Основные признаки появления в системе вируса:

• замедление работы некоторых программ или операционной системы в общем;

• увеличение размеров файлов (особенно выполняемых), хотя это достаточно сложно заметить;

• появление не существовавших ранее "странных" файлов, особенно в каталоге C:\WINDOWS или корневом;

• уменьшение объема доступной оперативной памяти;

• внезапно возникающие разнообразные видео и звуковые эффекты;

• заметное снижение скорости работы в Интернете (вирус или троянец могут передавать информацию по сети);

• жалобы от друзей (или провайдера) о том, что к ним приходят всякие непонятные письма – вирусы любят рассылать себя по почте.

Отдельно хочется подчеркнуть, что практически все вирусы функционируют в операционных системах семейства MS Windows и в MS DOS. В операционной системе Linux вирусы были выявлены только в лабораторных условиях. Несмотря на то, что некоторые образцы Linix-вирусов действительно обладали всеми необходимыми способностями к размножению и автономной жизни, ни один из них так и не был зафиксирован в "диком" виде. Использование ОС Linux защищает от вирусов гораздо лучше, чем любые антивирусные программы в MS Windows.

Краткую классификацию вирусных программ можно разделить на классы по основным признакам:

• среда обитания;

• операционная система (ОС);

• особенности алгоритма работы;

• деструктивные возможности.

По среде обитания вирусы можно разделить на:

• Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

• Загрузочные вирусы ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков и записывают себя либо в загрузочный сектор диска (Вооt-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный Boоt-сектор.

• Макро-вирусы заражают файлы-документы и электронные таблицы не­скольких популярных редакторов (форматов Word, Excel и других программ пакета MS Office).

• Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний. Например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков. Другой пример такого сочетания – сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

• резидентность;

• использование стелс-алгоритмов;

• самошифрование и полиморфичность;

• использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

В многозадачных операционных системах время "жизни" резидентного DОS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации.

Наиболее популярный способ борьбы с макро-вирусами – запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов – вирус "Frodo", первый загрузочный стелс-вирус – "Brain".

Самошифрование и полuморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) – это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус "ЗАРАЗА"), защитить от обнаружения свою резидентную копию (вирусы "ТРVО", "Trout2"), затруднить лечение от вируса (например, поместив свою копию в F1ash-BIOS) и т. д.

По деструктивным возможностям вирусы можно разделить на:

• безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

• очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Контрольный тест №6:

1. Вирусы распространяются...

   1. при копировании файла

   2. при выполнении исполняемого файла

   3. при чтении файла

   4. при создании файла

2. Вирусы могут быть:

   1. загрузочными

   2. мутантами

   3. невидимками

   4. дефектными

   5. логическими

а, b, c

а, c, d

c, d, e

b, d, e