В настоящее время компьютерные вирусы получили очень широкое распространение, и антивирусная борьба доставляет рядовому пользователю большую «головную боль». Поэтому важно понимать способы распространения и характер проявления вирусов, а главное, научиться грамотно применять антивирусные программы для эффективной борьбы с вирусами.
Вирус представляет собой самовоспроизводящуюся программу, - которая способна внедрять свои копии в файлы, загрузочные сектора дисков и документы; приводить к нарушению нормального функционирования компьютера. Копии вирусной программы также сохраняют способность дальнейшего распространения.
Вирусы принято классифицировать по следующим признакам:
По среде обитания вирусы разделяют на файловые, загрузочные, макровирусы и сетевые.
Файловые вирусы внедряются в исполняемые файлы
и обычно активизируются при их запуске. При запуске зараженных программ
вирус попадает в ОП,
остается там и
заражает другие файлы. Вплоть до момента выключения компа или перезагрузки
ОС.
Файловые вирусы не могут заразить файлы данных (звук, изображение)
Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор
системного загрузчика жесткого диска.
Макровирусы заражают файлы документов Word и Excel. Макровирусы являются
фактически макрокомандами (макросами), которые встраиваются в документ.
Сетевые вирусы распространяются по компьютерной сети.
Существуют также файлово-загрузочные вирусы, которые заражают файлы
и загрузочные секторы.
Способ заражения среды обитания зависит от самой среды.
В частности, тело файлового вируса может при заражении размещаться в конце,
начале, середине или хвостовой (свободной) части последнего кластера файла.
Наиболее просто реализуется внедрение вируса в конец файла типа com. Наиболее
сложна имплантация вируса в середину файла, поскольку для этого должна
быть известна структура заражаемого файла, чтобы можно было внедриться,
к примеру,
в область стека.
При внедрении загрузочного вируса (ввиду малых размеров среды обитания)
используется размещение головы тела вместо загрузочного сектора диска или
сектора системного
загрузчика, а хвост вируса и следующий за ним загрузочный сектор размещаются
в других кластерах или секторах.
По способу активации вирусы подразделяют на резидентные и нерезидентные.
Резидентный вирус при заражении оставляет в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения — файлам, загрузочным секторам и т. п., и внедряется в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы являются активными ограниченное время и активизируются
в определенные моменты, например, при запуске зараженных выполняемых программ
или при обработке документов текстовым процессором. Некоторые нерезидентные
вирусы оставляют в оперативной памяти небольшие резидентные программы.
По деструктивным возможностям вирусы разделяют на безвредные, неопасные,
опасные и очень опасные.
Безвредные вирусы проявляются только в том, что уменьшают объем памяти на
диске в результате своего распространения.
Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые
и другие эффекты.
Опасные вирусы могут привести к нарушениям нормальной работы компьютера,
например к зависанию или к неправильной печати документа.
Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию
информации в системных областях памяти и даже приводить к выходу из строя
движущихся частей жесткого диска при вводе в резонанс.
По особенностям алгоритмов различают следующие вирусы: спутники, черви или репликаторы, паразитические, студенческие, невидимки или стелс-вирусы, призраки или мутанты.
Вирусы-спутники файлы не изменяют, а для выполнимых программ (ехе) создают
одноименные программы типа com, которые при выполнении исходной программы запускаются
первыми, а затем передают управление исходной выполняемой программе.
Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых
компьютеров и создают там свои копии.
Паразитические вирусы при распространении меняют содержимое дисковых секторов
и файлов и, как следствие, легко обнаруживаются.
Студенческие вирусы представляют собой простейшие легко обнаруживаемые вирусы.
Стелс-вирусы (название происходит от STEALTH — названия проекта создания самолетов-невидимок)
перехватывают обращение операционной системы к пораженным файлам и секторам
дисков и подставляют незараженные участки диска, затрудняя тем самым их обнаружение.
Вирусы-призраки представляют собой трудно обнаружимые вирусы, которые имеют
зашифрованное с помощью алгоритмов шифровки-расшифровки тело вируса, благодаря
чему две копии одного вируса не имеют одинаковых участков кода (сигнатур).
Антивирусными называются программы, предназначенные для обнаружения и удаления компьютерных вирусов и защиты данных от разрушения. Различают следующие разновидности антивирусных программ:
Фильтр представляет собой резидентную программу которая контролирует опасные действия, характерные для вирусных программ, и запрашивает подтверждение на их выполнение. К таким действиям относятся следующие:
Достоинством программ-фильтров является их постоянное отслеживание опасных
действий, повышающее вероятность обнаружения вирусов на ранней стадии
их развития. С другой стороны, это же является и недостатком, так как приводит
к отвлечению
пользователя от основной работы для подтверждения запросов на выполнение
подозрительных операций.
Детекторы лишь обеспечивают поиск и обнаружение вирусов в оперативной
памяти и на внешних носителях. Различают детекторы универсальные и специализированные.
Универсальные детекторы в своей работе используют проверку неизменности
файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток
универсальных
детекторов связан с невозможностью определения причин искажения файлов.
Специализированные детекторы выполняют поиск известных вирусов по их
сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов
состоит в том,
что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.
Доктором называют антивирусную программу, позволяющую обнаруживать и
обезвреживать вирусы. При обезвреживании вирусов среда обитания может
восстанавливаться
или не восстанавливаться Программы-доктора, позволяющие отыскивать и
обезвреживать большое число вирусов, называют полифагами. К их числу
принадлежат получившие
широкое распространение программы Aidstest, Doctor Web и Norton AntiVirus.
Ревизор представляет собой программу, запоминающую исходное состояние
программ,
каталогов и системных областей и периодически сравнивающую текущее состояние
с исходным. Сравнение может выполняться по ряду параметров, таких как
длина и контрольная сумма файла, дата и время изменения и т. п. Достоинством
ревизоров является их способность обнаруживать стелс-вирусы н вносимые
вирусами изменения
в программы. К числу ревизоров относится хорошо известная программа ADinf.
Иммунизатор представляет собой резидентную программу, предназначенную
для предотвращения заражения рядом известных вирусов путем их вакцинации.
Суть
вакцинации заключается
в модификации программ или диска таким образом, чтобы это не отражалось
на нормальном выполнении программ и то же время вирусы воспринимали их
как уже
зараженные и поэтому не пытались внедриться. Существенным недостатком
таких программ является их ограниченные возможности по предотвращению
заражения
от большого числа разнообразных вирусов.
Среди широкого множества антивирусных программ у отечественного пользователя
наибольшую популярность приобрели программы-полифагн Aidstest и Doctor
Web, входящие в состав комплекта АО «Диалог-Наука». Причем предпочтение
все в
большей степени отдается программе Doctor Web, позволяющей обнаруживать
и обезвреживать
вирусы-мутанты, с которыми Aidstest справиться не в состоянии. Однако
названные программы работают на разных наборах вирусов и дублирования
проверки не
происходит, поэтому для надежности целесообразно использовать их совместно.
В состав
комплекта АО «Диалог-Наука» входят также ревизор диска ADinf и лечащий
блок ADinf Cure
Module.
Определенным недостатком применения программ Aidstest и Doctor Web
является необходимость их принудительного запуска для проведения антивирусной
проверки дисков и оперативной памяти компьютера. В этом смысле большие
гарантии
и удобства предоставляет использование программы-полифага Norton AntiVirus,
которая может
быть установлена резидентно. По своим возможностям обнаружения вирусов
она
сопоставима с программой Doctor Web. Определенными накладными расходами
резидентной установки программы Norton AntiVirus является естественное
замедление в работе
компьютера.
Программа Doctor Web предназначена для борьбы с полиморфными вирусами,
способна обнаруживать изменения в собственном теле. С помощью мощного
аналитического анализатора может распознавать заражение файлов неизвестными
вирусами,
в
том числе в упакованных файлах.
Программой предусматривается возможность проведения эвристического
анализа на трех уровнях. При этом исследуются файлы и системные области
дисков
с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.
Работа с программой может выполняться в режиме полноэкранного интерфейса
с использованием меню и диалоговых окон или в режиме вызова из командной
строки.
Второй вариант предпочтителен при многократном регулярном использовании
программы для контроля дискет. При этом для удобства команду запуска
программы Doctor
Web включают в меню пользователя оболочки Norton Commander или в
командный файл.
Программа Adinf предназначена для обнаружения любых вирусов, в том
числе стелс-вирусов, вирусов-мутантов и неизвестных вирусов, на основе
повседневного
контроля за
рядом характеристик файловой системы. В частности, программа запоминает
информацию о загрузочных секторах и сбойных кластерах, длины и контрольные
суммы файлов,
даты и время создания или обновления файлов.
Программой отслеживаются вирусоподобные изменения и выдаются предупреждающие
сообщения. Кроме того, отслеживаются создание и удаление каталогов,
создание, удаление и перемещение файлов, появление сбойных кластеров,
сохранность
загрузочных секторов и др. Программа обеспечивает высокую скорость
проверки дисков и
возможность обнаружения маскирующихся стел-вирусов на основе использования
прямого обращения
к секторам дисков с помощью BIOS, минуя DOS.
Программа Norton AntiVirus фирмы Semantec предназначена для выполнения
антивирусной проверки и обезвреживания вирусов при работе в среде
Windows. Программа имеет
удобный интерфейс, способна обнаруживать и уничтожать свыше 12 тысяч
вирусов. Пользователь может устанавливать разнообразные настройки
программы, например,
задание периодической еженедельной проверки компьютера, режим автоматической
проверки, указание перечня контролируемых объектов и др. В случае
полной установки Norton AntiVirus компьютер защищен от проникновения
вирусов
через жесткие и
гибкие диски, через локальную сеть или Internet.
Norton AntiVirus позволяет автоматически:
С помощью Norton AntiVirus можно: проверить на вирусы отдельные
файлы, папки или диски; запланировать автоматический поиск
вирусов в заданное
время; по
плану или в любой нужный момент выполнить обновление файлов
описания вирусов с помощью функции LiveUpdate.
Сотрудники фирмы Symantec отслеживают сообщения о появлении
новых вирусов. После идентификации нового вирусы информация
о нем (сигнатура)
заносится
в файлы описания вирусов. Поэтому данные файлы рекомендуется
обновлять не реже,
чем раз в месяц.
Во время проверки дисков и файлов (в ручном или запланированном режиме) Norton AntiVirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то Norton AntiVirus может устранить заражение автоматически.
Борьбу с вирусами Norton AntiVirus ведет следующим образом.
Перечисленные автоматические функции включены по умолчанию.
В зависимости от степени риска в той среде, где используется
компьютер,
можно
усилить или ослабить
меры защиты путем настройки различных параметров Norton
AntiVirus.
Кроме автоматического поиска вирусов средствами автозащиты,
можно в любой момент начать ручной поиск или назначить
его выполнение
на определенное
время.
Существует два способа уничтожения вирусов: