Комп'ютерні віруси
Комп'ютерний вірус- це невелика програма, написана програмістом високої кваліфікації, здатна до саморозмноження та виконання різних деструктивних дій На сьогоднішній день відомо понад 50 тис. комп'ютерних вірусів.
Існує багато різних версій щодо дати народження першого комп'ютерного вірусу. Проте більшість фахівців сходяться на думці, що комп'ютерні віруси, як такі, вперше з'явилися в 1986 році, хоча історично виникнення вірусів тісно пов'язане з ідеєю створення програм, що самовідтворюються. Одним із "піонерів" серед комп'ютерних вірусів вважається вірус "Brain", створений пакистанським програмістом на прізвище Алві. Тільки США цей вірус вразив понад 18 тис. комп'ютерів.
Віруси діють лише програмним шляхом. Вони зазвичай приєднуються до файлу або проникають у тіло файлу. У цьому випадку говорять, що файл заражений вірусом. Вірус потрапляє до комп'ютера лише разом із зараженим файлом. Для активізації вірусу потрібно завантажити заражений файл, і лише після цього вірус починає діяти самостійно.
Деякі віруси під час запуску зараженого файлу стають резидентними (постійно знаходяться в оперативній пам'яті комп'ютера) і можуть заражати інші файли та програми, що завантажуються.
Інший різновид вірусів відразу після активізації може бути причиною серйозних пошкоджень, наприклад форматувати жорсткий диск. Дія вірусів може виявлятися по-різному: від різних візуальних ефектів, що заважають працювати, до втрати інформації.
Основні джерела вірусів:
дискета, де знаходяться заражені вірусом файли;
комп'ютерна мережа, зокрема система електронної пошти та Internet;
жорсткий диск, на який потрапив вірус у результаті роботи із зараженими програмами;
вірус, що залишився в оперативній пам'яті після попереднього користувача.
Основні ранні ознаки зараження комп'ютера вірусом:
зменшення обсягу вільної оперативної пам'яті;
уповільнення завантаження та роботи комп'ютера;
незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів;
помилки під час завантаження операційної системи;
неможливість зберігати файли у потрібних каталогах;
незрозумілі системні повідомлення, музичні та візуальні ефекти тощо.
Ознаки активної фази вірусу:
зникнення файлів;
форматування жорсткого диска;
неможливість завантаження файлів чи операційної системи.
Існує дуже багато різних вірусів. Умовно їх можна класифікувати так:
1) завантажувальні вірусиабо BOOT-віруси заражають boot-сектори дисків. Дуже небезпечні можуть призвести до повної втрати всієї інформації, що зберігається на диску;
2) файлові вірусизаражають файли. Поділяються на:
віруси, що заражають програми (файли з розширенням .EXE та .COM);
макровіруси віруси, що заражають файли даних, наприклад документи Word або робочі книги Excel;
віруси-супутники використовують імена інших файлів;
віруси сімейства DIR спотворюють системну інформаціюпро файлові структури;
3) завантажувально-файлові вірусиздатні вражати як код boot-секторів, і код файлів;
4) віруси-невидимкиабо STEALTH-віруси фальсифікують інформацію прочитану з диска так, що програма, яка призначена ця інформація отримує невірні дані. Ця технологія, яку іноді так і називають Stealth-технологією, може використовуватися як у BOOT-вірусах, так і у файлових вірусах;
5) ретровірусизаражають антивірусні програми, намагаючись знищити їх чи зробити непрацездатними;
6) віруси-хробакизабезпечують невеликі повідомлення електронної пошти, так званим заголовком, який по суті є Web-адреса місцезнаходження самого вірусу. При спробі прочитати таке повідомлення вірус починає зчитувати через глобальну мережу Internet своє «тіло» і після завантаження починає деструктивну дію. Дуже небезпечні, тому що виявити їх дуже важко, тому що заражений файл фактично не містить коду вірусу.
Якщо не вживати заходів для захисту від комп'ютерних вірусів, наслідки зараження можуть бути дуже серйозними. У низці країн кримінальне законодавство передбачає відповідальність за комп'ютерні злочини, зокрема за впровадження вірусів. Для захисту інформації від вірусів використовуються загальні та програмні засоби.
До загальних засобів, що допомагають запобігти зараженню вірусом та його руйнівним наслідкам відносять:
резервне копіювання інформації (створення копій файлів та системних областей жорстких дисків);
відмова від використання випадкових та невідомих програм. Найчастіше віруси поширюються разом із комп'ютерними програмами;
обмеження доступу до інформації, зокрема фізичний захистдискети під час копіювання файлів із неї.
До програмних засобів захисту відносять різні антивірусні програми (антивіруси).
Антивірус- це програма, що виявляє та знешкоджує комп'ютерні віруси. Слід зазначити, що віруси у своєму розвитку випереджають антивірусні програми, тому навіть у разі регулярного користування антивірусами немає 100% гарантії безпеки. Антивірусні програми можуть виявляти і знищувати лише відомі віруси, при появі нового комп'ютерного вірусу захисту від нього не існує доти, доки не буде розроблено свій антивірус. Проте, багато сучасних антивірусних пакетів мають у своєму складі спеціальний програмний модуль евристичним аналізатором, який здатний досліджувати вміст файлів на наявність коду, притаманного комп'ютерних вірусів. Це дає можливість своєчасно виявляти та попереджати про небезпеку зараження новим вірусом.
Розрізняють такі типи антивірусних програм:
1)програми-детектори: призначені для знаходження заражених файлів одним із відомих вірусів. Деякі програми-детектори також можуть лікувати файли від вірусів або знищувати заражені файли. Існують спеціалізовані, тобто призначені для боротьби з одним вірусом детектори та поліфаги, які можуть боротися з багатьма вірусами;
2) програми-лікарі: призначені для лікування заражених дисків та програм. Лікування програми полягає у вилученні із зараженої програми тіла вірусу. Також може бути як поліфагами, і спеціалізованими;
3) програми-ревізори: призначено для виявлення зараження вірусом файлів, а також знаходження пошкоджених файлів. Ці програми запам'ятовують дані про стан програми та системних областей дисків у нормальному стані (до зараження) і порівнюють ці дані у процесі роботи комп'ютера. У разі невідповідності даних виводиться повідомлення про можливість зараження;
4) лікарі-ревізори: призначені для виявлення змін у файлах та системних областях дисків та, у разі змін, повертають їх у початковий стан.
5) програми-фільтри: призначені для перехоплення звернень до операційної системи, які використовуються вірусами для розмноження та повідомляють про це користувача. Користувач може дозволити чи заборонити виконання відповідної операції. Такі програми є резидентними, тобто перебувають у оперативної пам'яті комп'ютера.
6) програми-вакцини: використовуються для обробки файлів та boot-секторів з метою запобігання зараженню відомими вірусами (останнім часом цей метод використовується все частіше).
Слід зазначити, що вибір одного «найкращого» антивірусу є вкрай помилковим рішенням. Рекомендується використовувати кілька різних антивірусних пакетів одночасно. Вибираючи антивірусну програму, слід звернути увагу на такий параметр, як кількість сигнатур, що розпізнають (послідовність символів, які гарантовано розпізнають вірус). Другий параметр – наявність евристичного аналізатора невідомих вірусів, його присутність дуже корисна, але суттєво уповільнює час роботи програми.
Контрольні питання
Що таке комп'ютерний вірус?
Як вірус заражає комп'ютер?
Як діють комп'ютерні віруси?
Які ви знаєте джерела зараження комп'ютерним вірусом?
За якими ознаками можна знайти факт зараження комп'ютерним вірусом?
Які ви знаєте типи вірусів? Які деструктивні дії здійснюють?
Які дії вживають для запобігання зараженню комп'ютерним вірусом?
Що таке антивірус? Які типи антивірусів ви знаєте?
Що таке евристичний аналізатор? Які функції він виконує?
КОМП'ЮТЕРНІ ВІРУСИ, ЇХ КЛАСИФІКАЦІЯ. АНТИВІРУСНІ ПРОГРАМНІ ЗАСОБИ
Комп'ютерний вірус - це спеціальна програма, здатна мимоволі приєднуватися до інших програм і при запуску останніх виконувати різні небажані дії: псування файлів та каталогів; спотворення результатів обчислень; засмічення або стирання пам'яті; створення перешкод у роботі комп'ютера. Наявність вірусів проявляється у різних ситуаціях.
- Деякі програми перестають працювати чи починають працювати некоректно.
- На екрані відображаються сторонні повідомлення, сигнали та інші ефекти.
- Робота комп'ютера суттєво уповільнюється.
- Структура деяких файлів виявляється зіпсованою.
Є кілька ознак класифікації існуючих вірусів:
- по середовищі;
- по області ураження;
- по особливості алгоритму;
- за способом зараження;
- за деструктивними можливостями.
По середовищі розрізняють файлові, завантажувальні, макро-і мережеві віруси.
Файлові віруси – найпоширеніший тип вірусів. Ці віруси впроваджуються у файли, створюють файли-супутники (companion-віруси) або використовують особливості організації файлової системи (link-віруси).
Завантажувальні віруси записують себе в завантажувальний сектордиска або сектор системного завантажувача жорсткого диска. Починають роботу під час завантаження комп'ютера і зазвичай стають резидентними.
Макровіруси заражають файли пакетів обробки даних, що широко використовуються. Ці віруси є програмами, написаними на вбудованих в ці пакети мовами програмування. Найбільшого поширення набули макровіруси для додатків Microsoft Office.
Мережеві віруси використовують для свого розповсюдження протоколи або команди комп'ютерних мереж та електронної пошти. Основним принципом роботи вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. Повноцінні комп'ютерні віруси при цьому мають можливість запустити на віддаленому комп'ютерісвій код виконання.
На практиці існують різноманітні поєднання вірусів - наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків, або мережеві макровіруси, які заражають документи, що редагуються, і розсилають свої копії електронною поштою.
Як правило, кожен вірус заражає файли однієї або кількох ОС. Багато завантажувальні віруси такожорієнтовані конкретні формати розташування системних даних у завантажувальних секторах дисків. За особливостями алгоритму виділяють резидентні; віруси, стелс-віруси, поліморфні та ін. Резидентні віруси здатні залишати свої копії в ОП, перехоплювати обробку подій (наприклад, звернення до файлів або дисків) і викликати у своїй процедури зараження об'єктів (файлів чи секторів). Ці віруси активні у пам'яті у момент роботи зараженої програми, а й після. Резидентні копії таких вірусів життєздатні до перезавантаження ОС навіть якщо на диску знищені всі заражені файли. Якщо резидентний вірус є завантажувальним і активізується при завантаженні ОС, то навіть форматування диска за наявності в пам'яті цього вірусу його не видаляє.
До різновиду резидентних вірусів слід віднести також макровіруси, оскільки вони є у пам'яті комп'ютера під час роботи зараженого редактора.
Стелс-алгоритми дозволяють вірусам повністю або частково приховати свою присутність. Найбільш поширеним стелс-алгоритмом є перехоплення запитів ОС читання/запис заражених об'єктів. Стелс-віруси у своїй або тимчасово лікують ці об'єкти, або підставляють замість себе незаражені ділянки інформації. Частково до стелс-вірусів відносять невелику групу макровірусів, які зберігають свій основний код над макросах, а інших областях документа - у його змінних чи Auto-text.
Поліморфність (самошифрування) використовується для ускладнення процедури виявлення вірусу. Поліморфні віруси - це віруси, що важко виявляються, не мають постійної ділянки коду. У випадку два зразки однієї й тієї ж вірусу немає збігів. Це досягається шифруванням основного тіла вірусу та модифікаціями програми-розшифрувальника.
Під час створення вірусів часто використовуються нестандартні прийоми. Їх застосування має максимально утруднити виявлення та видалення вірусу.
За способом зараження розрізняють троянські програми, утиліти прихованого адміністрування, Intended-віруси і т.д.
Троянські програми отримали свою назву за аналогією з троянським конем. Призначення цих програм – імітація будь-яких корисних програм, нових версій популярних утиліт чи доповнень до них. Під час їх запису користувачем на свій комп'ютер троянські програми активізуються та виконують небажані дії.
Різновидом троянських програм є утиліти прихованого адміністрування. За своєю функціональністю та інтерфейсом вони багато в чому нагадують системи адміністрування комп'ютерів у мережі, що розробляються та розповсюджуються різними фірмами – виробниками програмних продуктів. При інсталяції ці утиліти самостійно встановлюють на комп'ютері систему прихованого дистанційного керування. В результаті виникає можливість прихованого керування цим комп'ютером. Реалізуючи закладені алгоритми, утиліти без відома користувача приймають, запускають або відсилають файли, знищують інформацію, ерезавантажують комп'ютер і т. д. Можливе використання цих утиліт для виявлення та передачі паролів іншої конфіденційної інформації, запуску вірусів, нікчемності даних.
До Intended-вірусів відносяться програми, які не здатні розмножуватися через наявні в них помилки. До цього класу також можна віднести віруси, які розмножуються лише один раз. Заразив будь-який файл, вони втрачають здатність до подальшого розмноження через нього.
За деструктивними можливостями віруси поділяються на:
- безпечні, вплив яких обмежується зменшенням вільної пам'ятіна диску, уповільненням роботи комп'ютера, графічним та звуковими ефектами;
- небезпечні, які потенційно можуть призвести до порушень у структурі файлів та збоїв у роботі комп'ютера;
- дуже небезпечні, в алгоритм яких спеціально закладені процедури знищення даних та можливість забезпечувати швидке зношування рухомих частин механізмів шляхом введення в резонанс та руйнування головок читання/запису деяких НЖМД.
Для боротьби з вірусами існують програми, які можна розбити на основні групи: монітори, детектори, лікарі, ревізори та вакцини.
Програми-монітори(програми-фільтри) розташовуються резидентно в ВП комп'ютера, перехоплюютьта повідомляють користувачеві про звернення ОС, які використовуються вірусами для розмноження та завдання шкоди. Користувач має можливість дозволити чи заборонити виконання цих звернень. До переваг таких програм належить можливість виявлення невідомих вірусів. Використання програм-фільтрів дозволяє виявляти віруси на ранній стадії зараження комп'ютера. Недоліками програм є неможливість відстеження вірусів, що звертаються безпосередньо до BIOS, а також завантажувальних вірусів, що активізуються до запуску антивірусу при завантаженні DOS, і часто видавати запити на виконання операцій.
Програми-детекториперевіряють, чи є у файлах і дисках специфічна для даного вірусу комбінація байтів. Під час її виявлення виводиться відповідне повідомлення. Недолік - можливість захисту лише від відомих вірусів.
Програми-лікарівідновлюють заражені програми шляхом видалення їх тіла вірусу. Зазвичай, ці програми розраховані на конкретні типи вірусів і засновані на порівнянні послідовності кодів, що містяться в тілі вірусу, з кодами програм, що перевіряються. Програми-лікарі необхідно періодично оновлювати з метою отримання нових версій, які виявляють нові види вірусів.
Програми-ревізорианалізують зміни стану файлів та системних областей диска. Перевіряють стан завантажувального сектора та таблиці FAT; довжину, атрибути та час створення файлів; контрольну суму кодів. Користувачеві повідомляється про виявлення невідповідностей.
Програми-вакцини модифікують програми та ризики так, що це не відбивається на роботі програм, але вірус, від якого проводиться вакцинація, вважає програми чи диски вже зараженими. Існуючі антивірусні програми в основному відносяться до класу гібридних (детектори-лікарі, лікарі-ревізори та ін.).
У Росії найбільшого поширення набули антивірусні програми Лабораторії Касперського (Anti-IViral Toolkit Pro) та ДіалогНаука (Adinf, Dr.Web). Антивірусний пакет AntiViral Toolkit Pro (AVP) включає AVP Сканер, резидентний сторож AVP Монітор, програму адміністрування встановлених компонентів. Центр управління та ряд інших. AVP Сканер крім традиційної перевірки файлів і файлів документів, що виконуються, обробляє бази даних електронної пошти. Використання сканера дозволяє виявити віруси в упакованих та архівованих файлах (не захищених паролями). Виявляє видаляє макровіруси, поліморфні, стелі, троянські, а також раніше невідомі віруси. Це досягається, наприклад, з допомогою використання евристичних аналізаторів. Такі аналізатори моделюють роботу процесора і виконують аналіз дій файлу, що діагностується. Залежно від цих дій приймається рішення про наявність вірусу.
Монітор контролює типові шляхи проникнення вірусу, наприклад операції звернення до файлів та секторів.
AVP Центр управління - сервісна оболонка, призначена для встановлення часу запуску сканера, автоматичного оновленнякомпонент пакета та ін.
При зараженні або підозрі на зараження комп'ютера вірусом необхідно:
- оцінити ситуацію і не робити дій, що призводять до втрати інформації;
- перезавантажити ОС комп'ютера При цьому використовувати спеціальну, заздалегідь створену та захищену від запису системну дискету. В результаті буде запобігти активізації завантажувальних та резидентних вірусів з жорсткого диска комп'ютера;
- запустити наявні антивірусні програми, доки не будуть виявлені та видалені всі віруси. У разі неможливості видалити вірус та за наявності у файлі цінної інформації зробити архівування файлу та почекати виходу нової версії антивірусу. Після завершення перезавантажте комп'ютер.
Недержавне освітня установавищої професійної освіти
Інститут економіки та підприємництва
НОУ «ІНЕП»
Заочне відділення
КОНТРОЛЬНА РОБОТА
По предмету
«Інформатика»
Студентки групи: М11 КЗ.
Кепіної Юлії А.
Науковий керівник:
Касаєв Марат Борисович
Москва 2010 р
Вступ
1. Комп'ютерні віруси
а) Що таке комп'ютерний вірус
б) Зіпсовані та заражені файли
1) Здійсненні файли
2) Завантажувач операційної системи та головна завантажувальний записжорсткого диска
3) Драйвери пристроїв
4) INTERNET-віруси
4.1 Вкладені файли
4.2 Троянські програми
4.3 HTML-віруси
4.4 Java-віруси
в) Віруси, що змінюють файлову систему
г) "Невидимі" і віруси, що самодифікуються.
1) "Невидимі" віруси
2) віруси, що самомодифікуються
д) Що можуть і чого не можуть комп'ютерні віруси
2. Основні методи захисту від комп'ютерних вірусів
а) дії під час зараження комп'ютерним вірусом
б) Лікування комп'ютера
в) Профілактика проти зараження вірусом
1) Копіювання інформації та розмежування доступу
2) Перевірка вступників ззовні даних
3) Підготовка "ремонтного набору"
4) Захист від завантажувальних вірусів
5) Періодична перевірка на наявність вірусів
Висновок
Список джерел інформації
Вступ
Розділ "комп'ютерні віруси" в інформаційній пресі в даний час буквально рясніє різноманітними повідомленнями про появу нових різновидів вірусних інфекцій (надалі - просто "віруси"). Але поряд з такими повідомленнями завжди малюється реклама засобів активної та пасивної боротьби з вірусами, наводяться рекомендації щодо запобігання зараженню і леденіння опису наслідків і симптомів "захворювання".
Поширення комп'ютерних вірусів набуло таких масштабів, що практично будь-якому користувачеві хоч раз у житті довелося зіткнутися з вірусом на своєму комп'ютері. Кількість відомих вірусів обчислюється тисячами (за підрахунками експертів нині існує близько 3 тисяч вірусів), а хакери постійно пишуть нові, самостверджуючись у своїх очах. Слід зазначити, що такий спосіб самоствердження сильно нагадує звичку писати на парканах, дуже поширену у певних колах. Але це питання етики, ніж технології. Борці з вірусами йдуть п'ятами їхніх розробників. Ринок антивірусних програм в даний час виходить на перше місце за обсягом, принаймні, за кількістю копій програм, що продаються. Саме тому фірми стали включати антивірусні засоби у комплекти програм чи операційних систем.
1. Захист від комп'ютерних вірусів
а) Що таке комп'ютерний вірус
Комп'ютерний вірус - це спеціально складена невелика за розмірами програма, яка може "приписувати" себе до інших програм, файлів (тобто "заражати" їх), а також виконувати різні небажані дії на комп'ютері (видавати небажані повідомлення, псувати дані на дисках) , "засмічувати" пам'ять комп'ютера, розмножуватися і т.д.).
Програма, всередині якої міститься вірус, називається "зараженою". Коли така програма починає роботу, спочатку управління отримує вірус. Він знаходить і "заражає" інші програми, а також виконує якісь шкідливі дії (наприклад, псує файли або таблицю розміщення файлів на диску, "засмічує" оперативну пам'ятьі т.д.). Для маскування вірусу дії із зараження інших програм і заподіяння шкоди можуть виконуватися який завжди, а, скажімо, і під час певних умов. Після того, як вірус виконає потрібні йому дії, він передає управління програмі, в якій він знаходиться, і вона працює також, як зазвичай. Тим самим зовні робота зараженої програми виглядає як і, як і незараженной. Всі дії вірусу можуть виконуватися досить швидко і без видачі будь-яких повідомлень, тому користувачеві дуже важко помітити, що комп'ютер відбувається щось незвичайне.
Поки на комп'ютері заражено мало програм, наявність вірусу може бути практично непомітно. Однак через деякий час на комп'ютері починає творитися щось дивне, наприклад:
робота на комп'ютері суттєво уповільнюється;
деякі файли виявляються зіпсованими;
деякі програми перестають працювати чи починають працювати неправильно;
на екран (або принтер) виводяться сторонні повідомлення, символи тощо.
До цього моменту, як правило, вже досить багато (або навіть більшість) програм, якими Ви користуєтеся, є зараженими вірусом, а деякі файли та диски - зіпсованими. Більш того, заражені програми з Вашого комп'ютера могли бути перенесені за допомогою дискет або по локальній мережі на комп'ютери Ваших колег або друзів.
Деякі різновиди вірусів поводяться ще більш підступно. Вони спочатку непомітно заражають велику кількість програм або дисків, а потім завдають дуже серйозних пошкоджень, наприклад, форматують жорсткий диск на комп'ютері. А бувають віруси, які намагаються поводитися якомога непомітніше, але потроху псують дані на жорсткому диску комп'ютера. Таким чином, якщо не вживати заходів щодо захисту від вірусів, то наслідки зараження комп'ютера можуть бути дуже серйозними.
Для того, щоб програма-вірус була непомітною, вона повинна бути невеликою. Тому, як правило, віруси пишуться мовою асемблера. Деякі автори таких програм створили їх з бешкетування, деякі - із прагнення "насолити" будь-кому (наприклад, що звільнила їх фірмі) або з ненависті до всього людського роду. У будь-якому випадку створена програма-вірус може (потенційно) поширитися на всіх комп'ютерах, сумісних з тим, для якого вона була написана, і заподіяти руйнуванням. Слід брати до уваги, що написання вірусу - не така вже складна задача, цілком доступна студенту, що вивчає програмування. Тому у світі щотижня з'являються нові і нові віруси. І багато хто з них "зроблено" в нашій країні та в інших недостатньо цивілізованих країнах: Болгарії, Пакистані і т.д.
б) Зіпсовані та заражені файли
Комп'ютерний вірус може зіпсувати, тобто. змінити неналежним чином будь-який файл на наявних у комп'ютері дисках. Але деякі види файлів вірус може "заразити". Це означає, що вірус може "впровадитися" у ці файли, тобто. змінити їх так, що вони міститимуть вірус, який за деяких обставин може почати свою роботу. Слід зазначити, що тексти програм і старих версій документів (тобто DOS-версії), інформаційні файлибаз даних, таблиці табличних процесорів (DOS-версії) та інші аналогічні файли неможливо знайти заражені вірусом, може їх лише зіпсувати.
Вірусом можуть бути "заражені" такі види файлів:
1) Здійсненні файли
Здійсненні файли, тобто. файли з розширеннями імені COM та EXE, а також оверлейні файли, що завантажуються під час виконання інших програм. Віруси, що заражають файли, називають файловими. Вірус в заражених файлах починає свою роботу при запуску тієї програми, в якій він знаходиться. Найбільш небезпечні файлові віруси, які після свого запуску залишаються в пам'яті резидентно. Ці віруси можуть заражати файли та шкодити до наступного перезавантаження комп'ютера. А якщо вони заразять будь-яку програму, що запускається з файлу AUTOEXEC.BAT або CONFIG.SYS, то і при перезавантаженні з жорсткого диска вірус знову розпочне свою роботу.
2) Завантажувач операційної системи та головний завантажувальний запис жорсткого диска
Віруси, що вражають ці області, називаються завантажувальними або бутовими. Такий вірус починає працювати при початковому завантаженні операційної системи і стає резидентним, тобто. постійно перебуває у пам'яті комп'ютера. Механізм поширення - зараження завантажувальних записів дисків, що вставляються в комп'ютер. Як правило, такі віруси складаються з двох частин, оскільки завантажувальні записи мають невеликий розмір і в них важко розмістити повністю програму вірусу. Частина вірусу, що не міститься в них, розташовується в іншій ділянці диска, наприклад в кінці кореневого каталогу диска або в кластері в області даних диска (зазвичай такий кластер оголошується дефектним, щоб програма вірусу не була затерта під час запису даних на диск).
3) Драйвери пристроїв:
Драйвери пристроїв, тобто. файли, що вказуються у реченні DEVICE файлу CONFIG.SYS. Вірус, що знаходиться в них, починає свою роботу при кожному зверненні до відповідного пристрою. Віруси, що заражають драйвери пристроїв, дуже мало поширені, оскільки драйвери рідко переписують із одного комп'ютера на інший. Те ж саме стосується і системним файлам DOS (MSDOS.SYS і IO.SYS) - їхнє зараження також теоретично можливе, але для поширення вірусів малоефективне.
4) INTERNET-віруси
Останнім часом зі збільшенням кількості користувачів з'явилися. Ось деякі з різновидів цих вірусів:
4.1 Вкладені файли. Розглянемо типову ситуацію: ви отримали електронного листа, у вкладенні якого міститься документ Microsoft WORD. Звичайно, ви захочете якнайшвидше познайомитися зі змістом файлу, благо при використанні більшості сучасних поштових програмдля цього достатньо клацнути мишкою на імені цього файлу.
І ЦЕ – ПОМИЛКА!
Якщо файл містить макрокомадний вірус (а віруси цього типу, заражающие документи Microsoft WORD, Microsoft EXCELі ряд інших популярних систем документообігу, що отримали останнім часом величезне поширення), він негайно заразить вашу систему. То що робити з вкладеним документом? Витратити кілька зайвих секунд: зберегти його на диск, перевірити антивірусною програмою останньої версії і лише потім, якщо вірусів немає, відчиняти. Є інші рішення. Наприклад, є антивірусні програми, що здійснюють автоматичну перевірку електронної пошти, що надходить. Якщо ви використовуєте програму - сторож, то при відкритті зараженого файлу обов'язково отримаєте попередження (точніше вам просто не дадуть відкрити заражений файл). Адже сторожу абсолютно байдуже, безпосередньо ви відкриваєте документ або з-під поштової програми.
4.2 Троянські програми. Відомі троянські програми, що розповсюджуються через Інтернет, по суті, є утилітами для віддаленого адміністрування комп'ютера. Простіше кажучи, за допомогою такої програми зловмисник може отримати доступ до вашого комп'ютера та виконати на ньому різні операції (практично будь-які) без вашого відома та участі.
Характерним представником описаного типу є програма BASK ORIFICE (BO). BO є системою віддаленого адміністрування, яка дозволяє користувачеві контролювати комп'ютери за допомогою звичайної консолі або графічної оболонки. "У локальній мережі або через Інтернет ВО надає користувачеві більше можливостей на віддаленому WINDOWS-комп'ютері, чим має сам користувач цього комп'ютера", - це текст з "рекламного" оголошення на одній з хакерських web-сторінок. Зрозуміло, можливість віддаленого адміністрування вашого комп'ютера представляє серйозну небезпеку, але не таку велику, як здається на перший погляд. Звичайні користувачі проводять в Мережі не так багато часу (якість телефонних ліній цьому сприяє), та й що такого "цікавого" з погляду хакера, можна зробити на вашому комп'ютері? Виявляється, можна тільки адмініструвати нічого не треба. Істотний інтерес для хакера представляють паролі, які Ви використовуєте для роботи з сервером провайдера.Придбавши пароль, хакер може запросто "просадити" всі ваші гроші. На щастя, троянців, які вміють виконувати зазначені функції, досить мало і всі вони успішно детектуються антивірусними програмами.
4.3 HTML-віруси.Віруси цього типу зустрічаються рідко, так що інформація про них представляє швидше "академічний" інтерес, ніж практичний. Суть така: мовою HTML, який використовується для розмітки гіпертекстових документів, ніякі віруси, звичайно, написати не можна. Але для створення динамічних сторінок, організації взаємодії з користувачем та інших дій використовуються програмні вставки (скрипти) HTML-документи. Відомі HTML-віруси використовують скрипти, написані мовою VISUAL BASIC. З їхньою допомогою, знаходячи HTM і HTML-файли на локальній машині, записуються в них. Іноді такі віруси якось проявляють себе (наприклад, виводять повідомлення). Малому поширенню вірусів даного типу (як і малому їх числу) сприяє те, що при стандартних налаштуваннях браузера виконання "небезпечних" (до таких відносяться і ті, в яких відбувається звернення до файлів локального комп'ютера) скриптів заборонено. Звичайні ж, "безпеки", скрипти що неспроможні проводити описані маніпуляції.
4.4 Java-віруси. В даний час відомі два віруси, написані мовою JAVA. Небезпеки вони практично не становлять. Коротко пояснимо, в чому суть: модулі програм, написаних на JAVA (CLASS-файли), бувають двох типів: додатки та аплети. Програми виконуються під керуванням інтерпретатора і є майже звичайними програмами (майже, бо мають все ж таки деякі обмеження, наприклад, в області роботи з пам'яттю). Аплети, на відміну від додатків, можуть виконуватися під керуванням браузерів, але на них накладаються значно серйозніші обмеження для забезпечення безпеки: аплети зокрема, не мають майже ніякого доступу до файлової системи комп'ютера (на відміну від випадку з прихованими, відключити це обмеженняу браузері неможливо), таким чином, JAVA-віруси можуть бути оформлені тільки як додатки та для переважної більшості користувачів небезпеки не надають. Як правило, кожен конкретний різновид вірусу може заражати лише один або два типи файлів. Найчастіше зустрічаються віруси, що заражають можливі файли. Деякі віруси заражають тільки EXE-файли, деякі - тільки COM, а більшість - і ті та інші. На другому місці за поширеністю завантажувальні віруси. Деякі віруси заражають файли, і завантажувальні області дисків. Віруси, що заражають драйвери пристроїв, зустрічаються дуже рідко; Традиційно такі віруси можуть заражати і здійсненні файли.
в) Віруси, що змінюють файлову систему
Останнім часом набули поширення віруси нового типу - віруси, що змінюють файлову систему на диску. Ці віруси зазвичай називають DIR. Такі віруси ховають своє тіло в деякій ділянці диска (зазвичай - в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу. Для всіх COM- і EXE-файлів, що містяться у відповідних елементах каталогу, покажчики на першу ділянку файлу замінюються посиланням на ділянку диска, що містить вірус, а правильний покажчик у закодованому вигляді ховається в частині елемента каталогу, що не використовується. Тому при запуску будь-якої програми на згадку завантажується вірус, після чого він залишається в пам'яті резидентно, підключається до програм DOS для обробки файлів на диску і при всіх зверненнях до елементів каталогу видає правильні посилання. Таким чином, при працюючому вірусі файлова система на диску здається нормальною. При поверхневому перегляді зараженого диска на "чистому" комп'ютері нічого дивного не спостерігається. Хіба лише при спробі прочитати або скопіювати із зараженої дискети програмні файли з них будуть прочитані або скопійовані лише 512 або 1024 байт, навіть якщо файл набагато довший. А при запуску будь-якої програми з зараженого таким вірусом диска цей диск, як за помахом чарівної палички, починає здаватися справним (не дивно, адже комп'ютер при цьому стає зараженим). При аналізі на "чистому" комп'ютері за допомогою програм ChkDsk або NDD файлова система зараженого DIR вірусом диска здається абсолютно зіпсованою. Так, програма ChkDsk видає купу повідомлень про перетин файлів ("... cross linked on cluster...") і про ланцюжки втрачених кластерів ("... lost clusters found in... chains"). Не слід виправляти ці помилки програмами ChkDsk або NDD – при цьому диск виявиться абсолютно зіпсованим. Для виправлення заражених цими вірусами дисків слід використовувати лише спеціальні антивірусні програми (наприклад, останні версії Aidstest).
г) "Невидимі" і віруси, що самодифікуються.
Щоб запобігти виявленню, деякі віруси застосовують досить хитрі прийоми маскування. Я розповім про два з них: "невидимі" (Stealth) і віруси, що самодифікуються:
1) "Невидимі" віруси
Багато резидентних вірусів (і файлові, і завантажувальні) запобігають своє виявлення тим, що перехоплюють звернення DOS (і тим самим прикладних програм) до заражених файлів і областей диска і видають їх у вихідному вигляді. Зрозуміло, цей ефект спостерігається лише на зараженому комп'ютері - на "чистому" комп'ютері зміни у завантажувальних областях диска можна легко виявити. Зазначу, що деякі антивірусні програми можуть все ж таки виявляти "невидимі" віруси навіть на зараженому комп'ютері. Такі програми для цього читають диск, не користуючись послугами DOS (наприклад, ADinf).
2) віруси, що самомодифікуються
Інший спосіб, застосовуваний вірусами у тому, щоб сховатися від виявлення, - модифікація свого тіла. Багато вірусів зберігають більшу частину свого тіла в закодованому вигляді, щоб за допомогою дизассемблерів не можна було розібратися в механізмі їхньої роботи. Самомодифікуючі віруси використовують цей прийом і часто змінюють параметри цього кодування, а крім того, змінюють і свою стартову частину, яка служить для розкодування інших команд вірусу.
Таким чином, в тілі подібного вірусу немає жодного постійного ланцюжка байтів, за яким можна було б ідентифікувати вірус. Це, звісно, ускладнює знаходження таких вірусів програмами-детекторами. Проте програми-детектори все ж таки навчилися ловити "прості" віруси, що самодифікуються. У цих вірусах варіації механізму розшифровки закодованої частини вірусу стосуються лише використання тих чи інших регістрів комп'ютера, констант шифрування, додавання "незначних" команд тощо. І програми-детектори пристосувалися виявляти команди у стартовій частині вірусу, незважаючи на маскуючі зміни в них. Але останнім часом з'явилися віруси із надзвичайно складними механізмами самодифікації. У них стартова частина вірусу генерується автоматично за складними алгоритмами: кожна значуща інструкція розшифровувача передається одним із сотень тисяч можливих варіантів, при цьому використовується більше половини всіх команд Intel-8088. Проблема розпізнавання таких вірусів надійного рішення наразі не отримала.
Що можуть і чого не можуть комп'ютерні віруси
У багатьох користувачів ЕОМ через незнання механізму роботи комп'ютерних вірусів, а також під впливом різних чуток та некомпетентних публікацій у пресі створюється своєрідний комплекс остраху вірусів ("вірусофобія"). Цей комплекс має два прояви:
1. Схильність приписувати будь-яке пошкодження даних чи незвичайне явище дії вірусів. Наприклад, якщо у "вірусофоба" не форматується дискета, він пояснює це дефектами дискети чи дисководу, а дією вірусів. Якщо на жорсткому диску утворюється збійний блок, то в цьому теж, очевидно, винні віруси. Насправді незвичайні явища на комп'ютері частіше викликані помилками користувача, програм чи дефектами устаткування, ніж дією вірусів.
2. Перебільшені уявлення про можливості вірусів. Деякі користувачі думають, наприклад, що достатньо вставити в дисковод заражену дискету, щоб комп'ютер заразився вірусом. Поширена також думка, що для комп'ютерів, що просто стоять в одній кімнаті, зараження одного комп'ютера обов'язково відразу призводить до зараження інших.
Зараження комп'ютера вірусом може статися в одному з таких випадків:
на комп'ютері була виконана заражена програма типу COM або EXE або заражений модуль оверлейної програми (типу OVR або OVL);
комп'ютер завантажувався з дискети, що містить заражений сектор;
на комп'ютері було встановлено інфіковану операційну систему або інфікований драйвер пристрою.
Звідси випливає, що немає підстав боятися зараження комп'ютера вірусом, якщо:
на незараженому комп'ютері виконується копіювання файлів з однієї дискети в іншу. Якщо комп'ютер "здоровий", то ні він сам, ні дискети, що копіюються, не будуть заражені вірусом. Єдиний варіант передачі вірусу в цій ситуації - це копіювання зараженого файлу: при цьому його копія, зрозуміло, теж буде "заражена", але ні комп'ютер, ні якісь інші файли не будуть заражені;
2. Основні методи захисту від комп'ютерних вірусів
Для захисту від вірусів можна використовувати:
загальні засоби захисту інформації, які корисні також як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувачів; профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
спеціалізовані програми захисту від вірусів.
Загальні засоби захисту корисні не тільки для захисту від вірусу. Є два основні різновиди цих засобів:
копіювання інформації - створення копій файлів та системних областей дисків;
розмежування доступу запобігає несанкціонованому використанню інформації, зокрема, захисту від змін програм та даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, їх одних недостатньо. Необхідне застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів:
Програми-детектори дозволяють виявляти файли, заражені одним із кількох відомих вірусів.
Програми-лікарі, або "фаги", "лікують" заражені програми чи диски, "викушуючи" із заражених програм тіло вірусу, тобто. відновлюючи програму у тому стані, у якому вона перебувала до зараження вірусом.
Програми-ревізори спочатку запам'ятовують відомості про стан програм та системних областей дисків, а потім порівнюють стани з вихідним.
У разі виявлення невідповідностей про це повідомляється користувачеві.
Лікарі-ревізори - це гібриди ревізорів і лікарів, тобто. програми, які виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути їх у вихідний стан.
Програми-фільтри розташовуються резидентно в оперативній пам'яті комп'ютера та перехоплюють ті звернення до операційної системи, які використовуються вірусами для розмноження та завдання шкоди, і повідомляють про них користувачеві. Користувач може дозволити чи заборонити виконання відповідної операції. Слід врахувати, що жоден тип антивірусних програм окремо не може повністю захистити від вірусів, і тому поради типу "вставте команду запуску Aidstest в AUTOEXEC.BAT" не будуть достатніми.
Найкращою стратегією захисту від вірусів є комплексний багаторівневий захист:
Перед першим етапом слід розмістити програми-детектори, що дозволяють перевіряти новостворене програмне забезпечення на наявність вірусів;
У першому етапі розміщуються програми-фільтри, т.к. вони першими повідомлять про роботу вірусу і запобігають зараженню програм та дисків;
На другому етапі розміщуються ревізори та лікарі: вони дозволяють виявити віруси, що "пробилися" через перший етап, а потім вилікувати заражені програми, але слід враховувати, що вони не завжди лікують правильно і ідеальним варіантом було б мати копію потрібних програмархіви на дискетах, захищених від запису.
Найголовніший етап захисту - розмежування доступу, яке не дозволяє прониклим вірусам та неправильно працюючим програмам зіпсувати важливі дані.
а) Події при зараженні комп'ютерним вірусом
При зараженні комп'ютера вірусом (або при підозрі на це) важливо дотримуватися чотирьох правил :
1. Перш за все, не треба поспішати і приймати необачні рішення: необачні дії можуть призвести не тільки до втрати частини файлів, які можна було б відновити, але і до повторного зараження комп'ютера.
2. Проте одна дія повинна бути виконана негайно треба вимкнути комп'ютер, щоб вірус не продовжував своїх руйнівних дій.
3. Усі дії щодо виявлення наслідків зараження та лікування комп'ютера слід виконувати лише при перезавантаженні комп'ютера із захищеною від запису "еталонної" дискети з операційною системою.
При цьому слід використовувати лише програми (здійсненні файли), що зберігаються на захищених від запису дискетах. Недотримання цього правила може призвести до дуже важких наслідків, оскільки при перезавантаженні DOS або запуску програми із зараженого диска в комп'ютері може бути активований вірус, а при працюючому вірусі лікування комп'ютера буде безглуздим, оскільки воно супроводжуватиметься подальшим зараженням дисків та програм.
4. Якщо Ви не маєте достатніх знань та досвіду для лікування комп'ютера, попросіть допомогти Вам більш досвідчених колег. Якщо Ви використовуєте резидентну програму-фільтр для захисту від вірусу, то наявність вірусу в будь-якій програмі можна виявити на ранньому етапі, коли вірус не встиг ще заразити інші програми та зіпсувати будь-які файли. У цьому випадку слід перезавантажити DOS з дискети та видалити заражену програму, а потім переписати цю програму з еталонної дискети або відновити з архіву. Для того, щоб з'ясувати, чи не зіпсував вірус інших файлів, слід запустити програму - ревізор для перевірки змін у файлах, бажано з широким списком файлів, що перевіряються. Щоб у процесі перевірки не продовжувати зараження комп'ютера, слід запускати файл файлу-ревізора, що знаходиться на дискеті.
б) Лікування комп'ютера
Розглянемо складніший випадок, коли вірус вже встиг заразити або зіпсувати файли на дисках комп'ютера. При цьому експерти рекомендують такі дії:
1. Перезавантажити операційну систему DOS із заздалегідь підготовленою еталонною дискетою. Ця дискета, як і інші дискети, що використовуються при ліквідації наслідків зараження комп'ютерним вірусом, повинна бути забезпечена наклейкою для захисту від запису (п'ятидюймові дискети) або відкрита клямка захисту від запису (трьохдюймові дискети), щоб вірус не міг заразити або зіпсувати файли на цих дискетах . Зауважу, що перезавантаження не слід виконувати за допомогою "Alt+Ctrl+Del", тому що деякі віруси примудряються "переживати" таке перезавантаження.
2. Якщо для Вашого комп'ютера є програма встановлення конфігурації (для моделей IBM PC AT і PS/2 вона є завжди; часто вона викликається при натисканні певної комбінації клавіш під час початкового завантаження комп'ютера), слід виконати цю програму і перевірити, чи правильно встановлені параметри конфігурації комп'ютера (вони можуть бути зіпсовані вірусом). Якщо вони неправильно встановлені, їх треба перевстановити.
3. Далі слідує сам процес лікування: Якщо на диску для всіх потрібних файлів є копії в архіві, найпростіше заново відформатувати диск, а потім відновити всі файли на цьому диску за допомогою архівних копій. Допустимо, що на диску є потрібні файли, копій яких немає в архіві, наприклад, на диску D: тоді слід слідувати наступним вказівкам:
Запустити для диска програму-детектор, що виявляє той вірус, зараження якого зазнав комп'ютер (якщо Ви не знаєте, який детектор виявляє даний вірус, запускайте всі наявні програми-детектори по черзі, поки одна з них не виявить вірус). Режим лікування краще не встановлювати. Якщо програма-детектор виявила завантажувальний вірус, Ви можете сміливо використовувати режим лікування для усунення вірусу. При виявленні вірусу DIR його також треба видалити за допомогою антивірусної програми, у жодному разі не використовуючи для цього програми типу NDD або ChkDsk.
Тепер (коли відомо, що вірусів типу DIR на диску немає) можна перевірити цілісність файлової системи та поверхні диска за допомогою програми NDD: "NDD D: / C". Якщо пошкодження файлової системи значні, доцільно скопіювати з диска всі потрібні файли, копій яких немає в архіві, на дискети і заново відформатувати диск. Якщо диск має складну файлову структуру, можна спробувати відкоригувати її за допомогою програми DiskEdit (з комплексу Norton Utilities).
Якщо Ви зберігали відомості про файли на диску для програми-ревізора, то корисно запустити програму – ревізор для діагностики змін у файлах. Це дозволить встановити, які файли заражені або зіпсовані вірусом. Якщо програма-ревізор виконує також функції лікаря, можна довірити їй відновлення заражених файлів.
Видалити з диска все непотрібні файли, а також файли, копії яких є в архіві. Ті файли, які не були змінені вірусом (це можна встановити за допомогою ревізора), видаляти не обов'язково. У жодному разі не можна залишати на диску COM-і EXE-файли, для яких програма-ревізор повідомляє, що вони були змінені. Ті COM- і EXE-файли, про які невідомо, змінені вони вірусом чи ні, слід залишати на диску лише за крайньої необхідності.
5. Якщо диск, який Ви обробляєте є системним (тобто з нього можна завантажити операційну систему DOS), то на нього слід заново записати завантажувальний сектор і файли операційної системи (це можна зробити командою SYS з комплексу DOS).
6. Якщо ваш комп'ютер заразився файловим вірусом, і Ви не проводили лікування за допомогою ревізора-лікаря, слід виконати програму – лікар для лікування даного диска. Заражені файли, які програма-лікар не змогла відновити, слід знищити. Зрозуміло, якщо на диску залишилися тільки ті файли, які не можуть заражатись вірусом (наприклад, вихідні тексти програм та документи), то програму для знищення вірусу для цього диска виконувати не треба.
7. За допомогою архівних копій слід відновити файли на диску.
8. Якщо Ви не впевнені в тому, що в архіві не було заражених файлів, і у Вас є програма для виявлення або знищення того вірусу, яким був заражений комп'ютер, слід ще раз виконати цю програму для диска. Якщо на диску будуть виявлені заражені файли, то ті з них, які можна відновити за допомогою програми для знищення вірусу, треба скопіювати в архів, а решту видалити з диска і з архіву.
Такій обробці слід піддати всі диски, які могли бути заражені або зіпсовані вірусом. Якщо у вас є хороша антивірусна програма-фільтр (наприклад, VSafe з комплексу DOS), доцільно хоча б деякий час працювати, тільки запустивши цю програму. Також слід враховувати, що комп'ютер часто заражається відразу кількома вірусами, тому, знешкодивши один вірус, слід перевірити всі диски на наявність іншого.
в) Профілактика проти зараження вірусом
У цьому розділі описуються заходи, які дозволяють зменшити ймовірність зараження комп'ютера вірусом, а також мінімізувати збиток від зараження вірусом, якщо воно все-таки відбудеться. Ви можете, звичайно, використовувати не всі засоби для профілактики проти зараження вірусом, а тільки ті, які вважаєте необхідними.
Заходи захисту від вірусів можна розділити на кілька груп.
1) Копіювання інформації та розмежування доступу
1. Необхідно мати архівні або еталонні копії пакетів програм і даних, що використовуються Вами, і періодично архівувати ті файли, які Ви створювали або змінювали. Перед архівацією файлів доцільно перевірити їх відсутність вірусів за допомогою програми-детектора (наприклад, AidsTest). Важливо, щоб інформація копіювалася не дуже рідко - тоді втрати інформації при її випадковому знищенні будуть не такі великі. Доцільно також скопіювати на дискети сектор з таблицею поділу жорсткого диска, завантажувальні сектори всіх логічних дисків та вміст CMOS (енергонезалежної пам'яті комп'ютера). Це можна зробити за допомогою пункту Create rescue diskette програми DiskTool з комплексу Norton Utilites. Для відновлення цих областей використовується пункт Restore rescue diskette того ж комплексу.3. Слід встановити захист від запису на дискетах з файлами, які не треба змінювати. На жорсткому диску доцільно створити логічний диск, захищений від запису, та розмістити на ньому програми та дані, які не треба змінювати. Не слід переписувати програмне забезпечення з інших комп'ютерів (особливо з тих, до яких можуть мати доступ різні безвідповідальні особи), оскільки воно може бути заражене вірусом.
2) Перевірка вступників ззовні даних
1. Усі принесені ззовні дискети перед використанням слід перевірити наявність вірусу за допомогою програм-детекторів. Це корисно робити навіть у тих випадках, коли Ви хочете використовувати на цих дискетах лише файли з даними – чим раніше Ви виявите вірус, тим краще. Для перевірки можна використовувати програму AidsTest.
Наприклад, для перевірки дискети A: слід ввести: AIDSTEST A: /S /G. Тут режим /S визначає повільну роботу для пошуку зіпсованих вірусів, а режим /G - перевірку всіх файлів на диску.2. Якщо принесені програми записані на дискети в архівованому вигляді, витягніть файли з архіву і перевірте їх відразу ж після цього. Наприклад, якщо файли вилучені в каталог C:/TIME, слід ввести команду: AIDSTEST C:TIME*.* /S /G.3. Якщо програми з архівів можна вилучити лише програмою установки пакета програм, то треба виконати установку цього пакета і відразу після цього перезавантажити комп'ютер (знову ж таки не "Alt+Ctrl+Del", а "Reset") і перевірити записані на диск файли, як описано вище. Бажано виконувати установку лише при включеній програмі-фільтрі для захисту від вірусів (наприклад, Vsafe із комплекту MS-DOS).
3) Підготовка "ремонтного набору"
1. Треба заздалегідь підготувати системну дискету з версією DOS, що використовується. Це можна зробити командою "FORMAT A: /S" або "SYSA:". На цю дискету (якщо там не вистачить місця - інші дискети) слід скопіювати наступні програми:
програми DOS обслуговування дисків: Format, FDisk, Label, Sys тощо;
інші часто використовувані програми для обслуговування файлової системи на диску, наприклад, програми NDD, Disk Edit, Disk Tool, Calibrate, UnErase і т.д., що входять до комплексу програм Norton Utilites 7.0;
програму для встановлення параметрів конфігурації комп'ютера (така програма може називатися SETUP, SETUP 1, AT SETUP тощо), якщо така програма є в комплексі програм, які постачаються з Вашим комп'ютером;
програми для розпакування всіх типів архівних файлів, що використовуються Вами (і Вашими колегами): PKUN ZIP, ARJ, LHA, RAR і т.д. Доцільно кожну з цих дискет помістити і командний процесор DOS - файл COMMAND.COM, щоб із цими дискетами не видавалися повідомлення, які вимагають вставити дискету з файлом COMMAND.COM.
На одну з дискет бажано за допомогою пункту "Create rescue diskette" програми DiskTool з комплексу Norton Utilites скопіювати завантажувальні сектори жорсткого диска та вміст CMOS (енергонезалежної пам'яті) комп'ютера.
Непоганим рішенням буде помістити в "ремонтний набір" комплексну програму-оболонку DOS Navigator: вона поєднує масу корисних функційпри відносно невеликій пам'яті на диску (близько 670 Kb), наприклад: всілякі операції з файлами, DiskEdit, Format, Undelete (Reanimator), Find (пошук), Label, DiskCopy, Calculator, робота з архівами, багато іншого (що найголовніше - Зручне управління).
2. До "ремонтного набору" повинні входити і програми для виявлення та знищення різних комп'ютерних вірусів. Вибирайте такі програми, які добре зарекомендували себе, розраховані на широкий діапазон вірусів або віруси, які не "ловляться" іншими програмами і перевірені на те, що в них самих немає вірусів. Для програм-детекторів слід періодично оновлювати їх версії (наприклад, програма AidsTest "оновлюється" кілька разів на місяць). Нові віруси зараз з'являються щотижня, і при використанні версій програм піврічної чи річної давності дуже ймовірне зараження таким вірусом, який цим програмам не відомий. На дискетах "ремонтного набору" слід заклеїти проріз захисту від запису (на тридюймових дискетах - відкрити клямку захисту від запису), щоб скопійовані файли не могли бути випадково змінені або зіпсовані.
4) Захист від завантажувальних вірусів
1. На комп'ютерах, в яких міститься в BIOS (яка викликається при початковому завантаженні за допомогою натискання певної комбінації клавіш) програма установки конфігурації дозволяє відключити завантаження з дискети, бажано зробити це, тоді Вам ніякі завантажувальні віруси не страшні. На інших комп'ютерах перед перезавантаженням з жорсткого диска переконайтеся, що у дисководі A: немає дискети. Якщо там є дискета, відкрийте дверцята дисковода перед перезавантаженням.
2. Якщо Ви бажаєте перезавантажити комп'ютер з дискети, користуйтеся лише захищеною від запису "еталонною" дискетою з операційною системою.
5) Періодична перевірка на наявність вірусів
1. Бажано вставити в командний файл AUTOEXEC.BAT, що виконується приставка ADInfExt, то при виявленні заражених файлів програма ADinf запропонує Вам відразу ж їх вилікувати.
2. Дуже простою та надійною перевіркою на наявність резидентних вірусів є відстеження змін у картці пам'яті комп'ютера. Досвідчені користувачі зможуть самостійно написати командні файлидля автоматичної перевірки наявності резидентних вірусів
Висновок
Не слід допускати на комп'ютер без нагляду сторонніх осіб, особливо якщо вони мають дискети. Найбільш небезпечні любителі комп'ютерних ігор - вони здатні не тільки не дотримуватися жодних запобіжних заходів від вірусів, але й ігнорувати будь-які попередження антивірусних засобів. Дуже часто причиною зараження комп'ютера вірусом була принесена на дискеті гра, в яку хтось пограв 10-15 хвилин на комп'ютері.
У тому випадку, якщо уникнути доступу випадкових осіб до комп'ютера неможливо (наприклад, у навчальному центрі), доцільно всі або майже всі програми, що знаходяться на жорсткому диску комп'ютера, розміщувати на логічному диску, захищеному від запису.
Не можна боятися зараження - його потрібно остерігатися, у своїй роботі вміло використовувати антивірусні засоби, не ігнорувати різні попередження антивірусних програм, але й не слідувати чи вірити їм сліпо: у більш ніж 85% випадків незвичайні дії викликані не дією вірусу, а невірними діями користувача або використовуваних програм. Можна порадити використовувати в роботі тільки програми, куплені у фірмових магазинах на еталонних дискетах (природно захищених від запису), але практика показує, що слідувати подібним порадам абсолютна більшість і не збирається
Список джерел інформації
Літературні видання:
1. Сергій Молявко, Герхард Франкен: MS-DOS 6.0 для користувача: Київ: Торгово-видавниче бюро BHV, 1993.
2. Фігурнов В.Е.: IBM PC для користувача: - Уфа, ПК "Дегтярьов і син", НВО "Інформатика та комп'ютери", 1993.
3. Електронний журнал "Антивірусний огляд "Їжачки"", 1999
4. Додаток до газети "Перше вересня" - "Інформатика", номер 38, 1999
Комп'ютерні джерела :
1. Антивірусна програма-доктор Doctor Web (автор – І.А. Данилов).
3. Антивірусний лікар-ревізор MSAV (Microsoft Anty-Virus) із складу MS-DOS 6.22 (фірма Microsoft).
4. Антивірусна програма-фільтр VSafe із складу MS-DOS 6.22 (фірма Microsoft).
5. Антивірусна програма-доктор Aids Test версія 1721 (автор – Д.Н. Лозінський).
ВСТУП
Ми живемо на стику двох тисячоліть, коли людство набуло епохи нової науково-технічної революції.
До кінця двадцятого століття люди опанували багато таємниць перетворення речовини та енергії і зуміли використати ці знання для поліпшення свого життя. Але крім речовини та енергії у житті людини величезну роль грає ще одна складова – інформація. Це найрізноманітніші відомості, повідомлення, повідомлення, знання, вміння.
У середині нашого століття з'явилися спеціальні пристрої – комп'ютери, орієнтовані на зберігання та перетворення інформації та відбулася комп'ютерна революція.
Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері.
Незважаючи на ухвалені в багатьох країнах закони про боротьбу з комп'ютерними злочинами та розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп'ютеразнань про природу вірусів, способи зараження вірусами та захисту від них. Це й стало стимулом для вибору теми моєї роботи.
Саме про це я розповідаю у своєму рефераті. Я показую основні види вірусів, розглядаю схеми їх функціонування, причини їх появи та шляхи проникнення в комп'ютер, а також пропоную заходи щодо захисту та профілактики.
Мета роботи – ознайомити користувача з основами комп'ютерної вірусології, навчити виявляти віруси та боротися з ними. Метод роботи - аналіз друкованих видань на цю тему. Переді мною постало непросте завдання – розповісти про те, що ще дуже мало досліджувалося, і як це вийшло – судити вам.
1. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ
І КЛАСИФІКАЦІЯ
1.1. Властивості комп'ютерних вірусів
Зараз використовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка дістала назву комп'ютерного вірусу.
Що таке комп'ютерний вірус? Формальне визначення цього поняття досі не вигадане, і є серйозні сумніви, що воно взагалі може бути дане. Численні спроби дати «сучасне» визначення вірусу не сприяли успіху. Щоб відчути всю складність проблеми, спробуйте, наприклад, дати визначення поняття «редактор». Ви або придумаєте щось спільне, або почнете перераховувати всі відомі типи редакторів. І те й інше навряд можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як певний клас програм.
Насамперед вірус – це програма. Таке просте твердження саме собою здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на моніторі, але не може перевернути монітор. До легенд про віруси-вбивці, що «знищують операторів за допомогою виведення на екран смертельної колірної гами 25-м кадром» також не варто ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують найсвіжіші новини з комп'ютерних фронтів, які при найближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.
Вірус - програма, що має здатність до самовідтворення. Така здатність є єдиним засобом, властивим для всіх типів вірусів. Але не лише віруси здатні до самовідтворення. Будь-яка операційна система та ще безліч програм здатні створювати власні копії. Копії ж вірусу як зобов'язані повністю збігатися з оригіналом, а й можуть взагалі із нею не збігатися!
Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити вірус, який не використовує код інших програм, інформацію про файлової структуриабо навіть імена інших програм. Причина зрозуміла: вірус повинен у спосіб забезпечити передачу собі управління.
1.2. Класифікація вірусів
В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:
¨ середовищі
¨ способу зараження довкілля
¨ впливу
¨ особливостям алгоритму
В залежності від довкілля віруси можна розділити на мережеві, файлові, завантажувальні та файлово-завантажувальні. Мережеві вірусипоширюються різними комп'ютерними мережами. Файлові віруси впроваджуються головним чином виконувані модулі, т. е. файли, мають розширення COM і EXE. Файлові вірусиможуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здатність до розмноження. Завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска (Master Boot Re-
cord). Файлово-завантажувальнівіруси заражають як файли, і завантажувальні сектори дисків.
За способом зараження віруси поділяються на резидентні та нерезидентні. Резидентний віруспри зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків тощо) і впроваджується у них. Резидентні віруси знаходяться в пам'яті та є активними аж до вимкнення або перезавантаження комп'ютера. Нерезидентні вірусине заражають пам'ять комп'ютера і активні обмежений час.
За ступенем впливу віруси можна поділити на такі види:
¨ безпечні, що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті та пам'яті на дисках, дії таких вірусів виявляються у будь-яких графічних або звукових ефектах
¨ небезпечнівіруси, які можуть призвести до різних порушень у роботі комп'ютера
¨ дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації у системних областях диска.
2. ОСНОВНІ ВИДИ ВІРУСІВ
І СХЕМИ ЇХ ФУНКЦІОНУВАННЯ
Серед усієї різноманітності вірусів можна виділити такі основні групи:
¨ завантажувальні
¨ файлові
¨ файлово-завантажувальні
Тепер докладніше про кожну з цих груп.
2.1. Завантажувальні віруси
Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б за суворого розбору алгоритму його функціонування.
Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаження, що зберігається у постійно запам'ятовуючому пристрої (ПЗП) тобто. ПНЗ ПЗП.
Ця програма тестує обладнання та при успішному завершенні перевірок намагається знайти дискету в дисководі А:
Будь-яка дискета розмічена на т.зв. сектори та доріжки. Сектори поєднуються в кластери, але це для нас несуттєво.
Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (у цих секторах не можуть розміщуватись ваші дані). Серед службових секторів нас поки що цікавить один - т.зв. сектор початкового завантаження(Boot-sector).
У секторі початкового завантаження зберігається інформація про дискет- кількість поверхонь, кількість доріжок, кількість секторів та ін. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження(ПНЗ), яка має завантажити саму операційну систему та передати їй керування.
Таким чином, нормальна схема початкового завантаження така:
Тепер розглянемо вірус. У завантажувальних вірусах виділяють дві частини – т.зв. головута т.зв. хвіст. Хвіст, взагалі кажучи, може бути порожнім.
Нехай у вас є чиста дискета та заражений комп'ютер, під яким ми розуміємо комп'ютер із активним резидентним вірусом. Щойно цей вірус виявить, що у дисководі з'явилася підходяща жертва - у разі не захищена від запису і ще заражена дискета, він починає зараження. Заражаючи дискету, вірус робить такі дії:
n виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, у найпростішому та традиційному випадку зайняті вірусом сектори позначаються як збійні (bad)
n копіює у виділену область диска свій хвіст та оригінальний (здоровий) завантажувальний сектор
n заміщає програму початкового завантаження у завантажувальному секторі (справжньому) своєю головою
n організує ланцюжок передачі управління згідно зі схемою.
Таким чином, голова вірусу тепер першою отримує управління, вірус встановлюється на згадку і передає управління оригінальному завантажувальному сектору. У ланцюжку
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
з'являється нова ланка:
ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА
Мораль ясна: ніколи не залишайте (випадково) дискет у дисководі А.
Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. При цьому, на відміну від дискет на вінчестері, є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера першою бере на себе управління програма початкового завантаження MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, лише один з них позначений як завантажувальний (boot). Програма початкового завантаження MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні сектори завантаження відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів. програма початкового завантаженняMBRі програма початкової завантаження у бут-секторі завантажувального диска.
2.2. Файлові віруси
Розглянемо схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які майже завжди резидентні, файлові віруси зовсім не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує керування, робить деякі дії та передає керування «господарю» (хоча ще невідомо, хто в такій ситуації господар).
Які дії виконує вірус? Він шукає новий об'єкт для зараження - відповідний за типом файл, який ще не заражений (у тому випадку, якщо вірус "пристойний", а то трапляються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус впроваджується в його код, щоб отримати керування під час запуску цього файлу. Крім своєї основної функції - розмноження, вірус цілком може зробити щось хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, він встановиться на згадку і отримає можливість заражати файли та виявляти інші здібності як під час роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження файлу, що виконується, завжди можна виявити. Але, змінюючи код файлу, вірус не обов'язково вносить інші зміни:
à він не повинен змінювати довжину файлу
à ділянки коду, що не використовуються.
à не повинен змінювати початок файлу
Нарешті, до файловим вірусам нерідко відносять віруси, які «мають певне відношення до файлів», але не повинні впроваджуватися в їх код. Розглянемо як приклад схему функціонування вірусів відомого сімейства Dir-II. Не можна не визнати, що, з'явившись у 1991 р., ці віруси стали причиною справжньої епідемії чуми в Росії. Розглянемо модель, де ясно видно основна ідея вірусу. Інформація про файли зберігається у каталогах. Кожна запис каталогу включає ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластерафайлу і т.зв. резервні байти. Останні залишені "про запас" і самої MS-DOS не використовуються.
При запуску виконуваних файлів система зчитує із запису в каталозі перший кластер файлу і далі інші кластери. Віруси сімейства Dir-II виробляють наступну "реорганізацію" файлової системи: сам вірус записується в деякі вільні сектори диска, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластери виконуваних файлів у резервних бітах, а на місце цієї інформації записує посилання на себе.
Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється на згадку і передає управління викликаному файлу.
2.3. Завантажувально-файлові віруси
Ми не розглядатимемо модель завантажувально-файлового вірусу, бо жодної нової інформації ви при цьому не дізнаєтесь. Але тут видається зручний випадок коротко обговорити вкрай «популярний» останнім часом завантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і файли, що виконуються. Основна руйнівна дія – шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а зашифрувавши половину жорсткого диска радісно повідомляє про це. Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR та файлів, треба розшифрувати зашифровану інформацію. Найбільш «смертельна» дія – просто переписати новий здоровий MBR. Головне – не панікуйте. Зважте все спокійно, порадьтеся з фахівцями.
2.4. Поліморфні віруси
Більшість питань пов'язані з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів на сьогоднішній день є найбільш небезпечним. Пояснимо ж, що це таке.
Поліморфні віруси - віруси, що модифікують свій код у заражених програмах таким чином, що два екземпляри одного і того ж вірусу можуть не співпадати в жодному биті.
Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровувача, що відрізняє їх від звичайних шифрувальних вірусів, які також можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровувача.
Поліморфні віруси - це віруси з розшифрувальниками, що самодифікуються. Мета такого шифрування: маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і є безглуздим набором команд. Розшифровка проводиться самим вірусом безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все це робиться задля утруднення аналізу коду вірусу.
3. ІСТОРІЯ КОМП'ЮТЕРНОЇ ВІРУСОЛОГІЇ
І ПРИЧИНИ ПОЯВИ ВІРУСІВ
Історія комп'ютерної вірусології є сьогодні постійною «гонкою за лідером», причому, не дивлячись на всю міць сучасних антивірусних програм, лідерами є саме віруси. Серед тисяч вірусів лише кілька десятків є оригінальними розробками, які використовують дійсно нові ідеї. Решта – «варіації на тему». Але кожна оригінальна технологія змушує творців антивірусів пристосовуватися до нових умов, наздоганяти вірусну технологію. Остання можна заперечити. Наприклад, 1989 року американський студент зумів створити вірус, який вивів з ладу близько 6000 комп'ютерів Міністерства оборони США. Або епідемія відомого вірусу Dir-II, що вибухнула 1991 року. Вірус використав справді оригінальну, принципово нову технологіюі спочатку зумів широко поширитися з допомогою недосконалості традиційних антивірусних коштів.
Або сплеск комп'ютерних вірусів у Великій Британії: Крістоферу Пайну вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме останній був найнебезпечнішим, його можна було накладати на перші два віруси, і через це після кожного прогону програми вони змінювали конфігурацію. Тому їх неможливо було знищити. Щоб розповсюдити віруси, Пайн скопіював комп'ютерні ігри та програми, заразив їх, а потім відправив назад до мережі. Користувачі завантажували у свої комп'ютери заражені програми та інфікували диски. Ситуація посилилася тим, що Пайн примудрився занести віруси й у програму, яка з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували ще один. В результаті були знищені файли безлічі фірм, збитки склали мільйони фунтів стерлінгів.
Широку популярність отримав американський програміст Морріс. Він відомий як автор вірусу, який у листопаді 1988 року заразив близько 7 тисяч персональних комп'ютерів, підключених до Internet.
Причини появи та розповсюдження комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту та протидії з боку операційної Системи персонального комп'ютера.
4. ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ У КОМП'ЮТЕР І МЕХАНІЗМ РОЗПОДІЛУ ВІРУСНИХ ПРОГРАМ
Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі та лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисковода А і перезавантажили комп'ютер, у своїй дискета може бути не системної. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.
Вірус, як правило, впроваджується в робочу програмутаким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх команд знову повернулося до робочої програми. Отримавши доступом до управління, вірус передусім переписує себе у іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска та виконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли.
Після зараження програми вірус може виконати якусь диверсію, не надто серйозну, щоб не привернути увагу. І нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну. Таким чином заразиться все програмне забезпечення.
Для ілюстрації процесу зараження комп'ютерної програми вірусом можна уподібнити дискову пам'ять старомодному архіву з папками на тасьмі. У папках розташовані програми, а послідовність операцій із запровадження вірусу у разі виглядати так.(див. Додаток 1)
5. ОЗНАКИ ПОЯВИ ВІРУСІВ
При зараженні комп'ютера вірусом важливо виявити його. І тому слід знати про основні ознаки прояви вірусів. До них можна віднести такі:
¨ припинення роботи або неправильна робота програм, що раніше успішно функціонували
¨ повільна робота комп'ютера
¨ неможливість завантаження операційної системи
¨ зникнення файлів та каталогів або спотворення їх вмісту
¨ зміна дати та часу модифікації файлів
¨ зміна розмірів файлів
¨ несподіване значне збільшення кількості файлів на диску
¨ суттєве зменшення розміру вільної оперативної пам'яті
¨ виведення на екран непередбачених повідомлень або зображень
¨ подача непередбачених звукових сигналів
¨ часті зависання та збої в роботі комп'ютера
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
6. Виявлення вірусів і заходи щодо захисту і профілактики
6.1. Як виявити вірус? Традиційний підхід
Отже, якийсь вірусописатель створює вірус і запускає його в життя. Деякий час він, можливо, погуляє досхочу, але рано чи пізно «лафа» закінчиться. Хтось запідозрить щось недобре. Як правило, віруси виявляють звичайні користувачі, які помічають ті чи інші аномалії у поведінці комп'ютера Вони, як правило, не здатні самостійно впоратися з заразою, але цього від них і не потрібно.
Необхідно лише, щоб якнайшвидше вірус потрапив до рук фахівців. Професіонали будуть його вивчати, з'ясовувати, «що він робить», «як він робить», «коли він робить» та ін. У процесі такої роботи збирається вся необхідна інформація про цей вірус, зокрема, виділяється сигнатура вірусу – послідовність байтів цілком виразно його характеризує. Для побудови сигнатури зазвичай беруться найважливіші та характерні ділянки коду вірусу. Одночасно стають зрозумілі механізми роботи вірусу, наприклад, у разі завантажувального вірусу важливо знати, де він ховає свій хвіст, де знаходиться оригінальний завантажувальний сектор, а у разі файлового – спосіб зараження файлу. Отримана інформація дозволяє з'ясувати:
· як виявити вірус, для цього уточнюються методи пошуку сигнатур у потенційних об'єктах вірусної атаки - файлах та/або завантажувальних секторах
· як знешкодити вірус, якщо це можливо, розробляються алгоритми видалення вірусного коду з уражених об'єктів
6.2. Програми виявлення та захисту від вірусів
Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називаються антивірусними . Розрізняють такі види антивірусних програм:
· Програми-детектори
· програми-лікарі або фаги
· Програми-ревізори
· Програми-фільтри
· програми-вакцини або імунізатори
Програми-детекториздійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті та у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.
Програми-лікаріабо фаги, а також програми-вакцинияк знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення версій.
Програми-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється від змін, внесених вірусом. До програм-ревізорів належить широко поширена у Росії програма Adinf.
Програми-фільтриабо «сторожа»є невеликі резидентні програми, призначені виявлення підозрілих дій під час роботи комп'ютера, притаманних вірусів. Такими діями можуть бути:
· Спроби корекції файлів з розширеннями COM, EXE
· Зміна атрибутів файлу
· Прямий запис на диск за абсолютною адресою
· Запис у завантажувальні сектори диска
При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити або дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є Vsafe, що входить до складу пакета утиліт MS DOS.
Вакциниабо імунізатори- це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.
Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.
6.3. Основні заходи щодо захисту від вірусів
Для того, щоб не піддати комп'ютер зараженню вірусами і забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:
¨ оснастить свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest, Doctor Web, та постійно відновлюйте їх версії
¨ перед зчитуванням дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера
¨ при перенесенні на свій комп'ютер файлів в архівованому вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки лише новозаписаними файлами
¨ періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті та системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети
¨ завжди захищайте свої дискети від запису під час роботи на інших комп'ютерах, якщо на них не буде записуватися інформація
¨ обов'язково робіть архівні копії на дискетах цінної для вас інформації
¨ не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб унеможливити зараження комп'ютера завантажувальними вірусами
¨ використовуйте антивірусні програми для вхідного контролю всіх файлів, що виконуються з комп'ютерних мереж
¨ для забезпечення більшої безпеки застосування Aidstest та Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска Adinf
ВИСНОВОК
Отже, можна навести масу фактів, що свідчать, що загроза інформаційному ресурсу зростає з кожним днем, піддаючи паніку відповідальних осіб у банках, на підприємствах і в компаніях у всьому світі. І ця загроза походить від комп'ютерних вірусів, які спотворюють або знищують життєво важливу, цінну інформацію, що може призвести не тільки до фінансових втрат, а й до людських жертв.
Комп'ютерний вірус - спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера та в обчислювальні мережі з метою порушення роботи програм, псування файлів та каталогів, створення різноманітних перешкод у роботі комп'ютера.
Нині відомо понад 5000 програмних вірусів, кількість яких безперервно зростає. Відомі випадки, коли створювалися навчальні посібники, які у написанні вірусів.
Основні види вірусів: завантажувальні, файлові, файлово-завантажувальні. Найбільш небезпечний вид вірусів – поліморфні.
З історії комп'ютерної вірусології ясно, що будь-яка оригінальна комп'ютерна технологія змушує творців антивірусів пристосовуватися до нових технологій, постійно вдосконалити антивірусні програми.
Причини появи та поширення вірусів приховані з одного боку у психології людини, з іншого боку – з відсутністю засобів захисту в операційній системі.
Основні шляхи проникнення вірусів - знімні диски та комп'ютерні мережі. Щоб цього не сталося, дотримуйтесь заходів щодо захисту. Також для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які називаються антивірусними. Якщо ви все ж таки виявили в комп'ютері вірус, то за традиційним підходом краще покликати професіонала, щоб той далі розібрався.
Але деякі властивості вірусів спантеличують навіть фахівців. Ще зовсім недавно важко було уявити, що вірус може пережити холодне перезавантаження або поширюватися через файли документів. У таких умовах не можна не надавати значення хоч би початковій антивірусній освіті користувачів. При всій серйозності проблеми жоден вірус не здатний принести стільки шкоди, скільки побілілий користувач з тремтячими руками!
Отже, здоров'я ваших комп'ютерів, збереження ваших даних – у ваших руках!
бібліографічний список
1. Інформатика: Підручник/за ред. Проф. Н.В. Макарова. - М.: Фінанси та статистика, 1997.
2. Енциклопедія таємниць та сенсацій / Підгот. тексту Ю.М. Петрова. - Мн.: Література, 1996.
3. Безруков Н.М. Комп'ютерні віруси - М: Наука, 1991.
4. Мостовий Д.Ю. Сучасні технології боротьби з вірусами// Світ ПК. - №8. – 1993.
Репетиторство
Потрібна допомога з вивчення якоїсь теми?
Наші фахівці проконсультують або нададуть репетиторські послуги з цікавої для вас тематики.
Надішліть заявкуіз зазначенням теми прямо зараз, щоб дізнатися про можливість отримання консультації.
Термін «комп'ютерний вірус» уперше вжив співробітник Ліхайського університету (США) Фред Коен у 1984 році.
Комп'ютерний вірус - одне з найцікавіших явищ, які можна спостерігати внаслідок розвитку комп'ютерної та інформаційної техніки. Суть його зводиться до того, що програми набувають властивостей, властивих живим організмам: вони народжуються, розмножуються, помирають.
Головна умова існування вірусів – універсальна інтерпретація у обчислювальних системах. Вірус у процесі зараження програми може інтерпретувати її як дані, а в процесі виконання - як код, що виконується. Цей принцип було покладено основою всіх сучасних комп'ютерних системза допомогою архітектури фон Неймана.
Комп'ютерний вірус - це невелика, складна, старанно складена і небезпечна програмаяка може самостійно розмножуватися, переноситися на диски та флешки, прикріплюватися до програм, передаватися мережею, порушуючи роботу комп'ютера. З поняттям "комп'ютерний вірус" тісно пов'язане таке поняття, як сигнатура. Сигнатура - це фрагмент коду, який можна знайти у всіх копіях вірусу і лише у них. Іншими словами, сигнатура – це підпис вірусу, який однозначно визначає наявність чи відсутність його у програмі.
Програма, в якій міститься комп'ютерний вірус, називається зараженою.
Вірус (вірусна програма) має такі властивості:
- Можливість створювати свої копії та впроваджувати їх в інші програмні об'єкти.
- Забезпечення скритності (латентність) до певного моменту її існування та поширення.
- Несанкціонованість (з боку користувача) вироблених ним дій.
- Наявність негативних наслідків її функціонування.
Дії комп'ютерних вірусів можуть проявлятися по-різному:
- псуються деякі файли;
- програми перестають виконуватись або виконуються неправильно;
- на екрані монітора виводяться непередбачені повідомлення або символи;
- робота комп'ютера уповільнюється тощо.
Деякі віруси при запуску ніяк себе зовні не проявляють і можуть іноді заражати інші програми і виконувати небажані дії на комп'ютері, наприклад, відсилати конфіденційну інформацію зловмиснику. Інші різновиди вірусів після зараження програм та дисків викликають серйозні пошкодження, наприклад, форматують жорсткий диск та ін., або загрожують це зробити, вимагаючи перерахувати гроші за розблокування.
Заражені програми з одного ПК можуть бути перенесені за допомогою флеш-накопичувачів, дисків, локальної або глобальної мережі на інші комп'ютери.
Якщо не вживати заходів для захисту від комп'ютерних вірусів, наслідки зараження комп'ютерів можуть бути серйозними. У ряді країн кримінальне законодавство передбачає відповідальність за комп'ютерні злочини, у тому числі за впровадження вірусів.
Первинне зараження ПК вірусом можливе тоді, коли:
- на комп'ютері виконувалася заражена програма;
- ОС завантажувалася з флешки чи диска, що містить заражений завантажувальний сектор;
- На комп'ютері встановлена інфікована ОС або драйвер пристрою;
- через локальну та глобальну мережу та ін.
Класифікація вірусів
На сьогоднішній день існує сотні тисяч вірусів.
Класифікація вірусів здійснюється за такими ознаками:
- довкіллям;
- способом зараження;
- дією;
- особливості алгоритму.
В залежності від довкілля віруси можна розділити на мережні, файлові, завантажувальні та файлово-завантажувальні. Мережеві віруси поширюються різними. Файлові віруси проникають головним чином виконувані модулі, є файли, мають розширення EXE тощо. Файлові віруси можуть проникати й інші типи файлів, але, зазвичай, записані у таких файлах, вони будь-коли отримують управління і, отже, втрачають здатність до розмноження. Завантажувальні віруси проникають у завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска (Master Boot Record). Файлово – завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
За способом зараження віруси діляться на резидентні та нерезидентні. p align="justify"> Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і проникає в них. Резидентні віруси знаходяться в пам'яті і активні аж до відключення або перезавантаження комп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і активні обмежений час.
За ступенем впливу віруси можна поділити на такі види:
- безпечні, такі, що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті та пам'яті на дисках; дії таких вірусів виявляються у будь-яких графічних чи звукових ефектах;
- небезпечні віруси, які можуть призвести до різних порушень у роботі комп'ютера;
- дуже небезпечні, дія яких може призвести до втрати програм, знищення даних, стирання інформації у системних областях диска.
Відомі віруси-невидимки, звані стелс - вірусами, які дуже важко виявити і знешкодити, тому що вони перехоплюють звернення операційної системи до заражених файлів і секторів дисків і підставляють замість тіла незаражені ділянки диска. Найважче, це виявити віруси-мутанти, що містять алгоритми шифрування-розшифрування, завдяки яким копії одного і того ж вірусу не мають жодного ланцюжка байтів, які повторюються. Є і так звані квазівірусні або «троянські» програми, які хоч і не здатні до самопоширення, але дуже небезпечні, оскільки маскуючись під корисну програму, руйнують завантажувальний сектор та файлову систему дисків
Способи захисту від вірусів
Одним з основних наслідків діяльності вірусів є втрата або псування інформації. Тому для забезпечення стійкої та надійної роботи необхідно (або принаймні бажано) завжди мати чисті, не заражені (еталонні) копії використовуваної інформації та програмного забезпечення.
До загальних засобів відносяться:
- резервне копіювання інформації (створення копій файлів та системних областей дисків);
- розмежування доступу до інформації (запобігання несанкціонованому використанню інформації).
До програмних засобів відносяться різні антивірусні програми, які є найефективнішими у боротьбі з комп'ютерними вірусами. Однак не існує антивірусів, що гарантують стовідсотковий захист від вірусів, оскільки на будь-який алгоритм антивірусу завжди можна запропонувати контралгоритм вірусу, невидимого для цього антивірусу. Неможливість існування абсолютного антивірусу було доведено математично з урахуванням теорії кінцевих автоматів, автор докази — Фред Коен.
Використання спеціальних антивірусних засобів у більшості випадків дозволяє не тільки виявити вірусне вторгнення, а й оперативно знешкодити виявлені віруси та відновити зіпсовану інформацію.
Антивірусні програми - це утиліти, що дозволяють виявити віруси, вилікувати, або ліквідувати заражені файли та диски, виявляти та запобігати підозрілі (характерні для вірусів дії).
Існує дуже багато класифікацій антивірусних програм. Розглянемо одну з них.
Класифікація антивірусних програм
| Тип антивірусної програми | Принцип дії |
| Детектори | Виявляють файли, заражені одним із відомих вірусів |
| Лікарі (фаги) | «Лічать» заражені програми або диски, Витягують із заражених програм код вірусу, тобто відновлюють програму в тому стані, в якому вона була до зараження вірусом |
| Ревізори | Спочатку запам'ятовують відомості про стан програм і системних областей дисків, а потім потім порівнюють їх стан з вихідним. У разі виявлення невідповідності повідомляють про нього. |
| Фільтри | Завантажуються резидентно в оперативній пам'яті, перехоплюють ті звернення до системи, які використовуються вірусами для розмноження та завдання шкоди, і повідомляють про них. Ви можете дозволити або заборонити виконання цієї операції. |
Серед популярних та ефективних антивірусних програмних систем можна виділити:
- Антивірус Касперського - AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
- Avast (http://www.avast.ru)
- DoctorWeb (http://www.drweb.ru)
- NOD 32 http://www.esetnod32.ru;
- Norton AntiVirus;
- Symantec AntiVirus та ін.
Більше надійний захистдають ті антивірусні програми, версії яких оновлюються.
Знешкодження шпигунських програм
Є ще одна категорія шкідливого програмного забезпечення (ПЗ), яка відома набагато менше, ніж віруси (але аж ніяк не менш небезпечна) через специфіку своєї роботи - програми шпигунства за діями користувача. Такі програми (spyware), як правило, поставляються разом з безкоштовними програмами, що розповсюджуються через Internet або ж автоматично встановлюються на ПК під час веб-серфінгу.
Spyware визначають як програмне забезпечення, яке дозволяє збирати відомості про користувача або організацію без їх відома. Adware (від advertising - реклама) - програмний код, без відома користувача внесено до програмного забезпечення для демонстрації рекламних оголошень.
За даними New Scientist, у світі 5,1% підключених до Інтернету комп'ютерів мають на своєму вінчестері програмний код, призначений для несанкціонованого збору конфіденційної інформаціїта (або) демонстрації непрошеної реклами за допомогою спливаючих («pop-up») вікон браузера.
За даними, отриманими фахівцями Вашингтонського університету в ході спостережень за поширенням лише чотирьох програм - шпигунів (Gator, Cydoor, SaveNow, eZula) на комп'ютерах студентського містечка, на 5,1% машин було встановлено програмне забезпечення для стеження за діями користувача, а 69% Всі відділи та офіси університету мали принаймні один комп'ютер, на якому було встановлено spyware.
Як мінімум дві із зазначених програм – Gator та eZula – дають можливість зловмиснику не просто збирати інформацію, а й контролювати чужий комп'ютер.
Програми, призначена для пошуку та усунення шпигунських модулів, сканують оперативну пам'ять, файли на жорсткому диску та визначають у них програми – шпигуни та запущені шкідливі процеси. Сканується також реєстр операційної системи. Якщо в реєстрі виявляється запис, встановлений шкідливою програмою, вона видаляється. Передбачено можливість оновлення антишпигунської бази через Інтернет. Якщо виявляються шпигунські модулі, програма пропонує видалити їх усі або вибірково. Для запобігання випадковому видаленню потрібного файлу або запису в реєстрі передбачено функцію відновлення (для цього автоматично створюються backup — копії даних). Така програма повинна мати кожен користувач, який працює на комп'ютері.
Спостерігаючи за подіями останніх років, можна з упевненістю стверджувати, що spyware, поряд з комп'ютерними вірусами, стало глобальним лихом у мережі. Так, за даними компанії EarthLink, 90% всіх підключених до Internet ПК заражені подібним ПЗ. Всього було виявлено 29,5 млн шпигунських програм, в середньому по 28 на ПК. Цілком можливо, що в майбутньому кордон між трьома складовими (spyware, вірусами та спамом) темної сторони Internet зітреться повністю, і боротися з ними буде вже не низка різноманітних утиліт, а один уніфікований програмний комплекс.
Важливі висновки:
- Антивірусний захист завжди буде актуальним.
- Антивірусний захист має бути продуманим, комплексним та систематичним.
- Антивірусні основи необхідно постійно оновлювати.
- Імовірність зараження комп'ютерними вірусами зменшується при одночасному використанні кількох антивірусних програм.
- Витрати антивірусний захист не бувають надмірними.
Завантаження...