logo
Лаб

1.1. Компьютерные вирусы и антивирусные программы

Сегодня известно несколько тысяч программных вирусов, различающихся по среде обитания, способу заражения среды обитания, воздействию.

В зависимости от среды обитания вирусы подразделяют на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но тогда они не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор с программой загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

неопасные, не мешающие работе компьютера;

опасные, которые могут привести к нарушениям в работе компьютера;

очень опасные, воздействие которых приводит к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса компьютеров и записывают по этим адресам свои копии.

Вирусы-невидимки (стелс) трудно обезвредить, т.к. они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

Квазивирусные или "троянские" программы, которые хотя и не способны к самораспространению, но очень опасны, т.к. маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Вирус, как правило, внедряется в рабочую программу. При ее запуске управление сначала передается ему и, только после выполнения всех его команд, снова возвращается к рабочей программе. Получив доступ к управлению, вирус переписывает сам себя в другую рабочую программу и заражает ее. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы. Реже заражаются текстовые файлы. Каждое выполнение зараженной программы переносит вирус в следующую программу. Таким образом, заражается все программное обеспечение.

Основные признаки проявления вирусов: прекращение работы или неправильная работа программ; медленная работа компьютера; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; изменение даты и времени модификации файлов; изменение размеров файлов; неожиданное значительное увеличение количества файлов на диске; существенное уменьшение размера свободной оперативной памяти; вывод на экран непредусмотренных сообщений, изображений и звуковых сигналов; частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Методы и способы обнаружения вирусов. Необходимо, чтобы как можно скорее вирус попал в руки специалистов, которые будут его изучать, выяснять, "что он делает", "как он делает", "когда он делает" и пр. В процессе такой работы выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Одновременно становятся ясны механизмы работы вируса. Полученная информация позволяет выяснить как обнаружить и как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов.

Программы обнаружения и защиты от вирусов: программы-детекторы; программы-доктора или фаги; программы-ревизоры; программы-фильтры; программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только известные вирусы.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями COM, EXE; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость", а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов в условиях отсутствия программы-доктора, "лечащего" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.