- •Введение
- •1. История компьютерной вирусологии и причины появления вирусов
- •2. Компьютерные вирусы, их свойства и классификация
- •2.1 Что такое компьютерный вирус?
- •2.2. Классификация вирусов
- •3. Основные виды вирусов и схемы их функционирования
- •3.1 Загрузочные вирусы
- •3.2. Файловые вирусы
- •3.3. Загрузочно-файловые вирусы
- •3.4. Макровирусы
- •4. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
- •5. Признаки появления вирусов
- •6. Обнаружение вирусов и меры по защите и профилактике
- •6.1. Как обнаружить вирус? Традиционный подход
- •6.2. Программы обнаружения и защиты от вирусов
- •6.3. Основные меры по защите от вирусов
- •Заключение
5. Признаки появления вирусов
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
прекращение работы или неправильная работа ранее успешно функционировавших программ,
медленная работа компьютера,
невозможность загрузки операционной системы,
исчезновение файлов и каталогов или искажение их содержимого,
изменение даты и времени модификации файлов,
изменение размеров файлов,
неожиданное значительное увеличение количества файлов на диске,
существенное уменьшение размера свободной оперативной памяти,
вывод на экран непредусмотренных сообщений или изображений,
подача непредусмотренных звуковых сигналов,
частые зависания и сбои в работе компьютера,
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
6. Обнаружение вирусов и меры по защите и профилактике
6.1. Как обнаружить вирус? Традиционный подход
Условно выделяют две фазы жизни вирусов – пассивную и активную.
Пассивная стадия – когда он практически не проявляет себя, стараясь оставаться незаметным для пользователей. Получая управление на этой стадии, вирус отыскивает на других дисках компьютера системные или прикладные программы и внедряется в них. Продолжительность этой фазы может быть разной: от нескольких минут до нескольких лет.
Стадию активных действий по поражению заражённых систем называют атакой вируса.
Вирусная атака может начинаться одновременно на всех поражённых компьютерах или в разное время. Обычно атака начинается некоторого общего для всех компьютера условия. Например, один из распространённых вирусов «Israel virus» запрограммирован так, что переходит в атаку в пятницу, если это 13-е число (любого года, любого месяца), а коварный вирус «Lehigh» активизируется после каждых четырёх циклов заражения других программ. Начало активным действиям вируса может положить также достижение определённого количества вызовов заражённой программы на исполнение и т.п.
Если не предпринимать мер по защите от вирусов, то последствия заражения компьютера могут быть очень серьёзными.
Необходимо лишь, чтобы как можно скорее вирус попал в руки специалистов. Профессионалы будут его изучать, выяснять, «что он делает», «как он делает», «когда он делает» и пр.
Главную опасность, по их мнению, представляют не сами по себе компьютерные вирусы, а пользователи компьютеров и компьютерных программ, не подготовленные к встрече с вирусами, ведущими себя не квалифицированно при встрече с симптомами заражения компьютера, легко впадающие в панику, что парализует нормальную работу.
6.2. Программы обнаружения и защиты от вирусов
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
программы-детекторы,
программы-доктора или фаги,
программы-ревизоры изменений,
программы-фильтры,
программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизорыизменений относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf. Она позволяет восстанавливать исходное состояние системных областей и контролируемых файлов.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
попытки коррекции файлов с расширениями COM, EXE,
изменение атрибутов файла,
прямая запись на диск по абсолютному адресу,
запись в загрузочные сектора диска,
загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Также можно использовать антивирусные сканеры и мониторы.
1. Антивирусные сканеры.
Пионер антивирусного движения – программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с целью обнаружения в них вирусных сигнатур, т.е. уникального программного кода вируса.
2. Антивирусные мониторы.
По своей сути антивирусные мониторы – разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все допускаемые файлы будут автоматически проверятся на вирусы.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Желательно использовать антивирусные программы последних версий, т.к. такого рода программы постоянно переделываются для включения новых типов вирусов, и чтобы одна из них была отечественного производства, т.к. процесс иммиграции вируса в другие страны и иммиграции антивирусных программ занимает довольно большое время (поэтому не выполняется принцип оперативности).