Антивірусна програма (антивірус) — програма для знаходження і, можливо, лікування програм, що заражені комп'ютерним вірусом, а також, можливо, для запобігання зараження файлу вірусом.Зміст [сховати]

1 Перші антивіруси

2 Склад антивірусного програмного забезпечення

3 Методи знаходження вірусів

3.1 Відповідність визначенню вірусів в словнику

3.2 Підозріла поведінка програм

3.3 Емуляція

4 Антивірусні компанії та програми

5 Сучасність

Перші антивіруси

Перші, найпростіші антивірусні програми з'явилися майже одразу після появи вірусів. Зараз розробкою антивірусів займаються великі компанії. Як і в творців вірусів, у цій сфері також сформувались оригінальні засоби — але вже для пошуку і боротьби з вірусами. Сучасні антивірусні програми можуть знаходити десятки тисяч вірусів.

Склад антивірусного програмного забезпечення

Антивірусне програмне забезпечення складається з комп'ютерних програм, які намагаються знайти, запобігти розмноженню і видалити комп'ютерні віруси та інші шкідливі програми.

Методи знаходження вірусів

Антивірусне програмне забезпечення звичайно використовує два різних методи для виконання своїх задач:

Перегляд (сканування) файлів для пошуку відомих вірусів, що відповідають визначенню в словнику вірусів.

Знаходження підозрілої поведінки будь-якої з програм, що схожа на поведінку зараженої програми.

Відповідність визначенню вірусів в словнику

При цьому методі антивірусна програма під час перегляду файлу звертається до словника з відомими вірусами, що складений авторами програми-антивірусу. У разі відповідності якоїсь ділянки коду програми, що проглядається, відомому коду (сигнатурі) вірусу в словнику, програма-антивірус може виконувати одну з наступних дій:

Видалити інфікований файл

Відправити файл у карантин (тобто зробити його недоступним для виконання, з метою недопущення подальшого розповсюдження вірусу).

Намагатися відтворити файл, видаливши сам вірус з тіла файлу.

Хоча антивірусні програми, створенні на основі пошуку відповідності визначенню вірусу в словнику, за звичайних обставин, можуть досить ефективно перешкоджати збільшенню випадків зараження комп'ютерів, автори вірусів намагаються триматися на півкроку попереду таких програм-антивірусів, створюючи «олігоморфні», «поліморфні» і, найновіші, «метаморфічні» віруси, у яких деякі частини шифруються або спотворюються так, щоб неможливо було знайти спільне з визначенням в словнику вірусів.

Підозріла поведінка програм

Антивіруси, що використовують метод знаходження підозрілої поведінки програм, не намагаються ідентифікувати відомі віруси, замість цього вони стежать за поведінкою всіх програм. Якщо програма намагається записати якісь данні в файл, що виконується(exe — файл), програма-антивірус може зробити помітку цього файлу, попередити користувача і спитати, що треба зробити.

На відміну від методу відповідності визначенню вірусів в словнику, метод знаходження підозрілої поведінки дає захист від абсолютно нових вірусів, яких ще немає в жодному словнику вірусів. Однак треба враховувати, що програми, побудовані на цьому методі, видають також велику кількість помилкових попереджень. Програми класу Firewall давно мали в своєму складі модуль знаходження підозрілої поведінки програм.

Емуляція

Деякі програми-антивіруси намагаються імітувати початок виконання коду кожної нової програми, що викликається для виконання, перед тим, як передати їй керування. Якщо програма використовує код, що змінюється самостійно, або проявляє себе як вірус (тобто починає шукати інші exe-файли, наприклад), — така програма буде вважатися шкідливою (здатною нашкодити іншим файлам). Однак цей метод також має велику кількість помилкових попереджень.

Антивірусні компанії та програми

AhnLab — Південна Корея

ALWIL Software (avast!) — Чехія (безкоштовна та платна версії)

AOL Virus Protection у складі AOL Safety and Security Center

ArcaVir — Польща

Authentium — Великобританія

AVG (GriSoft) — Чехія (безкоштовна та платна версії, також присутній Firewall)

Avira — Німеччина (безкоштовна та платна версії)

AVZ — Росія (безкоштовна), відсутній real-time monitor

BitDefender — Румунія

BullGuard — Данія

ClamAV — Ліцензія GPL (безкоштовна), відсутній real-time monitor

ClamWin — ClamAV для Windows

Comodo Group — США

Computer Associates — США

Dr.Web — Росія

Eset NOD32 — Словаччина

Fortinet — США

Frisk Software — Ісландія

F-Secure Antivirus — Фінляндія

G-DATA — Німеччина

GeCAD — Румунія (компанія викуплена Microsoft у 2003 році)

GFI Software

Ikarus — Австрія

H+BEDV — Німеччина

Hauri — Південна Корея

McAfee — США

Microsoft Security Essentials — безкоштовний антивірус від Microsoft

MicroWorld Technologies — Індія

MKS — Польща

Moon Secure AV — Ліцензія GPL (безкоштовна), заснований на коді ClamAV, має real-time monitor

Norman — Норвегія

NuWave Software — Україна (Використовують рушії від AVG, Frisk, Lavasoft, Norman, Sunbelt)

Outpost — Росія (Використовують два antimalware рушії: антивірусний від компанії VirusBuster та антишпіонський, власної розробки)

Panda Software — Іспанія

Quick Heal AntiVirus — Індія

Rising — Китай

ROSE SWE — Німеччина

Safe`n`Sec — Росія

Simple Antivirus — Україна

Sophos — Великобританія

Spyware Doctor — антивірусна утиліта

Stiller Research

Sybari Software (компанія викуплена Microsoft у 2005 році)

Symantec — США

Trend Micro — Япония (номінально Тайвань/США)

Trojan Hunter — антивірусна утиліта

Universal Anti Virus — Україна (безкоштовний)

VirusBuster — Угорщина

Windows Malicious Software Removal Tool, Microsoft

ZoneAlarm AntiVirus — США

Zillya! — Україна (безкоштовний)

Антивірус Касперського — Росія

ВирусБлокАда (VBA32) — Білорусь

Dr. Solomon's Anti-Virus Toolkit

Український Національний Антивірус — Україна

Сучасність

На жаль, конкуренція між антивірусними компаніями призвела до того, що розвиток йде в бік збільшення кількості вірусів, що викриваються (насамперед для реклами), а не в бік покращення їх детектування (ідеал — 100%-е детектування) і алгоритмів лікування заражених файлів.

Комп'ютерний вірус (англ. computer virus) — комп'ютерна програма, яка має здатність до прихованого саморозмноження. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера. Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу Інтернет по всьому світу.

Малообізнані користувачі ПК помилково відносять до комп'ютерних вірусів також інші види шкідливих програм — програми-шпигуни чи навіть спам.

За створення та поширення шкідливих програм (в тому числі вірусів) у багатьох країнах передбачена кримінальна відповідальність. Зокрема, в Україні створення і поширення комп'ютерних вірусів переслідується і карається відповідно до Кримінального кодексу (статті 361, 362, 363).Зміст [сховати]

1 Походження терміну

2 Історія

3 Суспільний аспект

4 Класифікація

5 Ознаки зараження вірусом

6 Див. також

7 Посилання

[ред.]

Походження терміну

Назва програми "комп'ютерний вірус" походить від однойменного терміну з біології за її здатність до саморозмноження. Саме поняття "комп'ютерного вірусу" з'явилося на початку 1970-тих і використовувалося у програмуванні та літературі, зокрема, у фантастичному оповіданні "Людина в рубцях" Грегорі Белфорда. Проте, автором терміну вважається Ф. Коен, який у 1984-тому році опублікував одну з перших академічніх статей, що були присвячені вірусам, де і було використано цю назву.

[ред.]

Історія

Історія свідчить, що ідею створення комп'ютерних вірусів окреслив письменник-фантаст Т. Дж. Райн, котрий в одній із своїх книжок, написаній в США в 1977 р., описав епідемію, що за короткий час охопила біля 7000 комп'ютерів. Причиною епідемії став комп'ютерний вірус, котрий передавався від одного комп'ютера до другого, пробирався в їхні операційні системи і виводив комп'ютери з-під контролю людини.

В 70-х роках, коли вийшла книжка Т.Дж. Райна, описані в ній факти здавалися фантастикою, і мало хто міг передбачати, що вже в кінці 80-х років проблема комп'ютерних вірусів стане великою дійсністю, хоч і не смертельною для людства в єдиноборстві з комп'ютером, але такою, що призвела до деяких соціальних і матеріальних втрат. Під час досліджень, проведених однією з американських асоціацій з боротьби з комп'ютерними вірусами, за сім місяців 1988 р. комп'ютери, які належали фірмам-членам асоціації, піддавались дії 300 масових вірусних атак, які знищили близько 300 тис. комп'ютерних систем, на відтворення яких було затрачено багато часу і матеріальних затрат. В кінці 1989 р. в пресі з'явилося повідомлення про знаходження в Японії нового, надзвичайно підступного і руйнівного віруса (його назвали хробаком), за короткий час він знищив дані на великій кількості машин, під'єднаних до комунікаційних ліній. Переповзаючи від комп'ютера до комп'ютера, через з'єднуючі комунікації, «черв'як» знищував вміст пам'яті, не залишаючи ніяких надій на відновлення даних.

У 1992 році з'явився перший конструктор вірусів для PC — VCL (для Amiga конструктори існували і раніше), а також готові поліморфні модулі (MtE, DAME і TPE) і модулі шифрування для вбудовування в нові віруси. У кілька наступних років було остаточно відточено стелс-і поліморфні технології (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а також випробувано самі незвичайні способи проникнення в систему і зараження файлів (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Крім того, з'явилися віруси, що заражають об'єктні файли (Shifter, 1994) і вихідні тексти програм (SrcVir, 1994).

З поширенням пакету Microsoft Office набули поширення макровіруси (Concept, 1995). У 1996 році з'явився перший вірус для Windows 95 — Win95.Boza, а в грудні того ж року — перший резидентний вірус для неї — Win95.Punch. З поширенням мереж та Інтернету файлові віруси все більше орієнтуються на них як на основний канал роботи (ShareFun, 1997 — макровірус MS Word, що використовує MS-Mail для поширення, Win32.HLLP.DeTroie, 1998 — сімейство вірусів-шпигунів, Melissa, 1999 — макровірус і мережевий черв'як, який побив усі рекорди за швидкістю поширення). Еру розквіту «троянських коней» відкриває утиліта прихованого віддаленого адміністрування BackOrifice (1998) і пішли за нею аналоги (NetBus, Phase). Вірус Win95.CIH досяг апогею в застосуванні незвичайних методів, переписуючи Flash Bios заражених машин (епідемія в червні 1998 вважається найбільш руйнівною за попередні роки).

В кінці 1990-x — на початку 2000-x з ускладненням ПЗ та системного оточення, масовим переходом на порівняно захищені Windows сімейства NT, утвердженням мереж як основного каналу обміну даними, а також успіхами антивірусних технологій у виявленні вірусів, побудованих за складними алгоритмами, останні стали все більше замінювати впровадження у файли на впровадження в операційну систему (незвичайний автозапуск, руткіти) і підміняти поліморфізм величезною кількістю видів (число відомих вірусів зростає експоненціально).

Разом з тим, виявлення в Windows та іншому поширеному ПО численних вразливостей відкрило дорогу черв'якам-експлоїтом. У 2004 р. безпрецедентні за масштабами епідемії викликають MsBlast (більше 16 млн систем за даними Microsoft [15]), Sasser і Mydoom (оціночні збитки 500 млн дол і 4 млрд дол відповідно [16]). Крім того, монолітні віруси в значній мірі поступаються місцем комплексам шкідливого ПЗ з поділом ролей і допоміжними засобами (троянські програми, завантажувачі / дроппери, фішингові сайти, спам-боти і павуки).

Також розквітають соціальні технології — спам і фішинг — як засіб зараження в обхід механізмів захисту ПЗ. Спочатку на основі троянських програм, а з розвитком технологій p2p-мереж — і самостійно — набирає обертів найсучасніший вид вірусів — хробаки-ботнети (Rustock, 2006, бл. 150 тис. ботів; Conficker, 2008—2009, більше 7 млн ​​ботів; Kraken, 2009, бл. 500 тис. ботів).

Віруси у складі іншого шкідливого ПЗ остаточно оформляються як засіб кіберзлочинності.

[ред.]

Суспільний аспект

Для одних віруси є бізнесом. Причому не тільки для їхніх авторів, але і для тих, хто з цими вірусами бореться. Бо процвітання компаній, які випускають антивірусні програми не є несподіванкою ні для кого. Для інших — це хоббі. Хоббі — збирання вірусних колекцій і хоббі — написання вірусів. Ще інші — створюють віруси для прояву власної зухвалості і незалежності, у деяких колах подібна діяльність просто необхідна для підняття свого престижу. Є й такі, для кого віруси це витвір мистецтва; зустрічаються ж лікарі за покликанням, це значить, може бути і комп'ютерний лікар за покликанням. Для деяких віруси служать приводом пофілософствувати, на теми створення і розвитку комп'ютерного життя. Для інших віруси — це також стаття кримінального кодексу. Але для більшості користувачів комп'ютерів віруси — це щоденна головна біль і турбота, причина збоїв в роботі комп'ютера і ворог номер один.

[ред.]

Класифікація

Всі віруси можна поділити на групи :

Завантажувальні віруси — Заражають завантажувальні сектори жорстких дисків (вінчестерів) і дискет.

Файлові віруси — Заражають файли. Ця група в свою чергу поділяється на віруси, які заражають виконувальні файли (сом-, ехе-віруси); файли даних (макровіруси); віруси — супутники, які використовують імена інших програм; віруси сімейства dir, які використовують інформацію про файлову структуру. Причому два останніх типи зовсім не модифікують файли на диску.

Завантажувально-файлові віруси — спроможні вражати, як код завантажувальних секторів, так і код файла. Віруси поділяються на резидентні та нерезидентні. Перші при отриманні керування, завантажуються в пам'ять і можуть діяти на відміну від нерезидентних не тільки під час роботи зараженого файла.

Stealth-віруси — фальсифікують інформацію, читаючи з диску так, що активна програма отримує невірні дані. Вірус перехоплює вектор призупинення INT 13h і поставляє зчитувальній програмі іншу інформацію, яка показує, що на диску «все в нормі». Ця технологія використовується як в файлових, так і в завантажувальних вірусах.

Ретровіруси — звичайні файлові віруси, котрі заражають антивірусні програми, знищують їх або роблять їх непрацездатними. Тому практично всі антивіруси, в першу чергу перевіряють свій розмір і контрольну суму файлів.

Multipartition—віруси — можуть вражати одночасно exe, com, boot-сектор, mother boot record, FAT і директорії. Якщо вони до того ж володіють поліморфними властивостями і елементами невидимості, то стає зрозуміло, що такі віруси — одні з найнебезпечніших.

Троянські програми (англ. Trojans) — проводять шкідливі дії замість оголошених легальних функцій або наряду з ними. Вони не спроможні на самовідтворення і передаються тільки при копіюванні користувачем.

[ред.]

Ознаки зараження вірусом

Зменшення вільної пам'яті

Уповільнення роботи комп'ютера

Затримки при виконанні програм

Незрозумілі зміни в файлах

Зміна дати модифікації файлів без причини

Незрозумілі помилки Write-protection

Помилки при інсталяції і запуску Windows

Відключення 32-розрядного допуску до диску

Неспроможність зберігати документи Word в інші каталоги, крім Template

Погана робота дисків

Файли невідомого походження

Ранні ознаки зараження дуже тяжко виявити, але коли вірус переходить в активну фазу, тоді легко помітити такі зміни:

Зникнення файлів

Форматування HDD

Неспроможність завантажити комп'ютер

Неспроможність завантажити файли

Незрозумілі системні повідомлення, звукові ефекти і т. д.

Здебільшого, все це в минулому. Зараз основні ознаки — самовільне відкривання браузером деяких сайтів (рекламного характеру), підозріло підвищений інтернет-трафік та повідомлення від друзів, що ваші листи електронної пошти до них містили вірус.

Дії вірусів можуть бути не дуже небезпечними: несподівані звукові або графічні ефекти, перезавантаження комп’ютера, зміна функцій клавіш на клавіатурі, тощо. Однак існують віруси, які можуть спричинити серйозні збої у роботі комп’ютера: псування даних на дисках, втрату програм, видалення інформації, необхідної для роботи комп’ютера, і навіть форматування жорсткого диска. Комп’ютерний вірус – це програма, однак не зовсім звичайна. Вона відрізняється від звичних програм тим, що, по-перше, запускається без відома користувача, а по-друге, після свого запуску починається само відтворюватися, тобто створювати шкідливі копії і встановляти їх у файли, системні ділянки, диски, обчислювальні мережі. Ці відмінності є основою для більшості визначень терміна «комп’ютерний вірус». На сьогоднішній день відомо понад 50 тис. комп'ютерних вірусів. Існує багато різних версій стосовно дати народження першого комп'ютерного вірусу. Однак більшість фахівців сходяться на думці, що комп'ютерні віруси, як такі, вперше з'явилися у 1986 році, хоча історично виникнення вірусів тісно пов'язане з ідеєю створення самовідтворюючих програм. Одним із "піонерів" серед комп'ютерних вірусів вважається вірус "Brain", створений пакистанським програмістом на прізвище Алві. Тільки у США цей вірус вразив понад 18 тис. комп'ютерів. На початку епохи комп'ютерних вірусів розробка вірусоподібних програм носила чисто дослідницький характер, поступово перетворюючись на відверто вороже протистояння користувачів та безвідповідальних, і навіть кримінальних "елементів". В ряді країн карне законодавство передбачає відповідальність за комп'ютерні злочини, в тому числі за створення та розповсюдження вірусів. Оскільки комп’ютерні віруси є програмами, вони можуть виявитися лише при запуску на виконання. Поки вірус не запушений, він може досить довго знаходитись на диску в «дрімаючому» стані і не завдавати ніякої шкоди. Важливо знайти вірус ще до того, як він встигне виявити себе. Це принцип роботи всіх антивірусних програм, призначених для боротьби з ними. Комп’ютерний вірус називається так завдяки своїй спроможності до самовідтворення і «розмноження». Після свого запуску вірус може створювати власні копії, тобто нові фрагменти програмного коду. Ці копії можуть не збігатися із оригіналом. Розмноження вірусу відбувається, як правило, через оперативну пам’ять комп’ютера. Скажімо, код вірусу потрапляє в пам’ять разом із завантаженим зараженим файлом і звідти починається зараження інших файлів, передусім файлів операційної системи. Через деякий час на комп'ютері починає відбуватися щось дивне: • програми перестають працювати або працюють неправильно; • на екрані з'являються зайві повідомлення і символи; • робота комп'ютера сповільнюється; • деякі файли виявляються зіпсованими; • комп'ютер повністю втрачає працездатність. 2. Класифікація комп’ютерних вірусів. Комп'ютерні віруси поділяються на первинні класи за деструктивно-класифікаційними ознаками, способами їх створення і знешкодження:

за місцезнаходженням вірусів (файлові, бутові, файлово-бутові, пакетні, мережеві, віруси в структурі файлової системи, WinWord-віруси, Windows-віруси, OS/2-віруси, Novell NеtWare-віруси, BIOS-віруси, CD-ROM-віруси);

за способом зараження середовища мешкання вірусів (резидентні, нерезидентні);

за наслідками деструктивних дій вірусів (нешкідливі, не уразливі, уразливі, дуже уразливі);

за особливостями алгоритму вірусу (stealth-віруси, worm-віруси, companion-віруси, МtЕ-віруси, DIR-віруси, driver-віруси, віруси-паразити, віруси-привиди, «троянські» програми, логічні бомби, комбіновані віруси та ін.);

за способами знешкодження вірусів (знешкоджені однією антивірусною програмою (АVО-віруси) і знешкоджені кількома антивірусними програмами або n-комплектом антивірусів (АVN-віруси);

за способом створення вірусів (створені ручними засобами розробки (Н-віруси) і створені автоматизованими засобами розробки (А-віруси).

Середовище перебування. Файлові віруси проникають у виконавчі файли. Звичайний файловий вірус, після передачі йому управління, виконує такі дії: 1. Він перевіряє ОЗУ на наявність своєї копії і інфікує пам’ять комп’ютера, якщо копія вірусу не знайдена; 2. Може виконувати додаткові функції: здійснювати які-небудь деструктивні дії, демонструвати візуальні або звукові ефекти і т.д.; 3. Поновлює оригінальний код програми; 4. Повертає управління основній програмі; Під час поновлення програми в первісному вигляді вірус використовує інформацію, що зберігається в його тілі при зараженні файлу. Це може бути довжина файлу, перші три байти в разі COM-файлу або декілька байтів заголовка в разі EXE-файлу Файлові віруси при розповсюдженні вкорінюються в початок, кінець або середину файлу. Спосіб укорінення в кінець файлу очевидний — він просто дописує своє тіло в кінець файлу. Існує кілька способів укорінення в середину файлу. Код вірусу може бути скопійований: 1. У таблицю настройки адрес (для EXE-файлів); 2. В область стека; 3. Поверх коду або даних програми (при цьому програма безповоротно пошкоджується). LAN-віруси (мережеві). Насамперед, треба враховувати велику загрозу розповсюдження вірусів по мережах. Віруси розповсюджуються від користувача до користувача при обміні програмними продуктами. Локальні мережі (LAN) широко застосовуються для спільного використання програмних пакетів, обміну програмами та даними між користувачами. Вірус найчастіше може потрапити на ПЕОМ, підключену до локальної мережі, коли користувач копіює собі файли з мережі або просто запускає програми із мережевих папок. Проте на практиці ситуація не настільки драматична, оскільки мережеві ОС надають штатні механізми захисту та розподілу користувачів. При грамотному використанні цих можливостей можна обмежити простір, в якому буде розповсюджуватись вірус, тільки робочою областю того користувача, який вніс його в систему. WinWord-віруси (макровіруси) — це досить нові віруси, які розповсюджуються з електронними документами. Перші такі віруси з’явились в 1995 р. Таке повідомлення нібито фантастичне, оскільки вірус повинен мити команди , що виконуються, а в документі міститься тільки текст та його шрифтове оформлення. Але разом з документом можуть зберігатися макрокоманди, які створюються з використанням спеціальної мови програмування WORD Basic. Ці макрокоманди фактично є програмами. Віруси, які використовують такі шляхи розповсюдження, принципово можуть бути не тільки в MS Word, а і в інших прикладаннях MS Office. Найбільш доцільною протидією від таких нових версій макровірусів є постійне оновлення своїх антивірусних програм та уважне вивчення публікацій з антивірусної тематики. Резидентні віруси — це віруси, які вкорінюють в ОС свій резидентний модуль. такі віруси, як правило, перевіряють ОЗУ на наявність своєї копії, щоб запобігти повторному зараженню системи. Відомі два способи перевірки резидентним вірусом своєї копії в ОЗУ ПЕОМ. Перший полягає в тому, що вірус вводить нову функцію деякого переривання, дія якої заключається в повернені сигнального значення. при перевірці іншим способом, вірус просто сканує пам’ять комп’ютера. ці способи можуть поєднуватись один з одним. При інфікуванні ПЕОМ, вірус може записати свою резидентну частку в будь-яке вільне місце оперативної пам’яті. При цьому об’єм оперативної пам’яті може і не змінитись, оскільки вірус розміщує резидентний модуль у вільних або мало використовуваних системних областях. Способи зараження. Існують три способи зараження EXE-файлів: 4. EXE-файл переводиться в формат COM-файлу, а потім заражується, як COM-файл; 5. У заголовку EXE-файлу значення точки входу в програму змінюється таким чином, що відразу після запуску управління переходить на вірус; 6. Точка входу не змінюється, але вірус замінює команди, які знаходяться за адресою точки входу таким чином, щоб вони передали йому керування. Бутові віруси заражують сектор завантаження або завантажувальний запис вінчестера. При інфікуванні диска вірус переносить оригінальний сектор у будь-який інший сектор диска і копіює себе в завантажувальний сектор вінчестера (або в MBR). Якщо довжина вірусу більша за довжину сектора, то в заражуваному секторі міститься перша частини вірусу, інші його частини містяться в інших секторах. Якщо ці частини розміщуються у перших вільних секторах, то ті, як правило, позначаються як збійні (точніше, сектори утворюють кластер або кластери, які позначаються як псевдозбійні кластери). У подальшому, вірус перехоплює звернення ОС до дисків і, залежно від деяких умов, інфікує їх. Віруси в структурі файлової системи — це найвитонченіші віруси, вони здатні вносити зміни в службові структури файлової системи таким чином, що вірус включається в файли, які призначені для виконання, явно не вкорінюючи в них свій код. Такі віруси використовують дуже незвичайну технологію розмноження. При цьому, усі записи в папках, що стосуються програм, модифікуються таким чином, що першим кластером програми стає кластер, який містить код вірусу. Отже, під час запуску будь-якої програми замість неї працює вірус. Першим вірусом, що використовував подібну технологію, був DIR-вірус. Stealth-віруси — це такі, що намагаються приховати свою присутність у ПЕОМ. Це вдається тому що вони працюють разом з ОС та використовують усі її стандартні функції для свого маскування. Stealth-віруси мають резидентний модуль, який постійно знаходиться в оперативній пам’яті комп’ютера. Цей модуль встановлюється під час запуску зараженої програми або при завантаженні з диску, який заражено Boot-вірусом. Маскування Stealth-вірусів спрацьовує тільки тоді, коли в ОЗУ ПЕОМ знаходиться резидентний модуль вірусу. Тому, якщо ПЕОМ завантажується з дискети, у вірусу немає ніяких шансів одержати управління, і тому Stealth-механізм не спрацьовує. Щоб досягти ще меншої вразливості, використовується комбінований метод маскування. Віруси комбінують в собі властивості не тільки Stealth-, а й поліморфних вірусів. MtE-віруси (поліморфні віруси), щоб утруднити виявлення, шифрують свій код. Кожен раз, коли вірус заражує нову програму, він зашифровує свій власний код, використовуючи новий ключ. У результаті два примірника таких вірусів можуть значно відрізнятись, навіть мати різну довжину. Якщо запускається заражена програма і вірус одержує управління, він починає розшифровувати свій код. Процедура розшифрування не може бути зашифрована, інакше вона не працюватиме, Цим користуються антивірусні програми, що використовують, як сігнатуру, код процедури розшифрування. Але зараз віруси, що самошифруються, стали доповнюватися генераторами дешифровки. Вони створюють для кожної нової копії вірусу свій унікальний розшифровщик. Два екземпляри такого вірусу не будуть мати жодного збігу послідовності коду. CD-ROM-віруси. На цей час майже основним носієм інформації стають компакт-диски. На відміну від вінчестерів і дискет, через CD-ROM вірус розповсюджується лише тоді, коли файл було інфіковано і таким записано на компакт-диск. Якщо ви не довіряєте своєму компакт-диску, то можна скопіювати заражений файл на жорсткий диск і відразу вилікувати його за допомогою антивірусу. 3. Типи антивірусних програм. Для захисту від вірусів розробляються спеціальні антивірусні програми, що дозволяють виявляти віруси, лікувати заражені файли і диски, запобігати підозрілим діям. Залежно від виконуваних функцій, серед антивірусних програм виділяють такі:

Програми-детектори. Вони поділяються на детектори, що дозволяють видаляти відомі віруси, і детектори, здатні боротися із досі невідомими вірусами. Детекторами є, наприклад, програма MS AntiVirus.

Програми-ревізори. Ці програми контролюють усі вразливі (для вірусної атаки) компоненти комп’ютера. Принцип їхньої дії полягає в тому, що вони запам’ятовують дані про стан файлів і системних ділянок дисків, а при наступних запусках – порівнюють їхній стан із вихідним. Ревізором є, наприклад, програма Adinf.

Програми-охоронці. Подібні програми резидентно розташовуються у пам’яті комп’ютера й автоматично перевіряють на наявність вірусів файли, що запускаються, і дискети, що вставляються до дисковода. При виявлені вірусу програма-охоронець може видавати попереджувальне повідомлення, а також може запобігти тим діям вірусу, які можуть призвести до його розмноження або зашкодити системі. Програма-охоронець, наприклад, програма AVP, що може виявити понад 47000 вірусів.

Антивірусні комплекси. Сучасні антивірусні програми – це комплекси, що поєднують функції детектора, ревізора й охоронця. До таких комплексів належить широко відома програмa Norton Antivirus, а також пакет AntiViral Toolcit Pro – найпопулярніший у країнах СНД, створений у Росії у лабораторії Касперського.

Фаги (поліфаги) виявляють та знешкоджують вірус (фаг) або кілька вірусів. Сучасні версії поліфагів, як правило, можуть проводити евристичний аналіз файлу, досліджуючи його на наявність коду, характерного для вірусу (додання частини однієї програми в іншу,шифрування коду тощо). Фагами є, наприклад, програми Aidstest, DrWeb.

Вакцини — це програми, які використовуються для оброблення файлів та завантажувальних секторів з метою передчасного виявлення вірусів.

Ніколи неможна бути впевненим, що на вашому комп'ютері всі віруси знешкоджено. Справа в тому, що вірус спочатку розповсюджується, і лише через деякий час для його знешкодження розробляється антивірусна програма. Крім того, багато вірусів має «інкубаційний період» - спочатку непомітно поширюються і лише через деякий час дають про себе знати.