Комп'ютерні віруси

|Ведение |2 | |Хто й чому пише віруси |2 | |Комп'ютерні віруси, їх властивості і класифікація |3 | | Властивості комп’ютерних вірусів |3 | | Класифікація вірусів |4 | | Завантажувальні віруси |5 | | Файлові віруси |6 | | Загрузочно-файловые віруси |6 | | Полиморфные віруси |6 | | Стелс-вирусы |7 | | Троянські коні, програмні закладання і мережні хробаки |7 | | Шляхи проникнення вірусів у комп’ютер та механізми їх |8 | |поширення | | |Ознаки появи вірусів |8 | |Методи захисту від комп’ютерних вірусів |8 | |Антивірусні програми |10 | |Укладання |14 |.

Годі нагадувати, що комп’ютери стали справжніми помічниками чоловіки й без нього вже неспроможна обійтися ні комерційна фірма, ні державна інституція. Проте у з цим особливо загострилася проблема захисту информации.

Віруси, отримали стала вельми поширеною у комп’ютерній техніці, розбурхали увесь світ. Багато користувачі комп’ютерів стурбовані чутками у тому, що з допомогою комп’ютерних вірусів зловмисники зламують мережі, грабують банки, крадуть інтелектуальну собственность…

Сьогодні масове застосування персональних комп’ютерів, на жаль, виявилося що з появою самовоспроизводящихся программ-вирусов, що перешкоджають нормальної роботі комп’ютера, що руйнують файлову структуру дисків і завдають шкоди береженої в комп’ютері информации.

Дедалі частіше засобах масової інформації з’являються повідомлення про різноманітних піратських витівки комп’ютерних хуліганів, появу все досконаліших саморозмножуваних програм. Нещодавно зараження вірусом текстових файлів вважалося абсурдом — цим вже не здивуєш. Досить поява «першої ластівки », наробила багато шуму — вірусу WinWord. Concept, який уражує документи у форматі текстового процесора Microsoft Word for Windows 6.0 і 7.0. Попри вжиті на багатьох країнах закони боротьби з комп’ютерними злочинами й розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів стає дедалі більше. Це від користувача самого персонального комп’ютера знання природі вірусів, засобах зараження вірусами та від них.

Хто й чому пише вирусы?

Отож Європа пише віруси? Основну їх масу створюють студенти і люди школярі, які щойно вивчили мову ассемблера, хочуть спробувати сили, але що неспроможні знайти їм більш гідного застосування. Тішить те що, що значної частини таких вірусів їх авторами часто вже не поширюється, і віруси кілька днів «вмирають» разом із дискетами, у яких зберігаються. Такі віруси пишуться швидше за все лише самоутверждения.

Другу групу становлять також молодики (частіше — студенти), які ще цілком оволоділи мистецтвом програмування, але вже настав вирішили присвятити себе написання та поширенню вірусів. Єдина причина, що штовхає подібних людей на написання вірусів, це комплекс неповноцінності, який поводиться в комп’ютерному хулиганстве.

З-під пера подібних «умільців» часто виходять або численні модифікації «класичних» вірусів, або віруси вкрай примітивні і з великою кількістю помилок. Значно полегшилася життя подібних вірусотворців після виходу конструкторів вірусів, з яких можна нові віруси навіть за мінімальних знаннях про операційній системи та ассемблері, і навіть взагалі маючи звідси ніякого уявлення. Їхній побут стала ще легше після появи макро-вирусов, оскільки замість складного мови Асемблер для написання макро-вирусов досить вивчити досить простий Бейсик.

Ставши старше й досвідченіше, але не подорослішавши, частина з подібних вірусотворців потрапляють у третю, найбільш небезпечну групу, що створює і запускає у світ «професійні» віруси. Ці дуже уважно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументированные мало кому відомі засоби проникнення системні області даних. «Професійні» віруси часто виконані за технологією «стелс» і (або) є полиморфик-вирусами, заражають як файли, а й завантажувальні сектора дисків, котрий іноді що їх файли Windows і OS/2.

Кілька окремо стоїть четверта група авторів вірусів — «дослідники». Ця група складається з досить кмітливих програмістів, які займаються винаходом принципово методів зараження, приховання, протидії антивирусам тощо. І саме придумують способи запровадження у нові операційні системи, конструктори вірусів і полиморфик-генераторы. Ці програмісти пишуть віруси не заради власне вірусів, а скоріш заради «дослідження» потенціалів «комп'ютерної фауны».

Часто автори подібних вірусів не запускають свої роботи у життя, але дуже активно пропагують свої ідеї через численні електронні видання, присвячені створенню вірусів. У цьому небезпека від таких «дослідницьких» вірусів не падає - потрапивши до рук «професіоналів» з третьої групи, нові театральні ідеї нас дуже швидко реалізуються у нових вирусах.

Ставлення до авторів вірусів потрійне. По-перше, всі, хто пише віруси чи сприяє їхній поширенню, є «годувальниками» антивірусної індустрії, річний оборот якої оцінюється як дві сотні мільйонів і навіть більше (у своїй варто забувати, що зменшило збитки від вірусів становлять кілька мільйонів доларів щороку й кількаразово перевищують Витрати антивірусні програми). Якщо загальна кількість вірусів до кінця 1997 року за все досягне 20.000, то неважко підрахувати, що доход від антивірусних фірм від кожної вірусу щорічно становить мінімум 10 тисяч доларів. Звісно ж, авторам вірусів не слід очікувати матеріальну винагороду: як свідчить практика, їхню самовіддану працю був і залишається безплатним. До того ж сьогодні пропозицію (нові віруси) цілком задовольняє попит (можливості антивірусних фірм з обробки нових вирусов).

По-друге, кілька шкода авторів вірусів, особливо «професіоналів». Адже, щоб написати такий вірус, необхідно: a) затратити значна частина зусиль і часу, причому вулицю значно більше, ніж потрібно здобуття права дати раду вірус занести їх у базі даних і навіть написати спеціальний антивірус; і б) не мати іншого, більш привабливого, заняття. Отже, вирусописатели — «професіонали» досить працездатні і водночас із цим томляться від неробства — ситуація дуже печальная.

І на третіх, авторів вірусів дуже подмешаны почуття нелюбові й презирства як до людей, явно і безцільно які витрачають себе на шкоду всім остальным.

Комп’ютерні віруси, їх властивості і классификация.

Властивості комп’ютерних вирусов.

Зараз застосовуються персональні комп’ютери, у яких користувач має вільний доступ всім ресурсів машини. Саме ця відкрило змога небезпеки, яка отримала назву комп’ютерного вируса.

Що таке комп’ютерний вірус? Формальне визначення цього поняття до цього часу не придумано, це і є значні сумніви, що його загалом бути дано. Численні спроби дати «сучасне» визначення вірусу не сприяли успіху. Тому ми обмежимося розглядом деяких властивостей комп’ютерних вірусів, що дозволяють них як і справу деякому певному класі программ.

Насамперед, вірус — це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про надзвичайні можливості комп’ютерних вірусів. Вірус може перевернути зображення вашому моніторі, однак може перевернути сам монітор. До легендам про вірусиубивць, «знищують операторів у вигляді виведення екран смертельної колірної гами 25-му кадром» також слід ставитися серйозно. До жалю, деякі авторитетних видань раз у раз публікують «самі свіжі новини з комп’ютерних фронтів», які за докладнішому вивченні виявляються наслідком недостатньо виразного розуміння предмета.

Вірус — програма, здатна до самовідтворення. Така здатність єдиний засобом, властивим всім типам вірусів. Та не віруси здатні до самовідтворення. Будь-яка операційна система і ще багато програм здатні власні копії. Копії ж вірусу як не зобов’язані повністю збігатися з оригіналом, але, і може взагалі з нею не збігатися! Вірус неспроможна існувати в «повну ізоляцію»: сьогодні годі уявити собі вірус, який використовує код інших програм, інформацію про файлової структурі і навіть просто імена інших програм. Причина зрозуміла: вірус повинен якимось способом забезпечити передачу собі управления.

Класифікація вирусов.

Нині відоме понад 5000 програмних вірусів, їх можна класифікувати за такими ознаками:. середовища проживання. способу зараження довкілля. впливу. особливостям алгоритма.

Залежно від довкілля віруси можна розділити на мережні, файлові, завантажувальні і файлово-загрузочные. Мережні віруси поширюються за різним комп’ютерних мережах. Файлові віруси впроваджуються головним чином виконувані модулі, т. е. в файли, мають розширення COM і EXE. Файлові віруси можуть впроваджуватися й інші типи файлів, але, зазвичай, записані таких файлах, вони отримують управління економіки й, отже, втрачають спроможність до розмноженню. Завантажувальні віруси впроваджуються у завантажувальний сектор диска (Boot-сектор) чи сектор, у якому програму завантаження системного диска (Master Boot Re-cord). Файлово-загрузочные віруси заражають як файли, і завантажувальні сектора дисков.

По способу зараження віруси діляться на резидентные і нерезидентные. Резидентный вірус при зараження (інфікуванні) комп’ютера залишає в оперативної пам’яті свою резидентную частина, що потім перехоплює звернення ОС до об'єктів зараження (файлам, завантажувальним секторам дисків тощо. п.) і впроваджується у них. Резидентные віруси перебувають у пам’яті і є активними до вимикання чи перезавантаження комп’ютера. Нерезидентные віруси не заражають пам’ять комп’ютера та є активними обмежений время.

За рівнем впливу віруси можна розділити ми такі види:. безпечні, не заважають роботі комп’ютера, але які зменшують обсяг вільної оперативної пам’яті і пам’яті на дисках, дії таких вірусів виявляється у будь-яких графічних чи звукових ефекти. небезпечні віруси, які можуть призвести до різним порушень у роботі комп’ютера. дуже небезпечні, вплив яких можуть призвести до втрати програм, знищення даних, стирання інформацією системних областях диска.

По особливостям алгоритму віруси важко класифікувати через великі розмаїття. Найпростіші віруси — паразитичні, вони змінюють вміст файлів і секторів диска і може вистачити легко виявлено і знищені. Можна відзначити вирусы-репликаторы, звані хробаками, які поширюються за комп’ютерних мережах, обчислюють адреси мережевих комп’ютерів, і записують за цими адресами свої копии.

Відомі вирусы-невидимки, звані стелс-вирусами, які дуже важко знайти й знешкодити, оскільки вони перехоплюють звернення ОС до ураженим файлам і секторам дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко знайти вирусы-мутанты, містять алгоритми шифровки-расшифровки, завдяки яким копії однієї й тієї ж вірусу немає жодної повторюваної ланцюжка байтів. Є й звані квазивирусные чи «троянські» програми, які й нездатні до самораспространению, але дуже не небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний і файлову систему дисков.

Тепер докладніше про деякі з цих групп.

Завантажувальні вирусы.

Розглянемо схему функціонування дуже простого завантажувального вірусу, заражающего дискеты.

Що відбувається, як ви включаєте комп’ютер? Насамперед управління передається програмі початковій завантаження, що зберігається на постійно запоминающем устрої (ПЗУ) тобто. ПНЗ ПЗУ.

Ця програма тестує обладнання та при успішному завершенні перевірок намагається знайти дискету в дисководу А:

Будь-яка дискета размечена на т.зв. сектори і доріжки. Сектори об'єднують у кластери, але це нас несущественно.

Серед секторів кілька службових, використовуваних операційній системою для потреб (у тих секторах що неспроможні розміщатися ваші дані). Серед службових секторів нас цікавить сектор початковій завантаження (boot-sector).

У секторі початковій завантаження зберігається інформацію про дискеті - кількість поверхонь, кількість доріжок, кількість секторів тощо. Але нас зараз цікавить не цю інформацію, а невеличка програма початковій завантаження (ПНЗ), які мають завантажити саму операційну систему і їй управление.

Отже, нормальна схема початковій завантаження следующая:

ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА.

Тепер на вірус. У завантажувальних віруси виділяють частини: голову та симбіоз т.зв. хвіст. Хвіст то, можливо пустым.

Нехай ви є чиста дискета і заражений комп’ютер, під яким ми розуміємо комп’ютер з активним резидентным вірусом. Щойно цей вірус знайде, що у дисководу з’явилася підходяща жертва — у разі не захищена від запису і ще заражена дискета, він вдається до зараженню. Заражаючи дискету, вірус виробляє такі дії:. виділяє деяку область диска і позначає її як недоступну операційній системі, можна зробити по-різному, в найпростішому і традиційному разі зайняті вірусом сектори позначаються як збійні (bad). копіює в виділену область диска свій хвоста й оригінальний (здоровий) завантажувальний сектор. заміщає програму початковій завантаження в завантажувальному секторі (теперішньому) своєї головою. організує ланцюжок передачі управління відповідно до схеме.

Отже, голова вірусу тепер першої отримує управління, вірус встановлюється на згадку про і передає управління оригінальному завантажувальному сектору. У цепочке.

ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА з’являється нове звено:

ПНЗ (ПЗУ) — ВІРУС — ПНЗ (диск) — СИСТЕМА.

Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. Причому у на відміну від дискет на вінчестері є типу завантажувальних секторів, містять програми початковій завантаження, які отримують управління. При завантаженні комп’ютера з вінчестера першої утруднює себе керування програма початковій завантаження в MBR (Master Boot Record — головна завантажувальна запис). Якщо ваша жорсткий диск розбитий сталася на кілька розділів, лише них помечен як завантажувальний (boot). Програма початковій завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початковій завантаження цього розділу. Код останньої збігаються з кодом програми початковій завантаження, котра міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються лише таблицями параметрів. Отже, на вінчестері є об'єкта атаки завантажувальних вірусів — програма початковій завантаження в MBR і яскрава програма початковій завантаження в бут-секторе завантажувального диска.

Файлові вирусы.

Розглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, що практично завжди резидентны, файлові віруси не обов’язково резидентны. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай ми маємо інфікована виконуваний файл. Після запуску такого файла вірус отримує управління, виробляє деякі дії і передає управління «хозяину».

Які самі діяння виконує вірус? Він шукає новий об'єкт для зараження — підходящий на кшталт файл, який ще заражений. Заражаючи файл, вірус впроваджується у його код, щоб отримати управління під час запуску цього файла. Крім своєю основною функції - розмноження, вірус справді може зробити щонибудь мудре (сказати, запитати, зіграти) — це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентный, він встановиться на згадку про і зможе заражати файли й проявляти інші здібності лише у час зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код — отже, зараження виконуваного файла можна знайти. Але, змінюючи код файла, вірус не обов’язково вносить інші зміни:. він не змінювати довжину файла. невикористовувані ділянки коду. зобов’язаний змінювати початок файла.

Нарешті, до файловим вірусам часто відносять віруси, які «мають деякий стосунок до файлам», але з зобов’язані впроваджуватися у тому код.

Отже, під час запуску будь-якого файла вірус отримує управління (операційна система запускає його сама), резидентно встановлюється в пам’ять і передає управління викликаного файлу.

Загрузочно-файловые вирусы.

Ми не розглядати модель загрузочно-файлового вірусу, бо ніякої нову інформацію ви у своїй не дізнаєтеся. Але тут представляється нагода коротко обговорити вкрай «популярний» останнім часом загрузочно-файловый вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані файли. Основне руйнівне дійство — шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову даванку секторів, а, зашифрувавши половину жорсткого диска, радісно повідомляє звідси. Основна проблема під час лікування цього вірусу у тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану їм информацию.

Полиморфные вирусы.

Більшість питань пов’язані з терміном «поліморфний вірус». Цей вид комп’ютерних вірусів представляється нині найнебезпечнішим. Пояснімо ж, що це такое.

Полиморфные віруси — віруси, модифікують свій код в заражених програмах в такий спосіб, що дві примірника однієї й тієї ж вірусу можуть не збігатися в жодному бите.

Такі віруси як шифрують свій код, використовуючи різні шляху шифрування, а й мають код генерації шифровщика і расшифровщика, що відрізняє їхню відмінність від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають у своїй постійний код шифрувальника і расшифровщика.

Полиморфные віруси — це віруси з самомодифицирующимися расшифровщиками. Мета такої шифрування: маючи заражений і оригінальний файли, ви однаково не зможете проаналізувати його код з допомогою звичайного дизассемблирования. Цей код зашифрований і становить безглуздий набір команд. Розшифровка виробляється самим вірусом вже безпосередньо у час виконання. У цьому можливі варіанти: може розшифрувати себе всього відразу, і може виконати такою розшифровкою «побіжно», може знову шифрувати вже які відпрацювали ділянки. Усе це робиться заради труднощі аналізу коду вируса.

Стелс-вирусы.

У ході перевірки комп’ютера антивірусні програми зчитують дані - файли й системніші області з жорстких дисків і дискет, користуючись засобами операційної системи й базової системи ввода/вывода BIOS. Ряд вірусів, після запуску залишають оперативному пам’яті комп’ютера спеціальні модулі, перехватывающие звернення програм до дискової підсистемі комп’ютера. Якщо такий модуль виявляє, що ваша програма намагається прочитати заражений файл чи системну область диска, він у ходу підміняє читаються дані, як ніби вірусу на диску нет.

Стелс-вирусы обманюють антивірусні програми розвитку й внаслідок залишаються непоміченими. Проте, існує найпростіший спосіб відключити механізм маскування стелс-вирусов. Досить завантажити комп’ютер з не зараженої системної дискети й одразу, не запускаючи інших програм з диска комп’ютера (що можуть виявитися зараженими), перевірити комп’ютер антивірусної программой.

При завантаженні з системної дискети вірус неспроможна отримати управління економіки й встановити оперативної пам’яті резидентный модуль, який реалізує стелсмеханізм. Антивірусна програма зможе прочитати інформацію, справді записану на диску, і легко знайде вирус.

Троянські коні, програмні закладання і мережні черви.

Троянський кінь — це програма, що містить у собі деяку що руйнує функцію, яка активізується в разі настання деякого умови спрацьовування. Зазвичай таких програм маскуються під якісь корисні утиліти. Віруси можуть нести у собі троянських коней чи «троянизировать «інші програми — вносити у яких руйнують функции.

«Троянські коні» є програми, реалізують крім функцій, описаних у Пророчих документації, та інших функції, пов’язані з порушенням безпеки і деструктивними діями. Відзначено випадки створення таких програм із єдиною метою полегшення поширення вірусів. Списки таких програм широко публікуються у закордонного друку. Зазвичай вони маскуються під ігрові чи розважальні програми розвитку й шкодять під гарні картинки чи музыку.

Програмні закладання також є деяку функцію, наносящую збитки ЗС, але це функція, навпаки, намагається бути як і непомітнішою, т.к. чим більше програма він не викликатиме підозр, тим довше закладання зможе работать.

Якщо віруси й «троянські коні» завдають шкоди у вигляді лавиноподібного самоорганізованого саморазмножения чи явного руйнації, то основна функція вірусів типу «хробак», які у комп’ютерних мережах, — зламування атакуемой системи, тобто. подолання захисту з порушення безпеки і целостности.

У 80% комп’ютерних злочинів, розслідуваних ФБР, «зломщики «пробираються у атакуемую систему через глобальну мережу Internet. Коли такі спроба вдається, майбутнє компанії, створення якої пішли роки, може висунути під загрозу за якісь секунды.

Цей процес відбувається то, можливо автоматизовано з допомогою вірусу, званого мережевий червь.

Хробаками називають віруси, які поширюються за глобальним мереж, вражаючи цілі системи, а чи не окремі програми. Це найбільш небезпечного вигляду вірусів, оскільки об'єктами нападу цьому випадку стають інформаційні державного масштабу. З появою глобальної мережі Internet цей вид порушення безпеки представляє найбільшу загрозу, т. до. то будь-якої миті може піддатися кожній із 40 мільйонів комп’ютерів, підключених до цієї сети.

Шляхи проникнення вірусів у комп’ютер та механізм розподілу вірусних программ.

Основними шляхами проникнення вірусів у комп’ютер є знімні диски (гнучкі і лазерні), і навіть комп’ютерні мережі. Зараження жорсткого диска вірусами може статися за завантаженні програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу Проте й перезавантажили комп’ютер, у своїй дискета може це бути й не системної. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп’ютера та, наприклад, прочитали її оглавление.

Вірус, зазвичай, впроваджується у робочу програму в такий спосіб, щоб у її запуску управління спочатку передалося йому тільки після виконання усіх її команд знову повернулося до робочої програмі. Отримавши доступом до управлінню, вірус, передусім, переписує саму себе до іншої робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлов.

Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файлы.

Після зараження програми вірус може виконати якусь диверсію, дуже серйозну, ніж привернути увагу. І, нарешті, не забуває повернути управління тієї програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус в таку. Отже, заразиться все програмне обеспечение.

Ознаки появи вирусов.

При зараження комп’ютера вірусом дуже важливо його знайти. І тому слід знайомитися з основних ознаках прояви вірусів. До них віднести такі:. припинення роботи, чи неправильна робота раніше успішно функционировавших програм. повільна робота комп’ютера. неможливість завантаження ОС. зникнення файлів і каталогів чи спотворення їх вмісту. зміна дати й часу модифікації файлів. зміна розмірів файлів. несподіване значне збільшення кількості файлів на диску. істотне зменшення розміру вільної оперативної пам’яті. висновок на екран непередбачених повідомлень чи вірогідних зображень. подача непередбачених звукових сигналів. часті зависання і збої у роботі компьютера.

Слід зазначити, що названі вище явища необов’язково викликаються присутністю вірусу, а може бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану компьютера.

Методи захисту від комп’ютерних вирусов.

Хоч би яким ні вірус, користувачеві треба зазначити основні методи захисту від комп’ютерних вирусов.

Для захисту від вірусів можна використовувати:. спільні кошти захисту, які корисні й як і страховка від фізичного псування дисків, неправильно працюючих програм чи хибних дій користувача;. профілактичних заходів, дозволяють зменшити ймовірність зараження вірусом;. спеціалізовані програми захисту від вирусов.

Загальні засоби захисту інформації корисні як захисту від вірусів. Є дві основні різновиду цих коштів:. копіювання інформації - створення копій файлів і системних областей дисків;. розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захисту від змін програм, тож даних вірусами, неправильно які працюють програмами та хибними діями пользователей.

Попри те що, що спільні кошти захисту дуже важливі для захисту від вірусів, все-таки їх недостатньо. Необхідно врахувати і застосування спеціалізованих програм захисту від вірусів. Ці програми можна розділити сталася на кілька видів: детектори, доктора (фаги), ревізори, доктора-ревизоры, фільтри і вакцини (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ дозволяють виявляти файли, заражені однією з кількох відомих вірусів. Ці програми перевіряють, чи є в файлах на зазначеному користувачем диску специфічна для цього вірусу комбінація байтів. За її виявленні в якомусь файлі на екран виводиться відповідне повідомлення. Багато детектори мають режими лікування чи знищення заражених файлів. Слід сказати, що программы-детекторы можуть виявляти ті віруси, що їй «відомі «. Деякі программы-детекторы можуть налаштовувати налаштувалася на нові типи вірусів, їм необхідні лише вказати комбінації байтів, властиві цим вірусам. Проте він мение неможливо розробити цю програму, яка б виявляти будь-який заздалегідь невідомий вирус.

Отже, речей, що ваша програма не орієнтується детекторами як заражена, годі було, що вона здорова — у ній можуть сидіти який-небудь новий вірус чи злегка модифікована версія старого вірусу, невідомі программам-детекторам.

Багато программы-детекторы не вміють виявляти зараження «невидимими «вірусами, якщо такий вірус активний у пам’яті комп’ютера. Річ у тім, що з читання диска вони використовують функції DOS, що перехоплюються вірусом, який свідчить, що це добре. Щоправда детектори намагаються виявити вірус шляхом перегляду оперативної пам’яті, але проти деяких «хитрих «вірусів це допомагає. Отож надійний діагноз программы-детекторы дають лише за мінімального завантаження DOS з «чистої «, захищеної від записи дискети, у своїй копія программы-детектора повинен бути запущена з цим дискеты.

Деякі детектори вміють ловити «невидимі «віруси, навіть коли вони активні. І тому вони читають диск, не використовуючи виклики DOS. Щоправда, цей метод не усім дисководах.

Більшість программ-детекторов мають функцію «доктора », тобто. вони намагаються повернути заражені файли або області диска у тому вихідне стан. Ті файли, які вдалося відновити, зазвичай, робляться непрацездатними чи удаляются.

Більшість программ-докторов вміють «лікувати «тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Та деякі програми можуть навчатися як способам виявлення, а й способам лікування нових вирусов.

ПРОГРАММЫ-РЕВИЗОРЫ мають стадії роботи. Спочатку вони запам’ятовують інформацію про стані програм, тож системних областей дисків (завантажувального сектори й сектори із таблицею розбивки жорсткого диска). Передбачається, що цей момент програми розвитку й системні області дисків не заражені. Після цього з допомогою программы-ревизора можна у будь-якій момент порівняти стан програм, тож системних областей дисків з вихідним. Про виявлених невідповідностях повідомляється пользователю.

Щоб перевірка справжнього стану програм, тож дисків відбувалася за кожної завантаженні ОС, необхідно включити команду запуску программы-ревизора в командний файл AUTOEXEC.BAT. Це дає змоги виявити зараження комп’ютерним вірусом, коли він ще я не встиг завдати великого шкоди. Понад те, той самий программа-ревизор зможе знайти пошкоджені вірусом файлы.

Багато программы-ревизоры є досить «інтелектуальними «- вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, змін, внесених вірусом, і піднімають удаваної тривоги. Річ у тім, що віруси зазвичай змінюють файли дуже специфічним способом мислення й виробляють однакові зміни у різних програмних файлах. Зрозуміло, що у нормальної ситуації такі зміни практично будь-коли зустрічаються, тому программа-ревизор, зафіксувавши факт цих змін, можна з упевненістю повідомити, що їх викликала саме вирусом.

Інші програми часто використовують різні півзаходи — намагаються знайти вірус оперативному пам’яті, вимагають виклики з першого рядки файла AUTOEXEC. BAT, сподіваючись працювати на «чистому «комп'ютері, тощо. На жаль, проти деяких «хитрих «вірусів усе це бесполезно.

Для перевірки того і не чи змінився файл, деякі программы-ревизоры перевіряють довжину файла. Але це перевірка недостатня — деякі віруси не змінюють довжину заражених файлів. Більше надійна перевірка — прочитати весь файл і обчислити його контрольну суму. Змінити файл те щоб його контрольна сума не змінилася, практично невозможно.

Останнім часом з’явилися дуже корисні гібриди ревізорів і докторів, тобто. ДОКТОРА-РЕВИЗОРЫ, — програми, що виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично була повернути їх у початковий стан. Такі програми може бути значно більше універсальними, ніж программы-доктора, оскільки під час лікування вони використовують заздалегідь збережену інформацію про стан файлів і областей дисків. Це дозволяє йому вилікувати файли навіть від вірусів, які було створено на даний момент написання программы.

Але можуть лікувати немає від всіх вірусів, лише від, які використовують «стандартні «, відомі на даний момент написання програми, механізми зараження файлов.

Є також ПРОГРАММЫ-ФИЛЬТРЫ, які розташовуються резидентно в оперативної пам’яті комп’ютера та перехоплюють звертання до операційній системі, що використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про неї користувача. Користувач розв’яже чи заборонити виконання відповідної операции.

Деякі программы-фильтры не «ловлять «підозрілі дії, а перевіряють викликані виконання програми, на наявність вірусів. Це викликає уповільнення роботи компьютера.

Проте переваги використання программ-фильтров дуже великі - вказують знайти багато віруси самісінькому ранній стадії, коли вірус ще встиг розмножитися і щось зіпсувати. Тим самим було можна звести втрати від вірусу до минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, чи ИММУНИЗАТОРЫ, модифікують програми розвитку й диски в такий спосіб, що це віддзеркалюється в роботі програм, але вона вірус, від якої виробляється вакцинація, вважає ці програми чи диски вже зараженими. Ці програми вкрай неэффективны.

Антивірусні программы.

Отже, що таке антивірус? Чомусь багато хто вважає, що антивірус може знайти будь-який вірус, тобто, запустивши антивірусну програму чи монітор, можна бути абсолютно впевненим у тому надійності. Така думка ні правильна. Річ у тім, що антивірус — це теж іде програма, звісно, написана професіоналом. Але це програми здатні розпізнавати і знищувати не лише відомі віруси. Тобто антивірус проти конкретного вірусу може бути написаний в тому разі, коли в програміста є у наявності хоча б тільки примірник цього. Отут і йде ця нескінченна війна" між авторами вірусів і антивірусів, щоправда, перших у нашій країні чомусь більше, ніж других. Та і в творців антивірусів є перевагу! Річ у тім, що є дуже багато вірусів, алгоритм яких практично скопійовано з алгоритму інших вірусів. Як правило, такі варіації створюють непрофесійні програмісти, котрі за якихось причин вирішили написати вірус. Для боротьби з цими «копіями «придумано нову зброю — евристичні аналізатори. З їхньою допомогою антивірус здатні отримувати подібні аналоги відомих вірусів, повідомляючи користувачеві, що він, схоже, завівся вірус. Природно, надійність евристичного аналізатора не 100%, проте його коефіцієнт корисної дії більше 0,5. Отже, у цій інформаційної війни, як, втім, в будь-якій інший, залишаються найсильніші. Віруси, які розпізнаються антивірусними детекторами, здатні написати лише найбільш побачити дослідні та кваліфіковані программисты.

Отже, на 100% захисту від вірусів практично неможливо (мається на увазі, що користувач змінюється дискетами з і грає у гри, і навіть отримує інформацію з джерел, приміром, із мереж). Якщо ж ми вносити інформацію в комп’ютер ззовні, заразитися вірусом неможливо — не родится.

DOCTOR WEB.

Останнім часом різко зростає популярність антивірусної програми — Doctor Web. Dr. Web належить до класу детекторів — докторів, має так званий «евристичний аналізатор «- алгоритм, дозволяє виявляти невідомі віруси. «Лікувальна павутиння », як перекладається з англійського назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вирусов-мутантов. Останні при розмноженні модифікують своє тіло отже іншого жодної характерною ланцюжка байт, котра була присутня в вихідної версії вируса.

Управління режимами здійснюється з допомогою ключів. Користувач може вказати програмі, тестувати як усе диск, і окремі підкаталоги чи групи файлів, або ж відмовитися від перевірки дисків і тестувати лише оперативну пам’ять. Натомість можна тестувати або тільки базову пам’ять, або, ще й, ще й розширену (вказується з допомогою ключа /H). Doctor Web може створювати звіт на роботу (ключ /P), завантажувати знакогенератор Кирилиці (ключ /R), підтримує роботу з программно-аппаратным комплексом Sheriff (ключ /Z).

Але, звісно, головною особливістю «Лікувальної павутиння «служить наявність евристичного аналізатора, який підключається ключем /P.S. Балансу між швидкістю і якістю можна домогтися, вказавши ключу рівень евристичного аналізу: 0 — мінімальний, 1 — оптимальний, 2 — максимальний; у своїй, природно, швидкість зменшується паралельно зі збільшенням якості. До до того ж Dr. Web дозволяє тестувати файли, вакциновані CPAV, і навіть упаковані LZEXE, PKLITE, DIET. І тому слід зазначити ключ /U (при цьому розпакування файлів проведуть на поточному устрої) чи /U диск: (де диск: — пристрій, де буде здійснюватися розпакування), якщо дискета, з якою запущено Doctor Web захищена від записи. Багато програм упаковані у такий спосіб, хоча користувач може і підозрювати звідси. Якщо ключ /U не встановлено, то Doctor Web може пропустити вірус, заліз в запаковану программу.

Важливою функцією є контроль зараження тестируемых файлів резидентным вірусом (ключ /V). При скануванні пам’яті немає стовідсоткової гарантії, що «Лікувальна павутиння «знайде все віруси, які перебувають там. Отож, при завданні функції /V Dr. Web намагається перешкодити які залишилися резидентным вірусам, заразити тестируемые файлы.

Тестування вінчестера Dr. Web-ом займає багато місця часу, тому кожен користувач може ми собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше (з опцією /S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті перебуває у архіві (а останнє час програми розвитку й дані переносяться з машини на машину лише у такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують своєї продукції), слід розпакувати їх у окремий каталог на жорсткому диску відразу ж, одразу ж, запустити Dr. Web, поставивши йому як параметра замість імені диска повний шлях до цього подкаталогу. І все-таки потрібно б разів у два тижні виробляти повну перевірку «вінчестера «на віруси із завданням за максимальний рівень евристичного анализа.

При початковому тестуванні годі вирішувати програмі лікувати файли, у яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, затверджена антивирусе за шаблон може зіткнутися здорової програмі. Якщо з завершенні тестування Dr. Web видасть повідомлення у тому, що знайшов віруси, потрібно запустити його з опцією /P (Якщо ця опція була зазначена) у тому, щоб подивитися, який файл заражений. Після цього необхідно скопіювати файл на дискету чи електронний диск і спробувати видалити, вказавши «Лікувальної павутинні «ключ /F.

ADINF.

(Advanced Diskinfoscope).

ADinf належить до класу программ-ревизоров. Антивірус має високий швидкість роботи, здатний успішно протистояти вірусам, які у пам’яті. Він дає змогу контролювати диск, читаючи його за секторам через BIOS і використовуючи системні переривання DOS, що може перехопити вирус.

Для лікування заражённых файлів застосовується модуль ADinf Cure Module, не входить у пакет ADinf і поставляющийся окремо. Принцип роботи модуля — збереження невеличкий бази даних, яка описує контрольовані файли. Працюючи спільно, ці програми дозволяють знайти й видалити близько 97% файлових вірусів і 100% вірусів у завантажувальному секторі. До прикладу, гучний вірус SatanBug був легко виявлено, і заражённые їм файли автоматично відновлено. Причому, навіть ті користувачі, які придбали ADinf і ADinf Cure Module кілька місяців до появи цього, змогли легко від цього избавиться.

На відміну з інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, защищённой від записи дискети. При завантаженні з вінчестера надійність захисту не уменьшается.

ADinf має добре виконаний дружній інтерфейс, який реалізований у графічному режимі. Програма працює безпосередньо з видеопамятью, минаючи BIOS, у своїй підтримуються все графічні адаптери. Наявність великої кількості ключів дозволяє користувачеві створити максимально зручну йому конфігурацію системи. Можна встановити, що саме треба контролювати: файли із наперед заданими розширеннями, завантажувальні сектора, наявність збійних кластерів, нові файли на наявність Stealth-вирусов, файли зі списку незмінних тощо. З власного бажанню користувач може заборонити перевіряти деякі каталоги (це потрібно, якщо каталоги є робітниками і над ними постійно відбуваються зміни). Є можливість змінювати спосіб доступу до диска (BIOS, Int13h чи Int25h/26h), редагувати список розширень перевірених файлів, і навіть призначити кожному розширенню власний вьюер, з допомогою якого буде проглядатися файли з цим розширенням. У традиціях сучасного програмного забезпечення реалізована роботу з мишею. Хоча це й вся продукція фірми «ДиалогНаука », ADinf підтримує програмноапаратний комплекс Sheriff.

При інсталяції ADinf до системи є можливість змінити ім'я основного файла ADINF. EXE й ім'я таблиць, у своїй користувач може поставити будь-яке ім'я. Це дуже корисна функція, позаяк у останнім часом з’явилося багато вірусів, «охотящихся «за антивирусами (наприклад, є вірус, який змінює програму Aidstest що вона замість заставки фірми «ДиалогНаука «пише: «Лозинський — пень »), зокрема і поза ADinf.

Корисною функцією є можливість роботи з DOS, виходячи з програми. Це корисно, коли не треба запустити зовнішній антивірус на лікування файла, якщо в користувача немає лікуючого блоку ADinf Cure Module.

Ще один цікавий функція — заборона роботи і системи при виявленні змін диску. Ця функція корисна, коли, використовуючи терміналами працюють користувачі, які мають ще великого досвіду зі спілкуванням з комп’ютером. Такі користувачі, це через незнання чи з халатності, можуть проігнорувати повідомлення ADinf та продовжити роботу, як у що ж не бувало, що може спричинити до важким последствиям.

Якщо ж встановлено ключStop в рядку виклику Adinf AUTOEXEC. BAT, то, при виявленні змін диску програма зажадає покликати системного програміста, обслуговуючого даний термінал, і якщо користувач натисне ESC чи ENTER, то система перезагрузится і всі повториться снова.

Принцип роботи ADinf грунтується зберігається в таблиці копії MASTERBOOT і BOOT секторів, список номерів збійних кластерів, схему дерева каталогів і інформацію про контрольованих файлах. З іншого боку, програма запам’ятовує і кожному запуску перевіряє, посутньо не змінився чи доступний DOS обсяг оперативної пам’яті (що трапляється при зараження більшістю завантажувальних вірусів), кількість встановлених вінчестерів, таблиці параметрів вінчестера у сфері змінних BIOS.

За першого запуску програма запам’ятовує обсяг оперативної пам’яті, знаходить і запам’ятовує адресу оброблювача переривання Int 13h в BIOS, який використовуватиметься попри всі наступних перевірках, і будує таблиці для перевірених дисків. У цьому перевіряється, показував чи вектор переривання 13h в BIOS перед завантаженням DOS.

При наступних запусках ADinf перевіряє обсяг оперативної пам’яті, доступною DOS, перемінні BIOS, завантажувальні сектора, список номерів збійних кластерів (бо окремі віруси, записавшись в кластер, позначають його, як сбойный, щоб їх затёрли інші дані, і навіть не виявили примітивні антивіруси). До того ж антивірус шукає знову створені і знищені підкаталоги, нові, віддалені, перейменовані, перемещённые і змінилися файли (перевіряється зміна довжини і контрольної суми). Якщо ADinf знайде, що, змінився файл зі списку незмінних, або у файлі відбулися зміни без зміни дати й часу, і навіть наявність в файла дивній дати (число більше 31, місяць більше 12 чи рік довший поточного) або часі (хвилин більше 59, годин більше 23 чи секунд більше 59), він видасть попередження у тому, що можна зараження вирусом.

Якщо виявлено зміни BOOT-секторов, можна як діалогу порівняти системні таблиці, хто був доі після зміни, і з бажанню відновити колишній сектор. Після поновлення змінений сектор зберігається у файлі на диску на подальше аналізу. Нові збійні кластери (вірніше інформації про неї в FAT) можуть з’явитися після запуску будь-якої утиліти, лечащей диск (наприклад, NDD) чи завдяки діям вірусу. Якщо Adinf видав повідомлення, а користувач не запускала ніяких подібних утиліт, то, швидше за все в комп’ютер видерся вірус. При отримання такої повідомлення слід продовжити перевірку, уважно стежачи над усіма повідомленнями про зміни файлів і завантажувальних секторів. Якщо системі справді вірус, то такі повідомлення не змусять на себе довго чекати (бо коли її вірусу перебуватиме у «сбойном «кластері, йому будь-коли передасться управление).

Після перевірки ADinf видає зведену таблицю, сообщающую про змінах на диску. По таблиці можна переміщатися стрілками і переглядати докладну інформацію, натиснувши ENTER на сюжеті, який пункті. Існує можливість початку кожному пункту з допомогою «швидких «клавіш. Змінилися файли можна переглянути у «класичному режимі (шестнадцатеричный скинути / ASCII-коды) з допомогою вмонтованого вьюера, котрий читає диск через BIOS. Можна ще скористатися зовнішнім вьюером, попередньо вказавши щодо нього шлях. Залучивши зовнішній редактор, можна відредагувати змінився файл.

Але не зовсім звично виглядає форма, у якій ADinf повідомляє про виявлених підозрілих змінах: замість видачі повідомлення про конкретних змінах виводить червоне вікно з переліком всіх можливих і позначає галочкою пункти, відповідні змін, що стався в сьогодні. Якщо після отримання такого повідомлення натиснути ESC, то програма запросить про подальші дії: оновити інформацію про диску, не оновлювати її, лікувати (за наявності лікуючого модуля ADinf Cure Module) чи записати протокол. Для лікування можна скористатися зовнішнім антивирусом, завантаживши його з вікна на роботи з DOS, яке викликається комбінацією клавіш ALT+V.

Якщо не ставляться до розряду підозрілих, то після видачі таблиці змін можна натиснути ESC. У цьому програма запитає, чи потрібно оновлювати даних про диску в таблицях або потрібно, і навіть чи потрібно створювати файл в звіті про виконану роботу. Після вибору однієї з пунктів програма виконує затребованное дію і завершує свою работу.

Заключение

.

Жоден тип антивірусних програм окремо це не дає повної захисту від вірусів. Кращою стратегією захисту від вірусів є багаторівнева, «ешелонована «оборона. Засобам розвідки в «обороні «від вірусів відповідають программы-детекторы, дозволяють перевіряти знову отримане програмне забезпечення на наявність вірусів. На передньому краї оборони перебувають программы-фильтры. Ці програми можуть першими повідомити на роботу вірусу й не допустити зараження програм, тож дисків. Другий ешелон оборони становлять программы-ревизоры, програмидоктори наук і доктора-ревизоры. Найглибший ешелон оборони — це кошти розмежування доступу. Не дозволяють вірусам й невірно працюючим програмам, навіть якщо вони проникли в комп’ютер, зіпсувати важливі дані. Що буде завтра?

Чого від комп’ютерного андеґраунду у наступні роки? Швидше всього основні проблеми залишаться: 1) полиморфик-DOS-вирусы, яких додадуться проблеми поліморфізму в макро-вирусах і віруси для Windows і OS/2; 2) макро-вирусы, які знаходити дедалі нові прийоми зараження і приховання свого коду у системі; 3) мережні віруси, використовують для свого поширення протоколи і команди комп’ютерних сетей.

Пункт 3) поки що лише з ранній стадії - віруси роблять перші боязкі спроби самостійно поширювати свій код по MS Mail і користуючись ftp, проте ще впереди.

Ймовірно, що будуть інші проблеми, які принесуть чимало неприємностей користувачам і неурочной роботи розробникам антивірусних програм. Проте всі проблеми, коли-небудь встававшие історія розвитку вірусів, були досить успішно вирішені. Скоріш за все ж успішно вирішуватимуться і залежать майбутні проблеми, поки що тільки витающие ідеями в збудженому розумі вірусотворців. Що буде послезавтра?

Що буде післязавтра і як взагалі існуватимуть віруси? Щоб відповісти на запитання слід визначити, що й яких умовах водяться вирусы.

Основна живильне середовище масової поширення вірусу в ЕОМ зобов’язана утримувати такі необхідні компоненти: незахищеність ОС (ОС); наявність різноманітною та досить повної документації по OC і «залозу»; стала вельми поширеною цієї ОС і їх «железа».

Слід зазначити, що правове поняття ОС досить еластичне. Наприклад, для макро-вирусов операційній системою є редактори Word і Excel, оскільки редактори, а чи не Windows надають макро-вирусам (тобто. програмам на Бейсике) необхідні ресурси, і функции.

Якщо операційній системі присутні елементи захисту, як це робиться практично переважають у всіх ОС, вірусу буде важко вразити об'єкти нападу, оскільки цього доведеться (принаймні) зламати систему паролів і. Через війну робота, необхідна для написання вірусу, виявиться під силу лише професіоналам високого рівня (вірус Морріса для VAX — приклад цьому). У професіоналів, мій погляд, рівень порядності все-таки набагато вища, ніж у середовищі споживачів їх продукції, і, отже, число створених і запущених у життя вірусів ще більше сократится.

Для виробництва вірусів також потрібен і достатню кількість інформації про середовищі їхнього проживання. Який відсоток числа системних програмістів, працівників мини-ЭВМ в операционках UNIX, VMS тощо. знає систему управління процесами оперативному пам’яті, повні формати виконуваних файлів і завантажувальних записів на диску? (тобто. інформацію, необхідну створення вірусу). І отже, який від своїх вересня стані виростити справжнього повноцінного звіра? Інший приклад — операційна система Novell NetWare, досить популярна, але дуже слабко документована. Через війну я поки що невідомо жодного вірусу, уразив що їх файли Novell NetWare, попри численні обіцянки вірусотворців випустити такий вірус до найближчого время.

Широке распространене ОС як необхідна умова для вірусного: на 1000 програмістів лише 100 здатні написати вірус, з цього сотню припадає одна, який згадану ідею доведе до завершення. Тепер отриману пропорцію множимо на число тисяч програмістів — й одержуємо результат: з одного боку 15.000 і навіть 20.000 повністю IBM-сумісних вірусів, з інший — кілька сотень вірусів для Apple-Macintosh. Така ж невідповідність пропорцій простежується й у порівнянні загальної кількості вірусів для Windows (кілька десятків) й у OS/2 (кілька штук).

Наведених вище трьом умовам «розквіту» комп’ютерних вірусів задовольняють відразу кількох OS (включаючи редактори), вироблених фірмою Microsoft (DOS, Windows, Win95/NT і Word, Excel, Office97), що дозволяє благодатний грунт в існуванні найрізноманітніших файлових і макровірусів. Задовольняють наведених умовам ще й стандарти розбивки жорстких дисків. Результат — різноманітні варіанти завантажувальних вірусів, вражаючих систему в останній момент її загрузки.

А, щоб прикинути тривалість навали комп’ютерних вірусів у будь-якої OC, треба оцінити час співіснування наведених вище необхідних условий.

Відповідно до вищезазначеного можна зробити єдиний висновок: віруси успішно проникали в повсякденну комп’ютерну життя й залишати їх у найближчому майбутньому не собираются.