf).
2) Samomodifikačné vírusy
Ďalším spôsobom, ako sa vírusy skrývajú pred detekciou, je úprava ich tela. Mnoho vírusov ukladá väčšinu svojich tiel v kóde, takže disassembleri nemôžu prísť na to, ako fungujú. Samomodifikačné vírusy využívajú túto techniku a často menia parametre tohto kódovania a navyše menia svoju štartovaciu časť, ktorá slúži na dekódovanie zvyšných príkazov vírusu.
V tele takéhoto vírusu teda nie je jediný trvalý reťazec bajtov, podľa ktorého by sa dal vírus identifikovať. To samozrejme detekčným programom sťažuje nájdenie takýchto vírusov. Programy-detektory sa však stále naučili zachytávať „jednoduché“ samomodifikujúce sa vírusy. V týchto vírusoch sa variácie mechanizmu na dešifrovanie zakódovanej časti vírusu týkajú len použitia určitých počítačových registrov, šifrovacích konštánt, pridávania „nepodstatných“ príkazov atď. A detekčné programy sa prispôsobili na detekciu príkazov v počiatočnej časti vírusu, a to aj napriek maskovacím zmenám v nich. Nedávno sa však objavili vírusy s mimoriadne zložitými samomodifikačnými mechanizmami. V nich sa počiatočná časť vírusu generuje automaticky podľa veľmi zložitých algoritmov: každá zmysluplná inštrukcia decryptora je prenášaná jednou zo stoviek tisíc možných možností, pričom sa používa viac ako polovica všetkých príkazov Intel-8088. Problém rozpoznania takýchto vírusov zatiaľ nedostal spoľahlivé riešenie.
Čo môžu a nedokážu počítačové vírusy
V dôsledku neznalosti mechanizmu počítačových vírusov, ako aj pod vplyvom rôznych fám a nekompetentných publikácií v tlači sa u mnohých používateľov počítačov vyvinie akýsi strach z vírusov ("vírusofóbia"). Tento komplex má dva prejavy:
1. Tendencia pripisovať akékoľvek poškodenie údajov alebo nezvyčajný výskyt vírusom. Ak napríklad „virusofob“ nenaformátuje disketu, potom si to nevysvetlí chybami na diskete alebo diskovej mechanike, ale pôsobením vírusov. Ak sa na pevnom disku objaví zlý blok, na vine sú, samozrejme, aj vírusy. Nezvyčajné javy na počítači sú v skutočnosti častejšie spôsobené chybami používateľa, programami alebo chybami hardvéru ako pôsobením vírusov.
2. Prehnané predstavy o schopnostiach vírusov. Niektorí používatelia si napríklad myslia, že na napadnutie počítača vírusom stačí vložiť infikovanú disketu do mechaniky. Tiež sa všeobecne verí, že v prípade počítačov stojacich v tej istej miestnosti infekcia jedného počítača nevyhnutne okamžite vedie k infekcii zvyšku.
Počítač sa môže infikovať vírusom v jednom z nasledujúcich prípadov:
na počítači bol spustený infikovaný program typu COM alebo EXE alebo infikovaný modul prekryvného programu (typu OVR alebo OVL);
počítač sa zaviedol z diskety obsahujúcej infikovaný zavádzací sektor;
V počítači bol nainštalovaný infikovaný operačný systém alebo infikovaný ovládač zariadenia.
Z toho vyplýva, že nie je dôvod obávať sa napadnutia počítača vírusom, ak:
na neinfikovanom počítači sa súbory skopírujú z jednej diskety na druhú. Ak je počítač "zdravý", tak ani on, ani skopírované diskety nebudú napadnuté vírusom. Jediným spôsobom prenosu vírusu v tejto situácii je skopírovať infikovaný súbor: v tomto prípade bude jeho kópia, samozrejme, tiež "infikovaná", ale nebude infikovaný ani počítač, ani žiadne iné súbory;
2. Základné metódy ochrany pred počítačovými vírusmi
Na ochranu pred vírusmi môžete použiť:
všeobecné prostriedky ochrany informácií, ktoré sú tiež užitočné ako poistenie proti fyzickému poškodeniu diskov, nesprávne fungujúcim programom alebo chybným činnostiam používateľa; preventívne opatrenia na zníženie pravdepodobnosti nákazy vírusom;
špecializované programy na ochranu pred vírusmi.
Všeobecné nástroje zabezpečenia informácií sú užitočné nielen na ochranu pred vírusmi. Existujú dva hlavné typy týchto fondov:
kopírovanie informácií - vytváranie kópií súborov a systémových oblastí diskov;
kontrola prístupu zabraňuje neoprávnenému použitiu informácií, najmä ochrana pred zmenami programov a údajov vírusmi, nefunkčnosťou programov a chybným konaním používateľov.
Napriek tomu, že všeobecné nástroje informačnej bezpečnosti sú pre ochranu pred vírusmi veľmi dôležité, stále nestačia. Na ochranu pred vírusmi je tiež potrebné používať špecializované programy. Tieto programy možno rozdeliť do niekoľkých typov:
Detekčné programy vám umožňujú odhaliť súbory infikované jedným z niekoľkých známych vírusov.
Lekárske programy, alebo „fágy“, „liečia“ infikované programy alebo disky „vyhryznutím“ tela vírusu z infikovaných programov, t.j. obnovenie programu do stavu, v ktorom bol pred infekciou vírusom.
Audítorské programy si najskôr zapamätajú informácie o stave programov a systémových oblastiach diskov a potom ich stavy porovnajú s originálom.
Ak sa zistia nezrovnalosti, používateľ je o tom informovaný.
Lekári-audítori sú kríženci audítorov a lekárov, t.j. programy, ktoré nielen detegujú zmeny v súboroch a systémových oblastiach diskov, ale dokážu ich v prípade zmien aj automaticky vrátiť do pôvodného stavu.
Filtračné programy sú umiestnené v pamäti RAM počítača a zachytávajú tie volania operačného systému, ktoré vírusy používajú na reprodukciu a poškodenie, a hlásia ich používateľovi. Používateľ môže povoliť alebo zakázať príslušnú operáciu. Upozorňujeme, že žiadny jednotlivý typ antivírusového softvéru nedokáže úplne ochrániť pred vírusmi, a preto rady typu „vložte príkaz Aidstest run do AUTOEXEC.BAT“ nebudú postačujúce.
Najlepšou stratégiou na ochranu pred vírusmi je komplexná viacvrstvová ochrana:
Pred prvou fázou by ste mali umiestniť programy detektorov, ktoré vám umožnia skontrolovať novo prijaté softvér na prítomnosť vírusov;
V prvej fáze sú umiestnené filtračné programy, pretože budú prví, ktorí budú informovať o fungovaní vírusu a zabránia infekcii programov a diskov;
V druhej fáze sú umiestnení audítori a lekári: umožňujú vám odhaliť vírusy, ktoré „prenikli“ cez prvú fázu, a potom vyliečiť infikované programy, ale majte na pamäti, že nie vždy vyliečia správne a bolo by ideálne mať kópiu požadované programy archivované na disketách chránených proti zápisu.
Najdôležitejším stupňom ochrany je kontrola prístupu, ktorá zabraňuje infiltrovaným vírusom a nesprávne fungujúcim programom poškodiť dôležité dáta.
A) Kroky, ktoré treba podniknúť pri infikovaní počítačovým vírusom
Keď sa počítač nakazí vírusom (alebo ak existuje podozrenie), je dôležité dodržiavať štyri pravidlá :
1. V prvom rade sa neponáhľajte a nerobte unáhlené rozhodnutia: neuvážené akcie môžu viesť nielen k strate niektorých súborov, ktoré by sa dali obnoviť, ale aj k opätovnej infekcii počítača.
2. Jedna vec, ktorú však treba urobiť okamžite, je vypnúť počítač, aby vírus nepokračoval vo svojich deštruktívnych akciách.
3. Všetky akcie na zistenie následkov infekcie a dezinfekciu počítača by sa mali vykonávať iba pri reštartovaní počítača z „referenčnej“ diskety s operačným systémom chránenej proti zápisu.
V tomto prípade by ste mali používať iba programy (spustiteľné súbory) uložené na disketách chránených proti zápisu. Nedodržanie tohto pravidla môže viesť k veľmi vážnym následkom, pretože pri reštartovaní DOSu alebo spustení programu z infikovaného disku sa v počítači môže aktivovať vírus a ak je vírus spustený, liečba počítača nebude mať zmysel, pretože to bude sprevádzať ďalšia infekcia diskov a programov.
4. Ak nemáte dostatočné znalosti a skúsenosti na ošetrenie počítača, požiadajte skúsenejších kolegov, aby vám pomohli. Ak na ochranu pred vírusom použijete program rezidentného filtra, potom je možné prítomnosť vírusu v akomkoľvek programe zistiť vo veľmi skorom štádiu, keď vírus nestihol infikovať iné programy a poškodiť akékoľvek súbory. V tomto prípade by ste mali znova načítať DOS z diskety a odstrániť infikovaný program a potom tento program prepísať z hlavnej diskety alebo ho obnoviť z archívu. Ak chcete zistiť, či vírus poškodil niektoré ďalšie súbory, mali by ste spustiť program - audítor na kontrolu zmien v súboroch, najlepšie so širokým zoznamom súborov na kontrolu. Aby ste počas kontroly nepokračovali v infikovaní počítača, mali by ste spustiť spustiteľný súbor programu audítora, ktorý sa nachádza na diskete.
b) Počítačová liečba
Uvažujme o komplikovanejšom prípade, keď sa vírusu už podarilo infikovať alebo poškodiť niektoré súbory na diskoch počítača. Odborníci zároveň odporúčajú nasledujúce akcie:
1. Reštartujte operačný systém systém DOS z vopred pripravenej hlavnej diskety. Táto disketa, podobne ako ostatné diskety používané pri obnove počítačovej vírusovej infekcie, musí mať štítok ochrany proti zápisu (päťpalcové diskety) alebo otvorenú západku ochrany proti zápisu (trojpalcové diskety), aby vírus nemohol infikovať alebo poškodené súbory na týchto disketách. Podotýkam, že reštart by sa nemal vykonávať pomocou „Alt+Ctrl+Del“, keďže niektorým vírusom sa takýto reštart podarí „prežiť“.
2. Ak má váš počítač konfiguračný nastavovací program (pre modely IBM PC AT a PS/2 je vždy dostupný; často sa vyvoláva stlačením určitej kombinácie kláves počas zavádzania počítača), mali by ste spustiť tento program a skontrolovať, či konfiguračné nastavenia sú správne nastavenia konfigurácie počítača (môže ich poškodiť vírus). Ak sú nainštalované nesprávne, musia sa znova nainštalovať.
3. Nasleduje samotný proces ošetrenia: Ak sú v archíve kópie všetkých potrebných súborov na disku, najjednoduchší spôsob je preformátovať disk a potom obnoviť všetky súbory na tomto disku pomocou archivovaných kópií . Povedzme, že disk obsahuje potrebné súbory, ktorých kópie nie sú v archíve, napríklad na disku D: potom musíte postupovať podľa nasledujúcich pokynov:
Spustite detekčný program pre disk, ktorý deteguje vírus, ktorý infikoval počítač (ak neviete, ktorý detektor tento vírus deteguje, spustite postupne všetky dostupné detekčné programy, kým jeden z nich nezistí vírus). V tomto prípade je lepšie nezaviesť liečebný režim. Ak detekčný program našiel zavádzací vírus, môžete bezpečne použiť jeho liečebný režim na odstránenie vírusu. Ak sa zistí DIR vírus, musí byť tiež odstránený pomocou antivírusového programu, v žiadnom prípade na to nepoužívajte programy ako NDD alebo ChkDsk.
Teraz (keď je známe, že na disku nie sú žiadne vírusy typu DIR), môžete skontrolovať integritu súborového systému a povrchu disku pomocou programu NDD: "NDD D: / C". Ak je poškodenie systému súborov značné, potom je vhodné skopírovať všetky potrebné súbory z disku, ktorých kópie nie sú v archíve, na diskety a disk preformátovať. Ak má disk zložitú štruktúru súborov, môžete to skúsiť opraviť pomocou programu DiskEdit (z komplexu Norton Utilities).
Ak ste uložili informácie o súboroch na disk pre program audítora, potom je užitočné spustiť program audítora na diagnostiku zmien v súboroch. To určí, ktoré súbory boli vírusom infikované alebo poškodené. Ak inšpektorský program vykonáva aj funkcie lekára, môžete ho poveriť obnovou infikovaných súborov.
Vymažte všetko z disku nevyžiadané súbory, ako aj súbory, ktorých kópie sú v archíve. Súbory, ktoré neboli modifikované vírusom (dá sa to nainštalovať pomocou programu audítor), nie je potrebné odstraňovať. V žiadnom prípade nenechávajte na disku súbory COM a EXE, pri ktorých program audítora hlási, že boli zmenené. Súbory COM a EXE, o ktorých nie je známe, či boli zmenené vírusom alebo nie, by mali byť na disku ponechané len v nevyhnutných prípadoch.
5. Ak je disk, na ktorom pracujete, systémový disk (to znamená, že z neho môžete zaviesť operačný systém DOS), mali by ste naň prepísať zavádzací sektor a súbory operačného systému (môžete to urobiť príkazom SYS z komplexu DOS).
6. Ak je váš počítač infikovaný súborovým vírusom a neliečili ste sa pomocou lekára-inšpektora, mali by ste spustiť program - lekár na liečbu tento disk. Infikované súbory, ktoré lekár nedokázal obnoviť, by mali byť zničené. Samozrejme, ak na disku zostanú len tie súbory, ktoré nemôžu byť infikované vírusom (napríklad zdrojové texty programov a dokumentov), potom nemusíte spúšťať program na zničenie vírusu pre tento disk.
7. Pomocou záložných kópií by ste mali obnoviť súbory, ktoré sa nachádzali na disku.
8. Ak si nie ste istí, že v archíve neboli žiadne infikované súbory a máte program na detekciu alebo zničenie vírusu, ktorý infikoval počítač, mali by ste tento program pre disk spustiť znova. Ak sa na disku nájdu infikované súbory, potom tie, ktoré je možné obnoviť pomocou programu na odstránenie vírusov, sa musia skopírovať do archívu a zvyšok sa musí odstrániť z disku az archívu.
Všetky disky, ktoré by mohli byť infikované alebo poškodené vírusom, by mali byť podrobené takémuto spracovaniu. Ak máte dobrý antivírusový filtrovací program (napríklad VSafe z DOSového komplexu), je vhodné aspoň chvíľu pracovať, len spustením tohto programu. Malo by sa tiež pamätať na to, že počítač je často infikovaný niekoľkými vírusmi naraz, preto by ste po neutralizácii jedného vírusu mali skontrolovať všetky disky na prítomnosť iného.
c) Prevencia pred infekciou vírusom
Táto časť popisuje opatrenia, ktoré možno prijať na zníženie pravdepodobnosti infikovania počítača vírusom a na minimalizáciu škôd spôsobených vírusovou infekciou, ak k nej dôjde. Na prevenciu pred infekciou vírusom samozrejme nemôžete použiť všetky opísané prostriedky, ale len tie, ktoré považujete za potrebné.
Opatrenia na ochranu pred vírusmi možno rozdeliť do niekoľkých skupín.
1) Kopírovanie informácií a riadenie prístupu
1. Je potrebné mať archívne alebo referenčné kópie softvéru a dátových balíkov, ktoré používate, a pravidelne archivovať súbory, ktoré ste vytvorili alebo upravili. Pred archiváciou súborov je vhodné skontrolovať ich na neprítomnosť vírusov pomocou programu na detekciu (napríklad AidsTest). Je dôležité, aby sa informácie nekopírovali príliš zriedkavo – potom nebudú straty informácií pri ich náhodnom zničení také veľké.2. Je tiež vhodné skopírovať sektor s tabuľkou tvrdé oddelenie disk, zavádzacie sektory všetkých logických diskov a obsah CMOS (nezávislej pamäte počítača).To je možné vykonať pomocou položky „Vytvoriť záchrannú disketu“ programu DiskTool zo sady Norton Utilites. Na obnovenie týchto oblastí použite položku „Obnoviť záchrannú disketu“ rovnakého komplexu.3. Ochrana proti zápisu by mala byť nastavená na diskety so súbormi, ktoré nie je potrebné upravovať. Na pevnom disku je vhodné vytvoriť logický disk chránený proti zápisu a umiestniť naň programy a dáta, ktoré nie je potrebné meniť.4. Nemali by ste prepisovať softvér z iných počítačov (najmä tých, ku ktorým môžu mať prístup rôzne nezodpovedné osoby), pretože môže byť infikovaný vírusom.
2) Kontrola údajov prichádzajúcich zvonku
1. Pred použitím je potrebné všetky diskety prinesené zvonku skontrolovať na prítomnosť vírusu pomocou detekčných programov. To je užitočné aj vtedy, ak chcete používať iba dátové súbory na týchto disketách – čím skôr vírus odhalíte, tým lepšie. Na kontrolu môžete použiť program AidsTest.
Ak chcete napríklad otestovať disketu A:, zadajte príkaz: AIDSTEST A: /S /G. Tu režim /S nastaví pomalú prácu na vyhľadávanie poškodených vírusov a režim /G - kontroluje všetky súbory na disku.2. Ak sú programy, ktoré prinesiete, archivované na disketách, mali by ste súbory z archívu rozbaliť a ihneď potom skontrolovať. Napríklad, ak sú súbory extrahované do adresára C:/TIME, mali by ste zadať príkaz: AIDSTEST C:TIME*.* /S /G.3. Ak programy z archívov možno extrahovať iba inštalátorom programového balíka, musíte tento balík nainštalovať a hneď potom reštartovať počítač (opäť nie "Alt + Ctrl + Del", ale "Reset") a skontrolovať zapísané súbory na disk, ako je popísané vyššie. Odporúča sa, aby ste nainštalovali iba s povoleným antivírusovým filtrovacím softvérom (napríklad Vsafe zo súpravy MS-DOS).
3) Príprava „súpravy na opravu“
1. Musíte si pripraviť systémovú disketu s verziou DOS, ktorú používate. Môžete to urobiť pomocou príkazu "FORMAT A: /S" alebo "SYSA:". Na túto disketu (ak nie je dostatok miesta, potom na iné diskety) by sa mali skopírovať nasledujúce programy:
Programy na údržbu disku DOS: Format, FDisk, Label, Sys atď.;
iné často používané programy na údržbu systému súborov na disku, ako napríklad NDD, Disk Edit, Disk Tool, Calibrate, UnErase atď., ktoré sú súčasťou softvérového balíka Norton Utilites 7.0;
program na nastavenie parametrov konfigurácie počítača (takýto program sa môže nazývať SETUP, SETUP 1, AT SETUP atď.), ak je takýto program súčasťou softvérového balíka dodaného s počítačom;
programy na rozbalenie všetkých typov archívnych súborov, ktoré používate vy (a vaši kolegovia): PKUN ZIP, ARJ, LHA, RAR atď. Na každú z týchto diskiet je vhodné umiestniť príkazový procesor DOS, súbor COMMAND.COM, aby sa pri práci s týmito disketami nezobrazovali hlásenia vyžadujúce vloženie diskety so súborom COMMAND.COM.
Na jednu z diskiet je žiaduce skopírovať zavádzacie sektory pevného disku a obsah CMOS (nezávislej pamäte) počítača pomocou položky „Vytvoriť záchrannú disketu“ programu DiskTool z Norton Utilites. komplexné.
Dobrým riešením by bolo vložiť komplexný shellový program DOS Navigator do „opravnej súpravy“: kombinuje veľa užitočné funkcie s relatívne malým obsadeným diskovým priestorom (asi 670 Kb), napríklad: všetky druhy operácií so súbormi, DiskEdit, Format, Undelete (Reanimator), Find (search), Label, DiskCopy, Calculator, práca s archívmi, oveľa viac (ktoré je najdôležitejšie - pohodlné riadenie).
2. Súčasťou „opravnej sady“ by mali byť aj programy na odhaľovanie a ničenie rôznych počítačových vírusov. Vyberajte si programy, ktoré fungujú dobre, sú navrhnuté pre širokú škálu vírusov alebo vírusy, ktoré nie sú „chytené“ inými programami a boli testované ako neobsahujúce vírusy. Programy detektorov by sa mali pravidelne aktualizovať (napr. program AidsTest sa „aktualizuje“ niekoľkokrát do mesiaca). Nové vírusy sa teraz objavujú každý týždeň a pri používaní verzií programov starých šesť mesiacov alebo rok je veľmi pravdepodobné, že sa nakazia vírusom, ktorý tieto programy nepoznajú.3. Na disketách „súpravy na opravu“ by mala byť zásuvka na ochranu proti zápisu zapečatená (na trojpalcových disketách sa musí otvoriť západka ochrany proti zápisu), aby sa skopírované súbory nemohli náhodne zmeniť alebo poškodiť.
4) Ochrana proti boot vírusom
1. Na počítačoch, v ktorých konfiguračný inštalačný program obsiahnutý v BIOSe (vyvolaný pri zavádzaní stlačením určitej kombinácie kláves) umožňuje zakázať zavádzanie z diskety, je vhodné to urobiť, potom sa nemusíte báť žiadneho zavádzania vírusy. Na iných počítačoch sa pred reštartovaním z pevného disku uistite, že v jednotke A: nie je žiadna disketa. Ak je tam disketa, pred reštartovaním otvorte dvierka diskety.
2. Ak chcete reštartovať počítač z diskety, použite iba „referenčnú“ disketu chránenú proti zápisu s operačným systémom.
5) Pravidelné skenovanie vírusov
1. Do dávkového súboru AUTOEXEC.BAT je vhodné vložiť spustiteľný dezinfekčný prefix ADInfExt, v prípade nájdenia infikovaných súborov vás program ADinf vyzve na okamžitú dezinfekciu.
2. Veľmi jednoduchou a spoľahlivou kontrolou prítomnosti rezidentných vírusov je sledovanie zmien na pamäťovej karte počítača. Skúsení používatelia si budú môcť napísať svoje vlastné dávkové súbory na automatickú kontrolu rezidentných vírusov.
Záver
Nemali by ste dovoliť neoprávneným osobám pracovať na počítači bez dozoru, najmä ak majú vlastné diskety. Fanúšikovia počítačových hier sú najnebezpečnejší – sú schopní nielen nedodržiavať žiadne preventívne opatrenia proti vírusom, ale aj ignorovať akékoľvek varovania antivírusových nástrojov. Veľmi často bola príčinou napadnutia počítača vírusom hra prinesená na diskete, ktorú niekto hral 10-15 minút na počítači.
V prípade, že nie je možné vyhnúť sa prístupu náhodných osôb k počítaču (napr tréningové centrum), je vhodné umiestniť všetky alebo takmer všetky programy umiestnené na pevnom disku počítača na logický disk chránený proti zápisu.
Infekcie sa nemožno báť – treba si na ňu dávať pozor, pri svojej práci šikovne používať antivírusové nástroje, neignorovať rôzne varovania antivírusových programov, ale ani sa im slepo neriadiť a neveriť im: vo viac ako 85 % prípadov , neobvyklé akcie nie sú spôsobené pôsobením vírusu, ale nesprávnym konaním používateľa alebo použitých programov. Odporúča sa používať iba programy zakúpené v podnikových predajniach na referenčných disketách (prirodzene chránených proti zápisu), ale prax ukazuje, že absolútna väčšina sa takýmito radami riadiť nebude.
Zoznam informačných zdrojov
Literárne publikácie:
1. Sergey Molyavko, Gerhard Franken: MS-DOS 6.0 pre používateľa: - Kyjev: BHV Trade and Publishing Bureau, 1993.
2. Figurnov V.E.: IBM PC pre používateľa: - Ufa, PC "Degtyarev a syn", NPO "Informatika a počítače", 1993.
3. Elektronický denník"Antivírusová recenzia" Hedgehogs "", 1999
4. Príloha novín „Prvý september“ – „Informatika“, číslo 38, 1999
Počítačové zdroje :
1. Antivírusový doktor Doctor Web(autor - I.A. Danilov).
3. MSAV (Microsoft Anty-Virus) antivírusový lekár z MS-DOS 6.22 (Microsoft).
4. Antivírusový filter VSafe z MS-DOS 6.22 (Microsoft).
5. Antivírusový doktorský program Aids Test verzia 1721 (autor - D.N. Lozinsky).
ÚVOD
Žijeme na prelome dvoch tisícročí, kedy ľudstvo vstúpilo do éry novej vedecko-technickej revolúcie.
Do konca dvadsiateho storočia ľudia ovládali mnohé tajomstvá premeny hmoty a energie a dokázali tieto poznatky využiť na zlepšenie svojho života. Okrem hmoty a energie však v živote človeka zohráva obrovskú úlohu ešte jedna zložka – informácie. Ide o širokú škálu informácií, správ, správ, vedomostí, zručností.
V polovici nášho storočia sa objavili špeciálne zariadenia – počítače zamerané na ukladanie a konverziu informácií a nastala počítačová revolúcia.
Dnes sa, žiaľ, ukázalo, že masové používanie osobných počítačov súvisí so vznikom samoreprodukujúcich sa vírusových programov, ktoré zabraňujú normálna operácia počítač, ničí súborovú štruktúru diskov a poškodzuje informácie uložené v počítači.
Napriek zákonom prijatým v mnohých krajinách na boj proti počítačovej kriminalite a rozvoju špeciálne programy nové nástroje na ochranu pred vírusmi, počet nových softvérových vírusov neustále rastie. To si vyžaduje používateľa osobný počítač poznatky o povahe vírusov, spôsoboch infekcie a ochrane pred vírusmi. To bol podnet na výber témy mojej práce.
To je to, o čom hovorím vo svojej eseji. Ukážem hlavné typy vírusov, zvážim schémy ich fungovania, dôvody ich vzhľadu a spôsoby prenikania do počítača a tiež navrhujem opatrenia na ochranu a prevenciu.
Účelom práce je oboznámiť používateľa so základmi počítačovej virológie, naučiť ho detekovať vírusy a bojovať proti nim. Metódou práce je analýza tlačených publikácií na túto tému. Stál som pred náročnou úlohou – hovoriť o tom, čo bolo veľmi málo preštudované a ako sa to stalo – vy budete sudcom.
1. POČÍTAČOVÉ VÍRUSY A ICH VLASTNOSTI
A KLASIFIKÁCIA
1.1. Vlastnosti počítačových vírusov
Teraz sa používajú osobné počítače, v ktorých má používateľ voľný prístup ku všetkým zdrojom stroja. To otvorilo možnosť pre nebezpečenstvo, ktoré sa stalo známym ako počítačový vírus.
Čo je počítačový vírus? Formálna definícia tohto pojmu ešte nebola vynájdená a existujú vážne pochybnosti o tom, že ju možno vôbec podať. Početné pokusy poskytnúť „modernú“ definíciu vírusu neboli úspešné. Aby ste pocítili zložitosť problému, skúste si napríklad definovať pojem „editor“. Buď prídete na niečo veľmi všeobecné, alebo začnete vypisovať všetky známe typy editorov. Oboje možno len ťažko považovať za prijateľné. Preto sa obmedzíme na zváženie niektorých vlastností počítačových vírusov, ktoré nám umožňujú hovoriť o nich ako o určitej špecifickej triede programov.
Po prvé, vírus je program. Už len takéto jednoduché tvrdenie môže vyvrátiť mnohé legendy o mimoriadnych schopnostiach počítačových vírusov. Vírus dokáže prevrátiť obraz na vašom monitore, ale nedokáže prevrátiť samotný monitor. Legendy o vražedných vírusoch, ktoré „ničia operátorov zobrazením smrtiacej farebnej schémy na 25. snímke“, by sa tiež nemali brať vážne. Žiaľ, niektoré autoritatívne publikácie z času na čas publikujú „najnovšie správy z počítačového frontu“, ktoré sa pri bližšom skúmaní ukážu ako výsledok nie celkom jasného pochopenia témy.
Vírus je program, ktorý má schopnosť reprodukovať sa. Táto schopnosť je jediným prostriedkom, ktorý je vlastný všetkým typom vírusov. Ale nielen vírusy sú schopné sebareplikácie. Každý operačný systém a mnohé ďalšie programy sú schopné vytvárať svoje vlastné kópie. Kópie toho istého vírusu sa nielen nemusia úplne zhodovať s originálom, ale nemusia sa zhodovať vôbec!
Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúra súboru alebo dokonca len názvy iných programov. Dôvod je jasný: vírus musí nejakým spôsobom zabezpečiť odovzdanie kontroly na seba.
1.2. Klasifikácia vírusov
V súčasnosti je známych viac ako 5 000 softvérových vírusov, ktoré možno klasifikovať podľa nasledujúcich kritérií:
¨ biotop
¨ spôsob kontaminácie životného prostredia
¨ vplyv
¨ vlastnosti algoritmu
V závislosti od biotopu možno vírusy rozdeliť na sieťové, súborové, zavádzacie a spúšťané zo súboru. Sieťové vírusy distribuované cez rôzne počítačové siete. Súborové vírusy sa zavádzajú najmä do spustiteľných modulov, teda do súborov s príponami COM a EXE. Súborové vírusy môžu byť vložené do iných typov súborov, ale spravidla zapísané v takýchto súboroch nikdy nezískajú kontrolu, a preto strácajú schopnosť reprodukovať. Spúšťacie vírusy sú vložené do zavádzacieho sektora disku (Boot-sector) alebo do sektora obsahujúceho zavádzací program systémový disk(Master Boot Re-
šnúra). Spustenie súboru vírusy infikujú súbory aj zavádzacie sektory disku.
Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentné. Rezidentný vírus pri infikovaní (infikovaní) počítača zanechá jeho rezidentnú časť v RAM, ktorá následne zachytí prístup operačného systému k infikovaným objektom (súbory, boot sektory disku a pod.) a zasahuje do nich. Rezidentné vírusy sú uložené v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje. Nerezidentné vírusy neinfikujú pamäť počítača a sú aktívne len obmedzený čas.
Podľa stupňa dopadu možno vírusy rozdeliť do nasledujúcich typov:
¨ nie je nebezpečný, ktoré nezasahujú do prevádzky počítača, ale znižujú množstvo voľnej pamäte RAM a disku, akcie takýchto vírusov sa prejavujú akýmikoľvek grafickými alebo zvukovými efektmi
¨ nebezpečné vírusy, ktoré môžu spôsobiť rôzne problémy s počítačom
¨ veľmi nebezpečné, ktorých vplyv môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.
2. HLAVNÉ TYPY VÍRUSOV
A SCHÉMY ICH FUNGOVANIA
Medzi rôznymi vírusmi možno rozlíšiť tieto hlavné skupiny:
¨ naštartovať
¨ súbor
¨ bootovanie zo súboru
Teraz podrobnejšie o každej z týchto skupín.
2.1. Spúšťacie vírusy
Zvážte fungovanie veľmi jednoduchého zavádzacieho vírusu, ktorý infikuje diskety. Zámerne obchádzame všetky početné jemnosti, s ktorými by sme sa nevyhnutne stretli pri dôslednej analýze algoritmu jeho fungovania.
Čo sa stane, keď zapnete počítač? Najprv sa prenesie kontrola bootstrap program, ktorá je uložená v pamäti iba na čítanie (ROM) t.j. PNZ ROM.
Tento program otestuje hardvér a ak testy prebehnú úspešne, pokúsi sa nájsť disketu v jednotke A:
Každá disketa je označená na tzv. sektory a stopy. Sektory sa spájajú do zhlukov, ale to pre nás nie je podstatné.
Medzi sektormi je niekoľko servisných, ktoré operačný systém využíva pre svoje potreby (do týchto sektorov nie je možné umiestniť vaše údaje). Spomedzi sektorov služieb nás stále zaujíma jeden – tzv. bootstrap sektor(bootovací sektor).
Obchody v bootstrap sektore informácie o disketách- počet plôch, počet stôp, počet sektorov atď. Ale teraz nás nezaujímajú tieto informácie, ale malé bootstrap program(PNZ), ktorý by mal načítať samotný operačný systém a preniesť naň riadenie.
Takže normálny bootstrap vzor je nasledovný:
Teraz zvážte vírus. Pri boot vírusoch sa rozlišujú dve časti – tzv. hlavu atď. chvost. Chvost môže byť vo všeobecnosti prázdny.
Predpokladajme, že máte prázdnu disketu a infikovaný počítač, čím myslíme počítač s aktívnym rezidentným vírusom. Akonáhle tento vírus zistí, že sa v mechanike objavila vhodná obeť – v našom prípade disketa, ktorá nie je chránená proti zápisu a ešte nie je infikovaná, pristúpi k infekcii. Pri infikovaní diskety vírus vykoná nasledujúce akcie:
n pridelí určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, dá sa to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé (zlé)
n skopíruje svoj chvost a pôvodný (zdravý) zavádzací sektor do pridelenej oblasti disku
n nahradí bootstrapper v (skutočnom) boot sektore svojou hlavou
n organizuje prenosový reťazec podľa schémy.
Hlava vírusu je teda teraz prvá, ktorá prevezme kontrolu, vírus sa nainštaluje do pamäte a prenesie kontrolu do pôvodného zavádzacieho sektora. V reťazci
PNZ (ROM) - PNZ (disk) - SYSTÉM
objaví sa nový odkaz:
PNZ (ROM) - VÍRUS - PNZ (disk) - SYSTÉM
Morálka je jasná: nikdy (náhodou) nenechávajte diskety v jednotke A.
Preskúmali sme fungovanie jednoduchého vírusu butovy, ktorý žije v zavádzacích sektoroch diskiet. Vírusy môžu spravidla infikovať nielen boot sektory diskiet, ale aj boot sektory pevných diskov. V tomto prípade, na rozdiel od diskiet, má pevný disk dva typy zavádzacích sektorov obsahujúcich zavádzacie programy, ktoré prijímajú kontrolu. Pri zavádzaní počítača z pevného disku najprv prevezme kontrolu spúšťací program v MBR (Master Boot Record - Master Boot Record). Ak je váš pevný disk rozdelený na niekoľko oddielov, iba jeden z nich je označený ako bootovateľný (bootovací). Program bootstrap v MBR nájde zavádzaciu oblasť pevného disku a prenesie riadenie na zavádzač tejto oblasti. Kód posledne menovaného je rovnaký ako kód zavádzacieho programu na bežných disketách a príslušné zavádzacie sektory sa líšia iba v tabuľkách parametrov. Na pevnom disku sú teda dva objekty útoku zavádzacích vírusov - bootstrap program vMBR A elementárne sťahovanie v boot sektore zavádzací disk.
2.2. Súborové vírusy
Pozrime sa teraz na to, ako funguje jednoduchý súborový vírus. Na rozdiel od zavádzacích vírusov, ktoré sú takmer vždy rezidentné, súborové vírusy nemusia byť nevyhnutne rezidentné. Uvažujme o schéme fungovania nerezidentného súborového vírusu. Predpokladajme, že máme infikovaný spustiteľný súbor. Po spustení takéhoto súboru vírus prevezme kontrolu, vykoná nejaké akcie a odovzdá riadenie „masterovi“ (hoci stále nie je známe, kto je v takejto situácii pán).
Aké akcie vykonáva vírus? Hľadá nový objekt na infikovanie – súbor vhodného typu, ktorý ešte nebol infikovaný (v prípade, že je vírus „slušný“, v opačnom prípade existujú také, ktoré infikujú okamžite bez toho, aby čokoľvek skontrolovali). Infikovaním súboru sa vírus vloží do svojho kódu, aby získal kontrolu nad spustením súboru. Okrem svojej hlavnej funkcie - reprodukcie, môže vírus robiť aj niečo zložité (povedzte, požiadajte, zahrajte sa) - to už závisí od predstavivosti autora vírusu. Ak je súborový vírus rezidentný, nainštaluje sa do pamäte a získa schopnosť infikovať súbory a zobrazovať ďalšie schopnosti nielen počas spustenia infikovaného súboru. Infikovaním spustiteľného súboru vírus vždy upraví svoj kód – infekciu spustiteľného súboru je preto možné vždy odhaliť. Ale zmenou kódu súboru vírus nemusí nevyhnutne vykonať ďalšie zmeny:
à nie je povinná meniť dĺžku spisu
à nepoužité časti kódu
à nie je potrebné zmeniť začiatok súboru
Napokon, súborové vírusy často zahŕňajú vírusy, ktoré „majú niečo spoločné so súbormi“, ale nie je potrebné, aby zasahovali do ich kódu. Uvažujme ako príklad schému fungovania vírusov známej rodiny Dir-II. Treba priznať, že tieto vírusy, ktoré sa objavili v roku 1991, spôsobili v Rusku skutočnú morovú epidémiu. Zvážte model, ktorý jasne ukazuje základnú myšlienku vírusu. Informácie o súboroch sú uložené v adresároch. Každá položka adresára obsahuje názov súboru, dátum a čas vytvorenia, niektoré Ďalšie informácie, číslo prvého klastra súbor atď. náhradné bajty. Tie sú ponechané „v zálohe“ a samotný MS-DOS sa nepoužíva.
Pri spúšťaní spustiteľných súborov systém načíta prvý klaster súboru zo záznamu adresára a potom všetky ostatné klastre. Vírusy rodiny Dir-II spôsobujú nasledujúcu "reorganizáciu" súborového systému: samotný vírus je zapísaný do niektorých voľných sektorov disku, ktoré označí ako zlé. Okrem toho ukladá informácie o prvých zhlukoch spustiteľných súborov do náhradných bitov a namiesto týchto informácií zapisuje odkazy na seba.
Vírus teda pri spustení akéhokoľvek súboru získa kontrolu (operačný systém ho spustí sám), usadí sa v pamäti a odovzdá riadenie volanému súboru.
2.3. Vírusy spúšťacích súborov
Model vírusu boot-file nebudeme uvažovať, pretože v tomto prípade sa nedozviete žiadne nové informácie. Tu je však príležitosť stručne diskutovať o nedávno mimoriadne "populárnom" víruse zavádzacieho súboru OneHalf, ktorý infikuje hlavný zavádzací sektor (MBR) a spustiteľné súbory. Hlavnou deštruktívnou akciou je šifrovanie sektorov pevného disku. Pri každom spustení vírus zašifruje ďalšiu časť sektorov a po zašifrovaní polovice pevného disku to s radosťou oznámi. Hlavným problémom pri liečbe tohto vírusu je, že nestačí len odstrániť vírus z MBR a súborov, je potrebné dešifrovať ním zašifrované informácie. Najviac „smrteľnou“ akciou je jednoducho prepísať nový zdravý MBR. Hlavná vec - neprepadajte panike. Všetko pokojne zvážte, poraďte sa s odborníkmi.
2.4. Polymorfné vírusy
Väčšina otázok súvisí s pojmom „polymorfný vírus“. Tento typ počítačového vírusu je zďaleka najnebezpečnejší. Poďme si vysvetliť, čo to je.
Polymorfné vírusy sú vírusy, ktoré modifikujú svoj kód v infikovaných programoch takým spôsobom, že dve inštancie toho istého vírusu sa nemusia zhodovať v jednom bite.
Takéto vírusy nielenže zašifrujú svoj kód rôznymi šifrovacími cestami, ale obsahujú aj generačný kód šifrovača a dešifrovača, čím sa odlišujú od bežných šifrovacích vírusov, ktoré dokážu zašifrovať aj časti svojho kódu, no zároveň majú konštantný kód. šifrovača a dešifrovača.
Polymorfné vírusy sú vírusy so samomodifikačnými dekodérmi. Účelom takéhoto šifrovania je, že ak máte infikovaný a pôvodný súbor, stále nebudete môcť analyzovať jeho kód pomocou konvenčnej demontáže. Tento kód je zašifrovaný a je to nezmyselná sada príkazov. Dešifrovanie vykonáva samotný vírus za behu. Zároveň sú možné možnosti: môže sa dešifrovať sám naraz, alebo môže takéto dešifrovanie vykonať „za pochodu“, opäť môže zašifrovať už vypracované úseky. To všetko sa robí kvôli sťaženiu analýzy vírusového kódu.
3. HISTÓRIA POČÍTAČOVEJ VIROLÓGIE
A DÔVODY VZNIKU VÍRUSOV
História počítačovej virológie sa dnes zdá byť neustálym „pretekom o vodcu“ a napriek plnej sile moderných antivírusových programov sú to vírusy, ktoré sú lídrami. Spomedzi tisícok vírusov je len niekoľko desiatok originálnych vývojov využívajúcich skutočne zásadne nové nápady. Všetky ostatné sú „variácie na tému“. Ale každý originálny vývoj núti tvorcov antivírusov prispôsobiť sa novým podmienkam, dobehnúť vírusovú technológiu. O tom druhom možno polemizovať. Napríklad v roku 1989 sa americkému študentovi podarilo vytvoriť vírus, ktorý znefunkčnil približne 6000 počítačov ministerstva obrany USA. Alebo epidémia slávneho vírusu Dir-II, ktorý vypukol v roku 1991. Vírus používal naozaj originálne, zásadne Nová technológia a najprv sa podarilo široko rozšíriť kvôli nedokonalosti tradičných antivírusových nástrojov.
Alebo vypuknutie počítačových vírusov vo Veľkej Británii: Christopher Pine dokázal vytvoriť vírusy Pathogen a Queeq, ako aj vírus Smeg. Práve ten druhý bol najnebezpečnejší, dal sa aplikovať na prvé dva vírusy a kvôli tomu po každom spustení programu menili konfiguráciu. Preto ich nebolo možné zničiť. Pine skopíroval, aby šíril vírusy počítačové hry a programy, infikoval ich a potom ich poslal späť do siete. Používatelia si stiahli infikované programy do svojich počítačov a na infikované disky. Situáciu zhoršila skutočnosť, že Pine dokázal priniesť vírusy do programu, ktorý s nimi bojuje. Jeho spustením používatelia namiesto ničenia vírusov dostali ďalší. V dôsledku toho boli súbory mnohých spoločností zničené, straty dosiahli milióny libier.
Americký programátor Morris je všeobecne známy. Je známy ako tvorca vírusu, ktorý v novembri 1988 infikoval asi 7000 osobných počítačov pripojených na internet.
Príčiny vzniku a šírenia počítačových vírusov sú na jednej strane skryté v psychológii ľudskej osobnosti a jej tieňových stránkach (závisť, pomsta, ješitnosť neuznaných tvorcov, neschopnosť konštruktívne uplatniť svoje schopnosti), na druhej strane kvôli nedostatočnej hardvérovej ochrane a protireakcii z operačnej sály.systémy osobných počítačov.
4. SPÔSOBY PRENIKANIA VÍRUSOV DO POČÍTAČA A MECHANIZMUS DISTRIBÚCIE VÍRUSOVÝCH PROGRAMOV
Hlavnými spôsobmi, ako sa vírusy dostanú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Infekcia pevného disku vírusmi sa môže vyskytnúť, keď sa program načíta z diskety obsahujúcej vírus. Takáto infekcia môže byť aj náhodná, napríklad ak disketa nebola vybratá z jednotky A a počítač bol reštartovaný, pričom disketa nemusí byť systémová. Je oveľa jednoduchšie infikovať disketu. Vírus sa na ňu môže dostať aj vtedy, ak sa disketa jednoducho vloží do diskovej jednotky infikovaného počítača a napríklad sa prečíta jej obsah.
Vírus zvyčajne infikuje pracovný program a to tak, že pri jeho spustení sa riadenie najskôr prenesie naň a až po vykonaní všetkých jeho príkazov sa opäť vráti do pracovného programu. Po získaní prístupu ku kontrole sa vírus najskôr prepíše do iného pracovného programu a infikuje ho. Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory. Zavádzací sektor disku a spustiteľné súbory, ktoré majú EXE rozšírenia, COM, SYS, BAT. Textové súbory sú veľmi zriedkavo infikované.
Po infikovaní programu môže vírus vykonať nejakú sabotáž, nie príliš závažnú, aby nevzbudila pozornosť. A nakoniec nezabudnite vrátiť ovládanie programu, z ktorého bol spustený. Každé spustenie infikovaného programu prenáša vírus na ďalší. Všetok softvér bude teda infikovaný.
Pre ilustráciu infekčného procesu počítačový program ako vírus má zmysel prirovnávať diskové úložisko k staromódnemu archívu so zložkami na páske. Priečinky obsahujú programy a postupnosť operácií na zavedenie vírusu bude v tomto prípade vyzerať takto. (Pozri Príloha 1)
5. ZNAKY VÍRUSOV
Keď je počítač napadnutý vírusom, je dôležité ho odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch prejavu vírusov. Patria sem nasledujúce položky:
¨ ukončenie práce alebo nesprávne fungovanie predtým úspešne fungujúcich programov
¨ pomalý výkon počítača
¨ nemožnosť zaviesť operačný systém
¨ zmiznutie súborov a adresárov alebo skreslenie ich obsahu
¨ zmeniť dátum a čas úpravy súborov
¨ zmena veľkosti súboru
¨ neočakávaný veľký nárast počtu súborov na disku
¨ výrazné zníženie veľkosti voľnej pamäte RAM
¨ zobrazovanie neočakávaných správ alebo obrázkov na obrazovke
¨ predloženie nepredvídaných zvukové signály
¨ časté zamŕzanie a pády počítača
Treba poznamenať, že vyššie uvedené javy nie sú nevyhnutne spôsobené prítomnosťou vírusu, ale môžu byť spôsobené inými príčinami. Preto je vždy ťažké správne diagnostikovať stav počítača.
6. DETEKCIA VÍRUSOV A OCHRANNÉ A PREVENČNÉ OPATRENIA
6.1. Ako zistiť vírus? Tradičný prístup
Takže istý autor vírusov vytvorí vírus a uvedie ho do „života“. Na nejaký čas môže chodiť voľne, ale skôr či neskôr „lafa“ skončí. Niekto bude mať podozrenie, že niečo nie je v poriadku. Zvyčajne sa nájdu vírusy bežných používateľov ktorí si všimnú určité anomálie v správaní počítača. Vo väčšine prípadov sa sami nedokážu vyrovnať s infekciou, ale to sa od nich nevyžaduje.
Je len potrebné, aby sa vírus čo najskôr dostal do rúk špecialistov. Profesionáli ho preštudujú, zistia „čo robí“, „ako to robí“, „kedy robí“ atď. V procese takejto práce sa zbierajú všetky potrebné informácie o tomto víruse, najmä podpis vírusu je zvýraznený - postupnosť bajtov, ktorá ho celkom jasne definuje. Na vytvorenie podpisu sa zvyčajne berú najdôležitejšie a charakteristické časti kódu vírusu. Zároveň sa objasnia mechanizmy fungovania vírusu, napríklad pri boot víruse je dôležité vedieť, kde skrýva svoj chvost, kde sa nachádza pôvodný boot sektor a v prípade tzv. súbor jeden, ako je súbor infikovaný. Získané informácie nám umožňujú zistiť:
Ako zistiť vírus, na tento účel sú určené metódy vyhľadávania podpisov v potenciálnych objektoch vírusového útoku - špecifikujú sa súbory a / alebo zavádzacie sektory
ako vírus neutralizovať, ak je to možné, vyvíjajú sa algoritmy na odstránenie vírusového kódu z postihnutých objektov
6.2. Programy na detekciu a ochranu vírusov
Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a ničiť vírusy. Takéto programy sú tzv antivírusové . Existujú nasledujúce typy antivírusových programov:
programy-detektory
programov-lekárov alebo fágov
programových audítorov
filtračné programy
očkovacie programy alebo imunizátory
Programy-detektory v RAM a v súboroch vyhľadá charakteristiku konkrétneho vírusu a ak sa zistí, vydá príslušnú správu. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.
Lekárske programy alebo fágy, a očkovacie programy vírusmi infikované súbory nielen nájsť, ale aj „liečiť“, t.j. telo vírusového programu sa odstráni zo súboru, čím sa súbory vrátia do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečbe“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich sú: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a sú potrebné pravidelné aktualizácie.
Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Stavy sa spravidla porovnávajú ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú pomerne pokročilé algoritmy, detegujú stealth vírusy a dokonca dokážu vyčistiť zmeny verzie kontrolovaného programu od zmien vykonaných vírusom. Medzi programami-audítormi je v Rusku široko používaný program Adinf.
Filtrovať programy alebo "strážca" sú malé rezidentné programy určené na detekciu podozrivej činnosti počítača, ktorá je charakteristická pre vírusy. Takéto akcie môžu byť:
Pokusy o opravu súborov s príponami COM, EXE
zmena atribútov súboru
Priamy zápis na disk na absolútnu adresu
Zápis do zavádzacích sektorov disku
Keď sa ktorýkoľvek program pokúsi vykonať zadané akcie, „strážca“ pošle používateľovi správu a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtračné programy sú veľmi užitočné, pretože sú schopné odhaliť vírus v najskoršom štádiu jeho existencie pred reprodukciou. Súbory a disky však „neliečia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Medzi nevýhody watchdogových programov patrí ich „otravnosť“ (napr. neustále vydávajú varovanie pri každom pokuse o skopírovanie spustiteľného súboru), ako aj možné konflikty s iným softvérom. Príkladom filtrovacieho programu je program Vsafe, ktorý je súčasťou obslužného balíka MS DOS.
Vakcíny alebo imunizátory sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní ich prácu a vírus ich bude vnímať ako infikované, a preto sa nezakorení. Vakcinačné programy majú v súčasnosti obmedzené využitie.
Včasná detekcia súborov a diskov infikovaných vírusmi, úplné zničenie zistených vírusov na každom počítači pomáha zabrániť šíreniu vírusovej epidémie na ďalšie počítače.
6.3. Základné opatrenia na ochranu pred vírusmi
Aby ste nevystavili počítač vírusom a zabezpečili spoľahlivé ukladanie informácií na diskoch, musíte dodržiavať nasledujúce pravidlá:
¨ vybavte svoj počítač aktuálnymi antivírusovými programami, ako sú Aidstest, Doctor Web, a neustále aktualizujte ich verzie
¨ pred čítaním informácií uložených na iných počítačoch z diskiet vždy skontrolujte tieto diskety na prítomnosť vírusov spustením antivírusových programov na vašom počítači
¨ pri prenose archivovaných súborov do počítača ich skontrolujte ihneď po rozbalení na pevnom disku, pričom oblasť kontroly obmedzte len na novo zaznamenané súbory
¨ Pravidelne skenujte pevné disky vášho počítača na prítomnosť vírusov spustením antivírusových programov na testovanie súborov, pamäte a systémových oblastí diskov z diskety s ochranou proti zápisu po načítaní operačného systému zo systémovej diskety chránenej proti zápisu
¨ vždy chráňte svoje diskety proti zápisu pri práci na iných počítačoch, ak nebudú zapisované do informácií
¨ určite to urobte archívne kópie na disketách s cennými informáciami pre vás
¨ nenechávajte diskety vo vrecku jednotky A pri zapínaní alebo reštartovaní operačného systému, aby ste predišli infekcii počítača zavádzacími vírusmi
¨ používať antivírusové programy na kontrolu vstupu všetkých spustiteľných súborov prijatých z počítačových sietí
¨ na zaistenie vyššej bezpečnosti je potrebné kombinovať používanie Aidstest a Doctor Web s každodenným používaním Adinf disku audítora
ZÁVER
Môžeme teda citovať množstvo faktov, ktoré naznačujú, že ohrozenie informačného zdroja každým dňom narastá, čo spôsobuje paniku zodpovedných osôb v bankách, podnikoch a spoločnostiach po celom svete. A táto hrozba pochádza z počítačových vírusov, ktoré skresľujú alebo ničia životne dôležité, cenné informácie, čo môže viesť nielen k finančným stratám, ale aj k ľudským obetiam.
Počítačový vírus - špeciálne napísaný program, ktorý sa môže spontánne pripájať k iným programom, vytvárať svoje kópie a vkladať ich do súborov, oblastí počítačového systému a počítačových sietí s cieľom narušiť programy, poškodiť súbory a adresáre a vytvárať všetky druhy rušenia v počítači.
V súčasnosti je známych viac ako 5000 softvérových vírusov, ktorých počet neustále rastie. Existujú prípady, keď boli vytvorené návody na pomoc pri písaní vírusov.
Hlavné typy vírusov: boot, file, file-boot. Väčšina nebezpečný pohľad vírusy sú polymorfné.
Z histórie počítačovej virológie je zrejmé, že akýkoľvek originálny počítačový vývoj núti tvorcov antivírusov prispôsobovať sa novým technológiám, neustále vylepšovať antivírusové programy.
Dôvody výskytu a šírenia vírusov sú skryté na jednej strane v ľudskej psychológii, na druhej strane s nedostatočnou ochranou operačného systému.
Hlavnými spôsobmi prenikania vírusov sú vymeniteľné jednotky a počítačové siete. Aby ste tomu zabránili, urobte preventívne opatrenia. Taktiež bolo vyvinutých niekoľko typov špeciálnych programov nazývaných antivírusové programy na detekciu, odstránenie a ochranu pred počítačovými vírusmi. Ak stále nájdete vírus vo svojom počítači, potom podľa tradičného prístupu je lepšie zavolať profesionála, aby to mohol ďalej zistiť.
Ale niektoré vlastnosti vírusov lámu hlavu aj odborníkom. Až donedávna bolo ťažké si predstaviť, že by vírus mohol prežiť studený reštart alebo sa šíriť cez súbory dokumentov. Za takýchto podmienok nemožno neprikladať dôležitosť aspoň počiatočnej antivírusovej výchove používateľov. Napriek závažnosti problému nie je žiadny vírus schopný spôsobiť toľko škody ako vybielený používateľ s trasúcimi sa rukami!
takže, zdravie vašich počítačov, bezpečnosť vašich údajov - vo vašich rukách!
Bibliografický zoznam
1. Informatika: Učebnica / vyd. Na túto tému sa vyjadril prof. N.V. Makarova. - M.: Financie a štatistika, 1997.
2. Encyklopédia tajomstiev a vnemov / Pripravené. text od Yu.N. Petrov. - Minsk: Literatúra, 1996.
3. Bezrukov N.N. Počítačové vírusy. - M.: Nauka, 1991.
4. Mostovoy D.Yu. Moderné technológie boj proti vírusom // PC World. - č. 8. - 1993.
Doučovanie
Potrebujete pomôcť s učením témy?
Naši odborníci vám poradia alebo poskytnú doučovacie služby na témy, ktoré vás zaujímajú.
Odoslať žiadosť s uvedením témy práve teraz, aby ste sa dozvedeli o možnosti konzultácie.
Termín „počítačový vírus“ prvýkrát použil Fred Cohen na Lehigh University (USA) v roku 1984.
Počítačový vírus je jedným z najzaujímavejších javov, ktoré možno pozorovať v dôsledku rozvoja počítačovej a informačnej technológie. Jeho podstata spočíva v tom, že programy získavajú vlastnosti vlastné živým organizmom: rodia sa, množia sa, umierajú.
Hlavnou podmienkou existencie vírusov je univerzálna interpretácia v výpočtových systémov. Počas infikovania programu ho môže vírus interpretovať ako dáta, zatiaľ čo počas vykonávania ho môže interpretovať ako spustiteľný kód. Tento princíp bol základom všetkých moderných počítačové systémy pomocou von Neumannovej architektúry.
Počítačový vírus je malý, zložitý, starostlivo vytvorený a nebezpečný program, ktoré sa môžu reprodukovať samostatne, prenášať na disky a flash disky, pripájať sa k programom, prenášať cez sieť a rušiť počítač. Pojem „počítačový vírus“ úzko súvisí s takým pojmom, akým je podpis. Podpis je kus kódu, ktorý možno nájsť vo všetkých kópiách vírusu a iba v nich. Inými slovami, podpis je podpis vírusu, ktorý jednoznačne určuje jeho prítomnosť alebo neprítomnosť v programe.
Program, ktorý obsahuje počítačový vírus, sa nazýva infikovaný.
Vírus (vírusový program) má nasledujúce vlastnosti:
- Schopnosť vytvárať vlastné kópie a vkladať ich do iných objektov programu.
- Zabezpečenie utajenia (latencie) do určitého momentu jeho existencie a distribúcie.
- Neoprávnenie (zo strany používateľa) jeho konania.
- Prítomnosť negatívnych dôsledkov z jeho fungovania.
Akcie počítačových vírusov sa môžu prejaviť rôznymi spôsobmi:
- niektoré súbory sa poškodia;
- programy prestanú bežať alebo bežia nesprávne;
- Na obrazovke monitora sa objavia nepredvídané správy alebo symboly;
- počítač sa spomalí atď.
Niektoré vírusy sa pri spustení navonok neprejavia a môžu z času na čas infikovať iné programy a vykonávať nežiaduce akcie v počítači, napríklad posielať dôverné informácie útočníkovi. Iné typy vírusov po infikovaní programov a diskov spôsobujú vážne škody, napríklad naformátujú pevný disk a pod., alebo tým hrozia, vyžadujú si prevod peňazí na odomknutie.
Infikované programy z jedného PC je možné preniesť pomocou flash diskov, diskov, lokálnych alebo globálnych sietí do iných počítačov.
Ak neprijmete opatrenia na ochranu pred počítačovými vírusmi, následky infikovania počítačov môžu byť vážne. V mnohých krajinách trestná legislatíva stanovuje zodpovednosť za počítačové zločiny vrátane zavlečenia vírusov.
Primárna infekcia počítača vírusom je možná, keď:
- na počítači bežal infikovaný program;
- OS bol načítaný z flash disku alebo disku obsahujúceho infikovaný zavádzací sektor;
- V počítači je nainštalovaný infikovaný operačný systém alebo ovládač zariadenia;
- prostredníctvom lokálnej a globálnej siete atď.
Klasifikácia vírusov
Dnes existujú státisíce vírusov.
Klasifikácia vírusov sa vykonáva podľa nasledujúcich kritérií:
- biotop;
- spôsob infekcie;
- akcia;
- vlastnosti algoritmu.
V závislosti od biotopu možno vírusy rozdeliť na sieťové, súborové, zavádzacie a spúšťané zo súboru. Sieťové vírusy sa šíria rôznymi . Súborové vírusy prenikajú najmä do spustiteľných modulov, existujú súbory s príponou EXE atď. Súborové vírusy môžu preniknúť aj do iných typov súborov, ale spravidla sú v takýchto súboroch zaznamenané, nikdy neovládajú, a preto strácajú schopnosť reprodukovať sa. Boot vírusy prenikajú do boot sektora disku (Boot sektor) alebo do sektora obsahujúceho bootovací program systémového disku (Master Boot Record). Vírusy spustenia súborov infikujú súbory aj zavádzacie sektory disku.
Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentné. Keď rezidentný vírus infikuje (infikuje) počítač, zanechá jeho rezidentnú časť v pamäti RAM, ktorá následne zachytí volania operačného systému na infikované objekty (súbory, boot sektory disku atď.) a prenikne do nich. Rezidentné vírusy sú uložené v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje. Nerezidentné vírusy neinfikujú počítačovú pamäť a sú aktívne len obmedzený čas.
Podľa stupňa dopadu možno vírusy rozdeliť do nasledujúcich typov:
- bezpečné, tie, ktoré nezasahujú do prevádzky počítača, ale znižujú množstvo voľnej pamäte RAM a miesta na disku; akcie takýchto vírusov sa prejavujú v akýchkoľvek grafických alebo zvukových efektoch;
- nebezpečné vírusy, čo môže viesť k rôznym poruchám v počítači;
- veľmi nebezpečné, ktorých činnosť môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.
Známe sú neviditeľné vírusy, nazývané stealth - vírusy, ktoré je veľmi ťažké odhaliť a neutralizovať, pretože zachytávajú volania operačného systému na infikované súbory a sektory disku a nahradzujú neinfikované oblasti disku namiesto ich tela. Najťažšie je identifikovať mutantné vírusy, ktoré obsahujú šifrovacie a dešifrovacie algoritmy, vďaka ktorým kópie toho istého vírusu nemajú jediný bajtový reťazec, ktorý sa opakuje. Existujú aj takzvané kvázivírusové alebo „trójske“ programy, ktoré, aj keď nie sú schopné samošírenia, sú veľmi nebezpečné, pretože sa tvária ako užitočný program zničte zavádzací sektor a súborový systém disku.
Spôsoby ochrany pred vírusmi
Jedným z hlavných dôsledkov vírusov je strata alebo poškodenie informácií. Pre zabezpečenie stabilnej a spoľahlivej prevádzky je preto potrebné (alebo aspoň žiaduce) mať vždy čisté, neinfikované (referenčné) kópie použitých informácií a softvéru.
Spoločné fondy zahŕňajú:
- zálohovanie informácií (vytváranie kópií súborov a systémových oblastí diskov);
- diferenciácia prístupu k informáciám (zabránenie neoprávnenému použitiu informácií).
Softvér obsahuje rôzne antivírusové programy, ktoré sú najúčinnejšie v boji proti počítačovým vírusom. Neexistujú však žiadne antivírusy, ktoré by zaručovali 100% ochranu pred vírusmi, pretože akýkoľvek antivírusový algoritmus môže byť vždy proti-algoritmom vírusu, ktorý je pre tento antivírus neviditeľný. Nemožnosť existencie absolútneho antivírusu bola dokázaná matematicky na základe teórie konečných automatov, autorom dôkazu je Fred Cohen.
Použitie špeciálnych antivírusových nástrojov vo väčšine prípadov umožňuje nielen zistiť vírusovú inváziu, ale aj rýchlo neutralizovať zistené vírusy a obnoviť poškodené informácie.
Antivírusové programy sú nástroje, ktoré vám umožňujú detekovať vírusy, liečiť alebo eliminovať infikované súbory a disky, zisťovať a predchádzať podozrivým činnostiam (špecifickým pre vírusy).
Existuje mnoho klasifikácií antivírusových programov. Uvažujme o jednom z nich.
Klasifikácia antivírusových programov
| Typ antivírusového programu | Princíp fungovania |
| Detektory | Zistiť súbory infikované jedným zo známych vírusov |
| Lekári (fágy) | "Vyliečiť" infikované programy alebo disky, extrahovať kód vírusu z infikovaných programov, to znamená obnoviť program do stavu, v ktorom bol pred infikovaním vírusom |
| audítorov | Najprv sa uložia informácie o stave programov a systémových oblastí diskov a následne sa ich stav porovnáva s pôvodným. Ak zistíte nezrovnalosť, nahláste ju. |
| Filtre | Sú načítané rezidentne v RAM, zachytávajú tie hovory do systému, ktoré používajú vírusy na množenie a spôsobujú škody, a hlásia ich. Túto operáciu môžete povoliť alebo zakázať. |
Medzi populárne a efektívne antivírusové softvérové systémy patria:
- Kaspersky Anti-Virus – AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
- Avast (http://www.avast.ru)
- DoctorWeb (http://www.drweb.ru)
- NOD 32 http://www.esetnod32.ru;
- Norton Antivirus;
- Symantec AntiVirus atď.
Viac spoľahlivú ochranu dať tie antivírusové programy, ktorých verzie sú neustále aktualizované.
Odstránenie spywaru
Existuje ďalšia kategória škodlivého softvéru (softvér), ktorý je oveľa menej známy ako vírusy (ale v žiadnom prípade nie menej nebezpečný) kvôli špecifikám jeho práce - špionážne programy pre akcie používateľov. Takéto programy (spyware) sa spravidla dodávajú spolu s programami distribuovanými prostredníctvom Internet zadarmo programy alebo automaticky nainštalované na PC počas surfovania po webe.
Spyware je definovaný ako softvér, ktorý vám umožňuje zhromažďovať informácie o používateľovi alebo organizácii bez ich vedomia. Adware (z reklamy - reklama) - programovací kód, bez vedomia používateľa zavedeného do softvéru za účelom zobrazovania reklám.
Podľa New Scientist má 5,1 % svetových počítačov pripojených k internetu na svojom pevnom disku programový kód určený na neoprávnené zhromažďovanie. dôverné informácie a/alebo zobrazovanie nevyžiadaných reklám prostredníctvom kontextových okien prehliadača.
Podľa údajov získaných výskumníkmi z Washingtonskej univerzity v priebehu pozorovania distribúcie iba štyroch spywarov (Gator, Cydoor, SaveNow, eZula) na univerzitných počítačoch malo 5,1 % počítačov softvér na sledovanie aktivít používateľov a 69 % katedry a kancelárie univerzity mali aspoň jeden počítač, na ktorom bol nainštalovaný spyware.
Minimálne dva z týchto programov – Gator a eZula – umožňujú útočníkovi nielen zbierať informácie, ale aj ovládať počítač niekoho iného.
Program určený na vyhľadávanie a elimináciu spywaru skenuje RAM, súbory na pevnom disku a identifikuje spyware a spustené škodlivé procesy v nich. Skenuje sa aj register operačného systému. Ak sa v registri nájde položka, ktorú nainštaloval škodlivý program, odstráni sa. Antispywarovú databázu je možné aktualizovať cez internet. Ak sa zistí spyware, program ponúkne odstránenie všetkých alebo selektívne. Aby sa predišlo náhodnému vymazaniu požadovaného súboru alebo položky v registri, poskytuje sa funkcia obnovenia (na tento účel sa automaticky vytvárajú záložné kópie údajov). Každý používateľ, ktorý pracuje na počítači, by mal mať takýto program.
Sledujte udalosti v posledných rokoch, možno s istotou povedať, že spyware sa spolu s počítačovými vírusmi stal globálnou online pohromou. Podľa EarthLink je teda 90 % všetkých počítačov pripojených na internet infikovaných takýmto softvérom. Celkovo bolo objavených 29500000 spyware, v priemere 28 na PC. Je dosť možné, že v budúcnosti bude hranica medzi tromi zložkami (spyware, vírusy a spam) temnej strany internetu úplne vymazaná a nebude to už séria rôznych utilít, ktoré s nimi budú bojovať, ale jeden jednotný softvérový balík.
Dôležité poznatky:
- Antivírusová ochrana bude vždy aktuálna.
- Antivírusová ochrana by mala byť premyslená, komplexná a systematická.
- Antivírusové databázy je potrebné neustále aktualizovať.
- Pravdepodobnosť infikovania počítačovými vírusmi sa znižuje súčasným používaním viacerých antivírusových programov.
- Náklady na antivírusovú ochranu nie sú prehnané.
Načítava...