Компьютерные вирусы и антивирусные программы.

Компьютерный вирус (КВ) – это программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом), внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной (инфицированной) программой. Подобно настоящим вирусам КВ прячутся, размножаются и ищут возможности перейти на другие ЭВМ.

Несмотря на широкую распространенность антивирусных программ, вирусы продолжают плодиться. В среднем в месяц появляется около 300 новых разновидностей.

Различные вирусы выполняют различные действия:

- выводят на экран мешающие текстовые сообщения (поздравления, политические лозунги, фразы с претензией на юмор и т.д.);

- создают звуковые эффекты (гимн, гамма, популярная мелодия);

- создают видеоэффекты (переворачивают или сдвигают экран, имитируют землетрясение, вызывают опадание букв в тексте, выводят картинки и т.д.);

- замедляют работу ЭВМ, постепенно уменьшают объем свободной оперативной памяти;

- увеличивают износ оборудования (например, головок дисководов);

- вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;

- уничтожают FAT, форматируют жесткий диск, стирают BIOS, уничтожают или изменяют данные, стирают антивирусные программы;

- осуществляют научный, технический, промышленный и финансовый шпионаж;

- выводят из строя системы защиты информации и т.д.

Симптомы вирусного заражения ЭВМ:

- замедление работы некоторых программ;

- увеличение размеров файлов (особенно выполняемых);

- появление не существовавших ранее «странных» файлов;

- уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы);

- внезапно возникающие разнообразные видео- и звуковые эффекты;

- появление сбоев в работе ОС (в т.ч. зависание);

- запись информации на диски в моменты времени, когда этого не должно происходить;

- прекращение работы или неправильная работа ранее нормально функционировавших программ.

Существует большое число различных классификаций вирусов:

1. По среде обитания:

- сетевые – распространяются по сетям;

- файловые – инфицируют исполняемые файлы с расширениями.exe,.com; к этому классу также относятся макровирусы, которые заражают неисполняемые файлы (например, в MS Word или в MS Excel);

- загрузочные – внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record - MBR); некоторые вирусы записывают свое тело в свободные секторы диска, помечая их в FAT как «плохие»;

- файлово-загрузочные – способны заражать и загрузочные секторы и файлы.

2. По способу заражения:

- резидентные – оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения программ к ОС и внедряется в них; свои деструктивные действия вирус может повторять многократно;

- нерезидентные – не заражают оперативную память и проявляют свою активность лишь однократно при запуске зараженной программы.

3. По степени опасности:

- неопасные – например, выводят на экран сообщения;

- опасные – уничтожают часть файлов на диске;

- очень опасные – самостоятельно форматируют жесткий диск.

4. По особенностям алгоритма:

- вирусы-компаньоны – создают для ехе-файлов новые файлы-спутники, имеющие то же имя, но с расширением com; вирус записывается в com-файл и никак не изменяет одноименный ехе-файл; при запуске такого файла ОС первым обнаружит и выполнит com-файл, т.е. вирус, который затем запустит и ехе-файл;

- паразитические – изменяют содержимое дисковых секторов или файлов;

- репликаторы (черви) – распространяются в сети: проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии, тем самым уменьшая пропускную способность сети и замедляя работу серверов; могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов;

- невидимки (стелс) – маскируют свое присутствие в ЭВМ, их трудно обнаружить; они перехватывают обращения ОС к пораженным файлам или секторам дисков и «подставляют» незараженные участки файлов;

- мутанты (призраки, полиморфные вирусы, полиморфики) – их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода; это достигается тем, что в программы вирусов добавляются пустые команды («мусор»), которые не изменяют алгоритм работы вируса, но затрудняют их выявление;

- макровирусы – используют возможности макроязыков, встроенных в системы обработки данных (Word, Excel);

- «Троянские кони» – маскируются под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу (например, стирают FAT), или собирают на компьютере информацию, не подлежащую разглашению; не обладают свойством самовоспроизводства.

5. По целостности:

- монолитные – программа вируса - единый блок, который можно обнаружить после инфицирования;

- распределенные – программа разделена на части, содержащие инструкции, которые указывают компьютеру, как собрать их воедино, чтобы воссоздать вирус.

Для борьбы с вирусами разрабатываются антивирусные программы. Говоря медицинским языком, эти программы могут выявлять (диагностировать), лечить (уничтожать) вирусы и делать прививку «здоровым» программам.

Виды антивирусных программ:

1. Программы- детекторы (сканеры) – рассчитаны на обнаружение конкретных вирусов. Основаны на сравнении характерной (специфической) последовательности байтов (сигнатур или масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ. Эти программы нужно регулярно обновлять, т.к. они быстро устаревают и не могут выявлять новые виды вирусов. Если программа не опознается детектором как зараженная, это еще не значит, что она «здорова». В ней может быть вирус, который не занесен в базу данных детектора.

2. Программы- доктора (фаги, дезинфекторы) – не только находят файлы, зараженные вирусом, но и лечат их, удаляя из файла тело программы-вируса. Полифаги позволяют лечить большое число вирусов. Широко распространены программы-детекторы, одновременно выполняющие и функции программ-докторов, например: AVP (автор Е. Касперский), Aidstest (Д. Лозинский), Doctor Web (И. Данилов), Norton Antivirus (Symantec Corp).

3. Программы- ревизоры – анализируют текущее состояние файлов и системных областей дисков и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяются состояние Boot-сектора, FAT, длина файлов, время их создания, атрибуты, контрольные суммы (суммирование по модулю 2 всех байтов файла). Пример такой программы – Adinf (Д. Мостовой).

4. Программы- фильтры (сторожа, мониторы) – резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия, а пользователь принимает решение о разрешении или запрещении выполнения этих действий. Фильтры контролируют следующие операции: обновление программных файлов и системной области дисков; форматирование диска; резидентное размещение программ в ОЗУ. Примером служит программа Vsafe. Она не способна обезвредить вирус. Для этого нужно использовать фаги.

5. Программы- иммунизаторы – записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной, и поэтому не производит повторное инфицирование. Эти программы менее эффективны и морально устарели.

Меры по защите ЭВМ от заражения вирусами:

- оснащение ЭВМ современными антивирусными программами и регулярное обновление их версий;

- установка программы-фильтра при работе в глобальной сети;

- проверка дискеты на наличие вирусов перед считыванием с дискет информации, записанной на других ЭВМ;

- при переносе на свой ПК файлов в архивированном виде проверка их сразу после разархивации;

- защита своих дискет от записи при работе на других ПК;

- создание архивных копий ценной информации на других носителях информации;

- не оставлять дискету в дисководе при включении или перезагрузке ПК, т.к. возможно заражение загрузочными вирусами;

- наличие аварийной загрузочной дискеты, с которой можно будет загрузиться, если система откажется сделать это обычным образом;

- при установке большого программного продукта вначале проверить все дистрибутивные файлы, а после инсталляции продукта повторно произвести контроль наличия вирусов.