Viruși de computer și software antivirus. Viruși de computer și antivirusuri
Rezumat pe tema:
programe antivirus"
Nu degeaba virușii informatici se numesc așa – asemănarea lor cu virușii „vii” este izbitoare. Ei se răspândesc în același mod, trăiesc, acționează și mor în același mod. Singura diferență este că țintele nu sunt oameni sau animale, ci computere. Contactarea reciprocă prin dischete, CD-uri, rețele locale, Internetul și alte mijloace de „comunicare”, ele, ca și oamenii, se infectează reciproc.
Virus de calculator este un program care poate crea copii ale lui însuși (nu neapărat complet identice cu originalul) și le poate implementa în diverse obiecte sau resurse sisteme informatice, rețele și așa mai departe fără știrea utilizatorului. În același timp, copiile își păstrează capacitatea de a fi distribuite în continuare. Astăzi sunt cunoscute 6 tipuri principale de viruși: viruși de fișiere, de boot, fantomă (polimorfi), invizibili, viruși de tip script și viruși macro. Virușii trebuie să fie distinși de coduri rău intenționate. Acestea includ viermi de Internet și programe numite cai troieni.
Principalele simptome ale unei infecții cu virus: încetinirea funcționării unor programe, creșterea dimensiunilor fișierelor (în special a celor executabile), apariția unor fișiere suspecte inexistente anterior, scăderea cantității de memorie RAM disponibilă (comparativ cu funcționarea normală). ), apărând brusc diverse videoclipuri și efecte sonore. În cazul tuturor simptomelor enumerate mai sus, precum și a altor manifestări ciudate în funcționarea sistemului (funcționare instabilă, reporniri independente frecvente etc.), ar trebui să verificați imediat sistemul pentru viruși.
Nașterea virușilor informatici
Există multe opinii diferite despre apariția primului virus informatic. Se știe doar cu siguranță că mașina lui Charles Babbage, considerat inventatorul primului computer, nu o avea, dar Univax 1108 și IBM 360/370 le aveau deja la mijlocul anilor 1970. Interesant este că ideea virușilor informatici a apărut mult mai devreme calculatoare personale. Punctul de plecare poate fi considerat lucrările celebrului om de știință John von Neumann privind studiul automatelor matematice cu auto-reproducere, care au devenit cunoscute în anii 1940. În 1951, el a propus o metodă de creare a unor astfel de mașini. Și în 1959, revista Scientific American a publicat un articol de L.S. Penrose, dedicat structurilor mecanice cu auto-reproducere. Acesta a descris cel mai simplu model bidimensional al structurilor mecanice auto-reproductive capabile de activare, reproducere, mutație și captare. Mai târziu, un alt om de știință F.Zh. Stahl a pus în practică acest model folosind Codul mașinii pe IBM 650.
Procesul de infectare
Proces simplificat de infectare cu virus fișiere de program Poate sa
prezentate după cum urmează.Codul programului infectat este de obicei primul care primește controlul asupra virusului, înainte ca programul purtător de virus să înceapă să funcționeze.
Când controlul este transferat virusului, acesta găsește cumva
program nou și lipește propria copie în
începutul sau îl adaugă la sfârșitul acestui de obicei nu este încă infectat
programe. Dacă un virus este atașat la sfârșitul unui program, atunci acesta
apoi ajustează codul programului pentru a obține controlul
Pentru a face acest lucru, primii câțiva octeți sunt stocați în corp
virus, iar în locul lor este inserată comanda de a merge la început
virus. Această metodă este cea mai comună. De -
După ce a câștigat controlul, virusul restabilește mai întâi „ascuns”.
octeți, iar după procesare corpul său transferă controlul
program purtător de viruși.
Programe antivirus
Metodele de contracarare a virușilor informatici pot fi împărțite în mai multe grupuri: prevenirea infecției virale și reducerea daunelor așteptate de la o astfel de infecție; metoda de utilizare programe antivirus, inclusiv neutralizarea și îndepărtarea unui virus cunoscut; metode pentru detectarea și eliminarea unui virus necunoscut.
Se știe din cele mai vechi timpuri că mai devreme sau mai târziu orice otravă
se poate găsi un antidot. Un astfel de antidot pentru lumea computerelor
au devenit programe numite programe antivirus. Aceste programe pot-
dar clasificate în cinci grupe principale: filtre, detectoare,
auditori, medici și vaccinatori.
Filtrele antivirus sunt programe rezidente care
informează utilizatorul despre toate încercările oricărui program de a înregistra
intra pe disc, darămite formatați-l și, de asemenea, despre
alte acțiuni suspecte (de exemplu, încercări de modificare a setărilor
setări CMOS). În acest caz, se afișează o cerere de permisiune sau interdicție.
înțelegerea acestei acțiuni. Principiul de funcționare al acestor programe se bazează pe
interceptând vectorii de întrerupere corespunzători. Spre avantaj
programele din această clasă în comparație cu programele detectoare pot
ci să atribuie universalitatea atât în raport cu cunoscutul cât şi
viruși necunoscuți, în timp ce detectoarele sunt scrise pentru specific
nou, cunoscut pe acest moment vederi către programator. Este special
relevant acum, când au apărut mulți viruși mutanți, nu
având un cod permanent. Cu toate acestea, programele de filtrare nu pot
monitorizați virușii care accesează direct BIOS-ul, precum și
BOOT virușii care sunt activați chiar înainte de lansarea antivirusului, în
etapa inițială a încărcării DOS.Dezavantajele includ și
emiterea frecventă de solicitări pentru efectuarea oricărei operațiuni: din
Răspunsul la întrebări necesită mult timp și efort din partea utilizatorului.
pune-i pe nervi. La instalarea unor antivirus
Filtrele de bufnițe pot avea conflicte cu alți rezidenți
programe care folosesc aceleași întreruperi, care sunt pur și simplu transferate
inceteaza lucrul.
Cele mai răspândite programe la noi sunt
suntem detectoare, sau mai degrabă programe care combină un detector și
doctor. Cei mai renumiți reprezentanți ai acestei clase sunt Aidstest,
Doctor Web, AntiVirus Microsoft.
Detectoarele antivirus sunt proiectate pentru viruși specifici și se bazează pe
comparând secvența de coduri conținute în corpul virusului cu
codurile programelor verificate.Asemenea programe trebuie actualizate regulat
actualizați, deoarece devin rapid depășiți și nu pot detecta
noi tipuri de viruși.
Auditori - programe care analizează starea actuală
fișierele și zonele de sistem ale discului și comparați-le cu informații
salvate anterior într-unul dintre fișierele de date ale auditorului. în care
se verifică starea sectorului BOOT, tabelul FAT și lungimea
dosare, lor timpul creației, atribute, sumă de control. A analiza
Editând mesajele programului de audit, utilizatorul poate decide ce
indiferent dacă modificările sunt cauzate de un virus sau nu. La emiterea unui astfel de mesaj
nu ar trebui să intri în panică, ca cauză a schimbărilor,
de exemplu, durata programului poate să nu fie deloc un virus
Ultimul grup include cele mai ineficiente antivirusuri -
vaccinatori. Ei înregistrează semnele în programul de vaccinare
virus specific astfel încât virusul îl consideră deja infectat.
Ministerul Educației și Tineretului
Republica Karelia
Liceul Profesional Nr.12
Virușii informatici
si antivirusuri
Rezumat despre informatică
grupa de elevi nr 18
Malysheva N.V.
Profesor:
Petrozavodsk
Introducere
Cine scrie viruși și de ce?
Virușii informatici, proprietățile și clasificarea lor
Proprietățile virușilor informatici
Clasificarea virusurilor
Porniți viruși
Fișieră viruși
Viruși de fișiere de pornire
Viruși polimorfi
Virușii furtivi
Cai troieni, marcaje software și viermi de rețea
Căile de intrare a virușilor într-un computer și mecanismul de distribuire a programelor antivirus
Semne de viruși
Metode de protecție împotriva virușilor informatici
Programe antivirus
Concluzie
Bibliografie
Introducere
Nu merită să ne amintim că computerele au devenit adevărați asistenți umani și nici o companie comercială, nici o organizație guvernamentală nu se pot descurca fără ele. Cu toate acestea, în acest sens, problema securității informațiilor a devenit deosebit de acută.
Virușii care s-au răspândit în tehnologia computerelor au entuziasmat întreaga lume. Mulți utilizatori de computere sunt îngrijorați de zvonurile că infractorii cibernetici folosesc viruși informatici pentru a sparge rețele, jefui bănci, fură proprietate intelectuală...
Astăzi, utilizarea pe scară largă a computerelor personale, din păcate, s-a dovedit a fi asociată cu apariția programelor de viruși cu auto-replicare, care interferează cu funcționarea normală a computerului, distrug structura de fișiere a discurilor și deteriorează informațiile stocate pe computer. .
Din ce în ce mai mult, în mass-media apar rapoarte despre diverse tipuri de trucuri de pirați ale huliganilor informatici, despre apariția unor programe de auto-replicare din ce în ce mai avansate. Mai recent, infectarea fișierelor text cu un virus a fost considerată absurdă - acum acest lucru nu va surprinde pe nimeni. Este suficient să ne amintim apariția primului semn care a provocat mult zgomot - virusul WinWord. Concept care lovește documente în format de procesor de text Microsoft Word pentru Windows 6.0 și 7.0. În ciuda legilor adoptate în multe țări pentru combaterea infracțiunilor informatice și a dezvoltării de software antivirus special, numărul de noi viruși software este în continuă creștere. Acest lucru necesită ca utilizatorul unui computer personal să aibă cunoștințe despre natura virușilor, metodele de infectare cu viruși și protecția împotriva acestora.
Aș dori să notez imediat că nu ar trebui să vă fie prea frică de viruși, mai ales dacă v-ați achiziționat computerul recent și nu ați acumulat încă multe informații pe hard disk. Un virus nu vă va arunca în aer computerul. În prezent, este cunoscut un singur virus (Win95.CIH) care poate deteriora hardware-ul computerului. Alții nu pot decât să distrugă informații, nimic mai mult.
Literatura susține cu insistență că poți scăpa de viruși doar cu ajutorul unor programe antivirus complexe (și scumpe) și se presupune că doar sub protecția lor te poți simți complet în siguranță. Acest lucru nu este în întregime adevărat - familiaritatea cu caracteristicile structurale și metodele de introducere a virușilor informatici vă va ajuta să le detectați și să le localizați la timp, chiar dacă nu aveți la îndemână un program antivirus adecvat.
Cine scrie viruși și de ce?
Cine scrie viruși? După părerea mea, cea mai mare parte dintre ele sunt create de elevi și școlari care tocmai au învățat limbajul de asamblare, doresc să-și încerce mâna, dar nu-și găsesc o utilizare mai demnă. Este îmbucurător faptul că o parte semnificativă a acestor viruși nu sunt adesea distribuite de autorii lor, iar virușii „mor” după un timp împreună cu dischetele pe care sunt stocați. Astfel de viruși sunt cel mai probabil scrisi doar pentru autoafirmare.
Al doilea grup este format și din tineri (de obicei studenți) care nu au stăpânit încă pe deplin arta programării, dar au decis deja să se dedice scrierii și distribuirii virușilor. Singurul motiv care împinge astfel de oameni să scrie viruși este un complex de inferioritate, care se manifestă în huliganismul informatic.
Din stiloul unor astfel de „meșteșugari” provin adesea fie numeroase modificări ale virușilor „clasici”, fie viruși extrem de primitivi cu un număr mare de erori (eu numesc astfel de viruși „viruși studenți”). Viața unor astfel de scriitori de viruși a devenit semnificativ mai ușoară după lansarea constructorilor de viruși, cu ajutorul cărora puteți crea noi viruși chiar și cu cunoștințe minime despre sistemul de operare și asamblator sau chiar fără nicio idee despre el. Viața lor a devenit și mai ușoară după apariția macrovirusurilor, deoarece în loc de limbajul complex de asamblare, pentru a scrie macrovirusuri este suficient să înveți un BASIC destul de simplu.
După ce au devenit mai bătrâni și mai experimentați, dar nu s-au maturizat niciodată, mulți dintre acești scriitori de viruși se încadrează în al treilea grup, cel mai periculos, care creează și eliberează viruși „profesioniști” în lume. Aceste programe foarte atent gândite și depanate sunt create de programatori profesioniști, adesea foarte talentați. Astfel de viruși folosesc adesea algoritmi destul de originali, metode nedocumentate și puțin cunoscute de penetrare a zonelor de date ale sistemului. Virușii „profesioniști” sunt adesea creați folosind tehnologia „stealth” și/sau sunt viruși polimorfi care infectează nu numai fișiere, ci și sectoare de boot ale discurilor și, uneori, fișiere executabile ale Windows și OS/2.
O parte destul de semnificativă a colecției mele este ocupată de „familii” - grupuri de mai multe (uneori mai mult de o duzină) viruși. Reprezentanții fiecăruia dintre aceste grupuri pot fi distinși printr-o trăsătură distinctivă, care se numește „scris de mână”: aceiași algoritmi și tehnici de programare se găsesc în mai mulți viruși diferiți. Adesea, toți sau aproape toți membrii unei familii aparțin unui singur autor și, uneori, este destul de amuzant să urmărești „formarea stiloului” unui astfel de artist - de la încercările aproape „studente” de a crea cel puțin ceva similar cu un virus, până la o implementare complet operabilă a unui virus „profesional”.
În opinia mea, motivul care îi obligă pe astfel de oameni să-și îndrepte abilitățile către o astfel de muncă fără sens este încă același - un complex de inferioritate, uneori combinat cu un psihic dezechilibrat. Este semnificativ faptul că o astfel de scriere a virusului este adesea combinată cu alte dependențe. Astfel, în primăvara lui 1997, unul dintre cei mai cunoscuți autori de virusuri din lume, poreclit Talon (Australia), a murit la vârsta de 21 de ani din cauza unei doze letale de heroină.
Al patrulea grup de autori de virusuri, „cercetătorii”, se află oarecum separat. Acest grup este format din programatori destul de inteligenți care inventează metode fundamental noi de infectare, ascunderea, combaterea antivirusurilor etc. De asemenea, vin cu modalități de a le implementa în noi sisteme de operare, constructori de viruși și generatoare polimorfe. Acești programatori scriu viruși nu de dragul virușilor înșiși, ci mai degrabă de dragul „explorării” potențialului „faunei computerizate”.
De multe ori autorii unor astfel de viruși nu își pun în practică creațiile, dar își promovează foarte activ ideile prin numeroase publicații electronice dedicate creării de viruși. În același timp, pericolul unor astfel de viruși „de cercetare” nu scade - odată ce sunt în mâinile „profesioniștilor” din al treilea grup, ideile noi sunt implementate foarte rapid în noi viruși.
Atitudinea mea față de autorii de viruși este triplă. În primul rând, toți cei care scriu viruși sau contribuie la distribuirea acestora sunt „suținătorii” industriei antivirus, a cărei cifră de afaceri anuală o estimez este de cel puțin două sute de milioane de dolari sau chiar mai mult (nu trebuie uitat că pierderile din viruși). se ridică la câteva sute de milioane de dolari anual și de câteva ori mai mare decât costurile programelor antivirus). Dacă numărul total de viruși este probabil să ajungă la 20.000 până la sfârșitul anului 1997, atunci este ușor de calculat că veniturile companiilor antivirus din fiecare virus sunt de cel puțin 10 mii de dolari anual. Desigur, autorii de viruși nu ar trebui să spere la recompense financiare: așa cum arată practica, munca lor a fost și rămâne gratuită. În plus, astăzi oferta (noi viruși) satisface pe deplin cererea (capacitatea companiilor de antivirus de a procesa noi viruși).
În al doilea rând, îmi pare oarecum rău pentru autorii de viruși, în special pentru „profesioniști”. La urma urmei, pentru a scrie un astfel de virus, este necesar: a) să cheltuiți destul de mult efort și timp și mult mai mult decât este necesar pentru a înțelege virusul, a-l introduce într-o bază de date sau chiar a scrie un document special. antivirus; și b) nu au o altă ocupație, mai atractivă. În consecință, scriitorii de viruși „profesioniști” sunt destul de eficienți și, în același timp, suferă de lenevie - situația, mi se pare, este foarte tristă.
Virușii informatici, proprietățile și clasificarea lor
Proprietățile virușilor informatici
În zilele noastre se folosesc computere personale în care utilizatorul are acces gratuit la toate resursele mașinii. Acesta este ceea ce a deschis posibilitatea unui pericol care a devenit cunoscut sub numele de virus informatic.
Ce este un virus informatic? O definiție formală a acestui concept nu a fost încă inventată și există îndoieli serioase că poate fi dat deloc. Numeroase încercări de a oferi o definiție „modernă” a virusului au eșuat. Pentru a înțelege complexitatea problemei, încercați, de exemplu, să definiți conceptul de „editor”. Fie vei veni cu ceva foarte general, fie vei începe să enumerați toate tipurile cunoscute de editori. Ambele nu pot fi considerate acceptabile. Prin urmare, ne vom limita la a lua în considerare unele proprietăți ale virușilor informatici care ne permit să vorbim despre ei ca despre o anumită clasă de programe.
În primul rând, un virus este un program. O afirmație atât de simplă în sine poate spulbera multe legende despre capacitățile extraordinare ale virușilor informatici. Un virus poate întoarce imaginea de pe monitor, dar nu poate răsturna monitorul în sine. Legendele despre virușii ucigași „distrugând operatorii prin afișarea unei scheme de culori mortale pe ecran în cel de-al 25-lea cadru” nu ar trebui luate în serios. Din păcate, unele publicații de renume publică din când în când „cele mai recente știri din partea computerului”, care, la o examinare mai atentă, se dovedesc a fi rezultatul unei înțelegeri nu complet clare a subiectului.
Un virus este un program care are capacitatea de a se reproduce singur. Această abilitate este singurul mijloc inerent tuturor tipurilor de viruși. Dar nu numai virușii sunt capabili de auto-replicare. Orice sistem de operare și multe alte programe sunt capabile să-și creeze propriile copii. Copiile virusului nu numai că nu trebuie să coincidă complet cu originalul, dar este posibil să nu coincidă deloc cu acesta!
Un virus nu poate exista în „izolare completă”: astăzi este imposibil să ne imaginăm un virus care să nu folosească codul altor programe, informații despre structura fișierelor sau chiar doar numele altor programe. Motivul este clar: virusul trebuie să se asigure cumva că controlul este transferat în sine.
Clasificarea virusurilor
În prezent, sunt cunoscuți peste 5.000 de viruși software, aceștia pot fi clasificați după următoarele criterii:
habitat
mod de infectare a mediului
influență
caracteristicile algoritmului
În funcție de habitatul lor, virușii pot fi împărțiți în viruși de rețea, de fișiere, de pornire și de pornire a fișierelor. Viruși de rețea distribuite pe diverse rețele de calculatoare. Fișieră viruși sunt încorporate în principal în module executabile, adică în fișiere cu extensii COM și EXE. Virușii de fișiere pot fi încorporați în alte tipuri de fișiere, dar, de regulă, scrise în astfel de fișiere, nu câștigă niciodată controlul și, prin urmare, își pierd capacitatea de a se reproduce. Porniți viruși sunt încorporate în sectorul de pornire al discului (sectorul de pornire) sau în sectorul care conține programul de pornire a discului de sistem (Master Boot Re-cord). Fișier-boot Virușii infectează atât fișierele, cât și sectoarele de boot ale discurilor.
Pe baza metodei de infectare, virușii sunt împărțiți în rezidenți și nerezidenți. Virus rezident atunci când un computer este infectat (infectat), acesta își lasă partea rezidentă în RAM, care apoi interceptează accesul sistemului de operare la obiectele infectate (fișiere, sectoare de pornire a discului etc.) și se injectează în ele. Virușii rezidenți se află în memorie și sunt activi până când computerul este oprit sau repornit. Virușii nerezidenți nu infectează memoria computerului și sunt active pentru o perioadă limitată de timp.
În funcție de gradul de impact, virușii pot fi împărțiți în următoarele tipuri:
nepericuloase, care nu interferează cu funcționarea computerului, dar reduc cantitatea de RAM liberă și de memorie pe disc, acțiunile unor astfel de viruși se manifestă în unele efecte grafice sau sonore
periculos viruși care pot duce la diverse probleme cu computerul dvs
foarte periculos, al cărui impact poate duce la pierderea de programe, distrugerea datelor și ștergerea informațiilor din zonele de sistem ale discului.
Cunoscut viruși invizibili, numit viruși furtivi, care sunt foarte greu de detectat și neutralizat, deoarece interceptează apelurile de la sistemul de operare către fișiere și sectoare de disc infectate și înlocuiesc zonele neinfectate ale discului în locul corpului lor. Cel mai greu de detectat virusuri mutante, care conțin algoritmi de criptare-decriptare, datorită cărora copiile aceluiași virus nu au un singur șir repetat de octeți. Există, de asemenea, așa-numitele cvasivirală sau "Troian" programe care, deși nu sunt capabile de auto-propagare, sunt foarte periculoase deoarece, prefăcându-se ca un program util, distrug sectorul de boot și sistemul de fișiere al discurilor.
Acum să aruncăm o privire mai atentă la unele dintre aceste grupuri.
Porniți viruși
Să ne uităm la funcționarea unui virus de boot foarte simplu care infectează dischetele.
Ce se întâmplă când porniți computerul? În primul rând, controlul este transferat program bootstrap , care este stocat într-o memorie de numai citire (ROM), adică PNZ ROM.
Acest program testează hardware-ul și, dacă testele au succes, încearcă să găsească discheta în unitatea A:
Fiecare dischetă este marcată cu așa-numitul. sectoare și piste. Sectoarele sunt combinate în clustere, dar acest lucru nu este semnificativ pentru noi.
Printre sectoare există mai multe servicii, utilizate de sistemul de operare pentru propriile nevoi (aceste sectoare nu pot conține datele dumneavoastră). Dintre sectoarele de servicii care ne interesează sector de boot (sector de boot).
Sectorul de boot stochează informații despre dischetă - numărul de suprafețe, numărul de piste, numărul de sectoare etc. Dar ceea ce ne interesează acum nu este această informație, ci un mic program de boot (BLP), care trebuie încărcați sistemul de operare în sine și transferați-i controlul.
Deci, schema de bootstrap normală este următoarea:
Acum să ne uităm la virus. Virușii de boot au două părți: capul și așa-numitul. coadă. Coada poate fi goală.
Să presupunem că aveți o dischetă curată și un computer infectat, prin care ne referim la un computer cu un virus rezident activ. De îndată ce acest virus detectează că o victimă potrivită a apărut în unitate - în cazul nostru, o dischetă care nu este protejată la scriere și nu a fost încă infectată, începe să se infecteze. Când infectează o dischetă, virusul efectuează următoarele acțiuni:
alocă o anumită zonă a discului și o marchează ca inaccesibilă pentru sistemul de operare, acest lucru se poate face în diferite moduri, în cel mai simplu și tradițional caz, sectoarele ocupate de virus sunt marcate ca rele (rele)
își copiază coada și sectorul de pornire original (sănătos) în zona selectată a discului
înlocuiește programul de boot din sectorul de boot (cel real) cu capul său
organizează lanțul de transfer al controlului conform schemei.
Astfel, șeful virusului este acum primul care primește controlul, virusul este instalat în memorie și transferă controlul în sectorul de boot original. Într-un lanț
PNZ (ROM) - PNZ (disc) - SISTEM
apare un nou link:
PNZ (ROM) - VIRUS - PNZ (disc) - SISTEM
Am examinat schema de funcționare a unui virus de boot simplu care trăiește în sectoarele de boot ale dischetelor. De regulă, virușii pot infecta nu numai sectoare de boot dischete, dar și sectoare de boot ale hard disk-urilor. Mai mult, spre deosebire de dischete, hard disk-ul are două tipuri de sectoare de boot care conțin programe de boot care primesc control. Când computerul pornește de pe hard disk, programul de pornire din MBR (Master Boot Record) preia controlul mai întâi. Dacă hard diskul este împărțit în mai multe partiții, atunci doar una dintre ele este marcată ca boot. Programul de pornire din MBR găsește partiția de pornire a hard disk-ului și transferă controlul către programul de pornire al acestei partiții. Codul acestuia din urmă coincide cu codul programului de boot conținut pe dischetele obișnuite, iar sectoarele de boot corespunzătoare diferă doar în tabelele cu parametri. Astfel, pe hard disk există două obiecte atacate de viruși de boot - programul de boot din MBR și programul de boot din sectorul de boot al discului de boot.
Fișieră viruși
Să ne gândim acum cum funcționează un simplu virus de fișier. Spre deosebire de virușii de boot, care sunt aproape întotdeauna rezidenți, virușii de fișiere nu sunt neapărat rezidenți. Să luăm în considerare schema de funcționare a unui nerezident file virus. Să presupunem că avem un fișier executabil infectat. Când un astfel de fișier este lansat, virusul câștigă controlul, efectuează unele acțiuni și transferă controlul către „gazdă”
Ce acțiuni efectuează virusul? Acesta caută un nou obiect de infectat - un fișier de tip adecvat care nu a fost încă infectat. Infectând un fișier, virusul se injectează în codul său pentru a obține controlul când fișierul este executat. Pe lângă funcția sa principală - reproducere, virusul poate face ceva complicat (să spunem, să întrebați, să jucați) - asta depinde deja de imaginația autorului virusului. Dacă virusul fișierului este rezident, atunci se va instala în memorie și va putea infecta fișierele și va prezenta alte abilități nu numai în timp ce fișierul infectat rulează. Când infectează un fișier executabil, un virus își schimbă întotdeauna codul - prin urmare, infecția unui fișier executabil poate fi întotdeauna detectată. Dar prin schimbarea codului fișierului, virusul nu face neapărat alte modificări:
nu este obligat să modifice lungimea dosarului
secțiuni de cod neutilizate
nu trebuie să schimbe începutul fișierului
În cele din urmă, virușii de fișiere includ adesea viruși care „au o anumită legătură cu fișierele”, dar nu trebuie să fie încorporați în codul lor.
Astfel, atunci când orice fișier este lansat, virusul câștigă controlul (sistemul de operare îl lansează singur), se instalează rezident în memorie și transferă controlul fișierului apelat.
Viruși de fișiere de pornire
Nu vom lua în considerare modelul de boot-file virus, deoarece nu veți afla nicio informație nouă. Dar iată o ocazie bună de a discuta pe scurt despre recentul extrem de „popular” virus de boot-file OneHalf, care infectează sectorul de pornire principal (MBR) și fișierele executabile. Principalul efect distructiv este criptarea sectoarelor de hard disk. De fiecare dată când virusul este lansat, acesta criptează o altă porțiune de sectoare și, având jumătate criptată hard disk, raportează cu bucurie acest lucru. Principala problemă în tratarea acestui virus este că nu este suficient să eliminați pur și simplu virusul din MBR și fișiere; trebuie să decriptați informațiile criptate de acesta.
Viruși polimorfi
Cele mai multe întrebări sunt legate de termenul „virus polimorf”. Acest tip de virus informatic pare să fie cel mai periculos astăzi. Să explicăm despre ce este vorba.
Virușii polimorfi sunt viruși care își modifică codul în programele infectate în așa fel încât două copii ale aceluiași virus să nu se potrivească într-un singur bit.
Astfel de viruși nu numai că își criptează codul folosind diverse metode de criptare, dar conțin și cod pentru generarea unui criptator și a unui decriptor, care îi diferențiază de obișnuiți. viruși de criptare, care poate cripta și secțiuni din codul lor, dar în același timp au un cod de criptare și decriptare constant.
Virușii polimorfi sunt viruși cu decriptoare care se modifică automat. Scopul unei astfel de criptări: dacă aveți un fișier infectat și original, tot nu veți putea analiza codul acestuia folosind dezasamblarea obișnuită. Acest cod este criptat și este un set de comenzi fără sens. Decriptarea este efectuată de virusul însuși în timpul execuției. În acest caz, sunt posibile opțiuni: el se poate decripta singur dintr-o dată sau poate efectua o astfel de decriptare „din mers”, poate recripta secțiunile care au fost deja folosite. Toate acestea sunt făcute pentru a face dificilă analiza codului virusului.
Virușii furtivi
Când scanează un computer, programele antivirus citesc date - fișiere și zone de sistem din hard disk-uriși dischete folosind sistemul de operare și sistem de bază BIOS I/O. O serie de viruși, după lansare, lasă module speciale în memoria RAM a computerului care interceptează programele care accesează subsistemul de disc al computerului. Dacă un astfel de modul detectează că un program încearcă să citească un fișier infectat sau o zonă de sistem a discului, acesta înlocuiește datele citite din mers, ca și cum nu ar exista niciun virus pe disc.
Virușii ascunși înșală programele antivirus și, ca urmare, rămân nedetectați. Cu toate acestea, există o modalitate simplă de a dezactiva mecanismul de camuflaj al virușilor stealth. Este suficient să porniți computerul de pe o dischetă de sistem neinfectată și imediat, fără a lansa alte programe de pe discul computerului (care poate fi și infectat), scanați computerul cu un program antivirus.
Când este încărcat de pe o dischetă de sistem, virusul nu poate obține controlul și nu poate instala un modul rezident în RAM care implementează mecanismul ascuns. Un program antivirus va putea citi informațiile scrise efectiv pe disc și va detecta cu ușurință virusul.
Cai troieni, marcaje software și viermi de rețea
Cal troian– acesta este un program care conține o funcție distructivă, care este activată atunci când apare o anumită condiție de declanșare. De obicei, astfel de programe sunt deghizate ca un fel de utilități utile. Virușii pot transporta cai troieni sau pot „troianiza” alte programe – introduc funcții distructive în ele.
„Caii troieni” sunt programe care, pe lângă funcțiile descrise în documentație, implementează și alte funcții asociate cu încălcări de securitate și acțiuni distructive. Au existat cazuri în care astfel de programe au fost create pentru a facilita răspândirea virușilor. Listele cu astfel de programe sunt publicate pe scară largă în presa străină. De obicei, sunt deghizați în programe de jocuri sau de divertisment și provoacă rău însoțit de imagini sau muzică frumoase.
Marcaje software conțin și o funcție care provoacă deteriorarea aeronavei, dar această funcție, dimpotrivă, încearcă să fie cât mai puțin vizibilă, deoarece cu cât programul nu trezește suspiciuni, cu atât marcaj mai lung va putea lucra.
Dacă virușii și caii troieni provoacă daune prin autopropagare ca avalanșă sau prin distrugere totală, atunci funcția principală a virușilor de tip viermi care operează în rețelele de calculatoare este de a pirata sistemul atacat, de exemplu. depășirea protecției pentru a compromite securitatea și integritatea.
În peste 80% dintre infracțiunile informatice investigate de FBI, „crackeri” pătrund prin internet în sistemul atacat. Când o astfel de încercare reușește, viitorul unei companii care a durat ani de zile să se construiască poate fi pus în pericol în câteva secunde.
Acest proces poate fi automatizat folosind un virus numit vierme de rețea.
Viermi se numesc viruși care se răspândesc în rețelele globale, infectând sisteme întregi, nu programe individuale. Acesta este cel mai mult aspect periculos viruși, deoarece în acest caz sistemele informaționale la scară națională devin ținta atacurilor. Odată cu apariția internetului global, acest tip de încălcare a securității reprezintă cea mai mare amenințare, deoarece oricare dintre cele 40 de milioane de computere conectate la această rețea poate fi expus la acesta în orice moment.
Modul în care virușii intră într-un computer
și mecanism de distribuție a programelor de virus
Principalele moduri prin care virușii intră într-un computer sunt unități detașabile(flexibil și laser), precum și rețele de calculatoare. Un hard disk se poate infecta cu viruși atunci când se încarcă un program de pe o dischetă care conține un virus. O astfel de infecție poate fi, de asemenea, accidentală, de exemplu, dacă discheta nu a fost scoasă din unitatea A și computerul a fost repornit, iar discheta poate să nu fie una de sistem. Este mult mai ușor să infectați o dischetă. Un virus poate intra în el chiar dacă discheta este pur și simplu introdusă în unitatea de disc a unui computer infectat și, de exemplu, este citit cuprinsul acestuia.
Un virus, de regulă, este introdus într-un program de lucru în așa fel încât atunci când este lansat, controlul este mai întâi transferat acestuia și numai după ce toate comenzile sale sunt executate, acesta revine la programul de lucru. După ce a obținut acces la control, virusul se rescrie în primul rând în altul program de lucruși o infectează. După rularea unui program care conține un virus, devine posibilă infectarea altor fișiere.
Cel mai adesea, sectorul de boot al discului și fișierele executabile cu extensiile EXE, COM, SYS, BAT sunt infectate cu un virus. Este extrem de rar ca fișierele text să fie infectate.
După infectarea unui program, virusul poate efectua un fel de sabotaj, nu prea grav pentru a nu atrage atenția. Și, în sfârșit, nu uită să returneze controlul programului din care a fost lansat. Fiecare execuție a unui program infectat transferă virusul la următorul. Astfel, tot software-ul va fi infectat.
Semne de viruși
Când computerul este infectat cu un virus, este important să îl detectați. Pentru a face acest lucru, ar trebui să știți despre principalele semne ale virușilor. Acestea includ următoarele:
încetarea funcționării sau funcționarea incorectă a programelor care funcționau anterior cu succes
calculator lent
incapacitatea de a încărca sistemul de operare
dispariția fișierelor și directoarelor sau coruperea conținutului acestora
modificarea datei și orei modificării fișierului
redimensionarea fișierelor
creștere semnificativă neașteptată a numărului de fișiere de pe disc
reducerea semnificativă a dimensiunii RAM liberă
Afișarea mesajelor sau imaginilor neașteptate pe ecran
dând semnale sonore neașteptate
Înghețări și blocări frecvente în computer
Trebuie remarcat faptul că fenomenele de mai sus nu sunt neapărat cauzate de prezența unui virus, ci pot fi rezultatul altor motive. Prin urmare, este întotdeauna dificil să diagnosticați corect starea unui computer.
Metode de protecție împotriva virușilor informatici
Oricare ar fi virusul, utilizatorul trebuie să cunoască metodele de bază de protecție împotriva virușilor informatici.
Pentru a vă proteja împotriva virușilor puteți utiliza:
instrumente generale de protecție a informațiilor, care sunt utile și ca asigurare împotriva deteriorării fizice a discurilor, a programelor defectuoase sau acțiunilor eronate ale utilizatorului;
măsuri preventive pentru a reduce probabilitatea de a contracta virusul;
programe specializate pentru protectia impotriva virusilor.
Instrumentele generale de securitate a informațiilor sunt utile pentru mai mult decât protecția împotriva virușilor. Există două tipuri principale ale acestor fonduri:
copierea informațiilor - crearea de copii ale fișierelor și zonelor de sistem ale discurilor;
controlul accesului previne utilizarea neautorizată a informațiilor, în special, protecția împotriva modificărilor programelor și datelor de către viruși, programele defectuoase și acțiunile eronate ale utilizatorului.
În ciuda faptului că măsurile generale de securitate a informațiilor sunt foarte importante pentru protecția împotriva virușilor, acestea încă nu sunt suficiente. De asemenea, este necesar să folosiți programe specializate pentru a vă proteja împotriva virușilor. Aceste programe pot fi împărțite în mai multe tipuri: detectoare, medici (fagi), auditori, medici-auditori, filtre și vaccinuri (imunizatoare).
PROGRAME DE DETECTOR vă permit să detectați fișierele infectate cu unul dintre mai multe virusuri cunoscute. Aceste programe verifică dacă fișierele de pe o unitate specificată de utilizator conțin o combinație de octeți specifici unui anumit virus. Când este detectat în orice fișier, pe ecran este afișat un mesaj corespunzător. Mulți detectoare au moduri pentru vindecarea sau distrugerea fișierelor infectate. Trebuie subliniat faptul că programele de detectare pot detecta doar virușii „cunoscuți” de ei. Programul Scan de la McAfee Associates și D.N.Lozinsky's Aidstest vă permite să detectați aproximativ 9.000 de viruși, dar în total sunt peste douăzeci de mii dintre ei! Unele programe de detectare, de exemplu Norton AntiVirus sau AVSP de la Dialog-MGU, pot fi configurate pentru noi tipuri de viruși; ele trebuie doar să indice combinațiile de octeți inerente acestor viruși. Cu toate acestea, este imposibil să se dezvolte un program care să detecteze orice virus necunoscut anterior.
Astfel, din faptul că un program nu este recunoscut de detectoare ca fiind infectat, nu rezultă că este sănătos - ar putea conține unele virus nou sau o versiune ușor modificată a unui virus vechi, necunoscut programelor de detectare.
Multe programe de detectare (inclusiv Aidstest) nu pot detecta infecția cu viruși „invizibili” dacă un astfel de virus este activ în memoria computerului. Cert este că folosesc funcții DOS pentru a citi discul și sunt interceptați de virus, care spune că totul este în regulă. Adevărat, Aidstest și alți detectoare încearcă să identifice un virus uitându-se la RAM, dar acest lucru nu ajută împotriva unor viruși „sprețuiți”. Deci, programele de detectare oferă o diagnoză fiabilă numai atunci când se încarcă DOS de pe o dischetă „curată” protejată la scriere, iar o copie a programului de detectare trebuie de asemenea lansată de pe această dischetă.
Unele detectoare (de exemplu, ADinf de la Dialog-Nauka) pot prinde viruși „invizibili”, chiar și atunci când sunt activi. Pentru a face acest lucru, ei citesc discul fără a utiliza apeluri DOS. Cu toate acestea, această metodă nu funcționează pe toate unitățile.
Majoritatea programelor de detectoare au o funcție „medic”, adică. ei încearcă să returneze fișierele infectate sau zonele de pe disc starea initiala. Acele fișiere care nu au putut fi recuperate devin de obicei inoperante sau șterse.
Majoritatea programelor medicale pot „vindeca” doar un anumit set fix de viruși, așa că devin rapid depășiți. Dar unele programe pot învăța nu numai cum să detecteze, ci și cum să trateze noi viruși. Astfel de programe includ AVSP de la Dialog-MSU.
PROGRAME DE AUDITOR au două etape de lucru. În primul rând, își amintesc informații despre starea programelor și a zonelor de sistem ale discurilor (sectorul de pornire și sectorul cu tabelul de partiții ale hard diskului). Se presupune că în acest moment programele și zonele discului de sistem nu sunt infectate. După aceasta, folosind programul auditor, puteți compara oricând starea programelor și a zonelor de disc de sistem cu starea inițială. Orice discrepanțe detectate sunt raportate utilizatorului.
Pentru a verifica starea programelor și discurilor de fiecare dată când sistemul de operare pornește, trebuie să includeți comanda de lansare a programului de audit în fișierul batch AUTOEXEC.BAT. Acest lucru vă permite să detectați o infecție cu virus de computer atunci când nu a provocat încă prea mult rău. Mai mult, același program de audit va putea găsi fișiere deteriorate de virus.
Multe programe de audit sunt destul de „inteligente” - pot distinge modificările în fișiere cauzate, de exemplu, de trecerea la versiune noua programe, de la modificările făcute de virus și să nu tragă o alarmă falsă. Faptul este că, de obicei, virușii modifică fișierele într-un mod foarte specific și fac aceleași modificări în fișiere de program diferite. Este clar că, într-o situație normală, astfel de schimbări nu apar aproape niciodată, astfel încât programul de audit, după ce a înregistrat astfel de modificări, poate raporta cu încredere că acestea au fost cauzate de un virus.
Alte programe folosesc adesea diverse jumătăți de măsură - încearcă să detecteze un virus în RAM, necesită apeluri din prima linie a fișierului AUTOEXEC.BAT, sperând să funcționeze pe un computer „curat” etc. Din păcate, toate acestea sunt inutile împotriva unor viruși „sprețuiți”.
Pentru a verifica dacă un fișier s-a modificat, unele programe de audit verifică lungimea fișierului. Dar această verificare nu este suficientă - unii viruși nu modifică lungimea fișierelor infectate. O verificare mai fiabilă este să citiți întregul fișier și să calculați suma de control. Este aproape imposibil să schimbați un fișier, astfel încât suma de control să rămână aceeași.
Recent, au apărut hibrizi foarte utili de auditori și medici, adică. MEDIC-AUDITORI, - programe care nu numai că detectează modificări în fișierele și zonele de sistem ale discurilor, dar le pot readuce automat la starea inițială în cazul modificărilor. Astfel de programe pot fi mult mai universale decât programele medicale, deoarece în timpul tratamentului folosesc informații pre-stocate despre starea fișierelor și a zonelor de disc. Acest lucru le permite să vindece fișiere chiar și de viruși care nu au fost creați în momentul în care a fost scris programul.
Dar nu pot trata toți virușii, ci doar pe cei care folosesc mecanisme „standard” de infectare a fișierelor cunoscute la momentul scrierii programului.
Există, de asemenea PROGRAME DE FILTRE, care sunt rezidente în memoria RAM a computerului și interceptează acele apeluri către sistemul de operare care sunt utilizați de viruși pentru a se reproduce și a provoca daune și le raportează utilizatorului. Utilizatorul poate permite sau refuza operația corespunzătoare.
Unele programe de filtrare nu „prind” acțiunile suspecte, dar verifică programele solicitate pentru execuție pentru viruși. Acest lucru face ca computerul să încetinească.
Cu toate acestea, avantajele utilizării programelor de filtrare sunt foarte semnificative - vă permit să detectați mulți viruși într-un stadiu foarte incipient, când virusul nu a avut încă timp să se înmulțească și să strice ceva. În acest fel, puteți reduce la minimum pierderile cauzate de virus.
PROGRAME DE VACCINARE, sau IMUNIZATORII, modificați programe și discuri în așa fel încât acest lucru să nu afecteze funcționarea programelor, dar virusul împotriva căruia se efectuează vaccinarea consideră aceste programe sau discuri ca fiind deja infectate. Aceste programe sunt extrem de ineficiente.
Programe antivirus
Deci, ce este un antivirus? Să risipim imediat o iluzie care apare frecvent. Din anumite motive, mulți oameni cred că un antivirus poate detecta orice virus, adică rulând un program antivirus sau un monitor, poți fi absolut sigur de fiabilitatea acestora. Acest punct de vedere nu este în întregime corect. Cert este că un antivirus este și un program, bineînțeles scris de un profesionist. Dar aceste programe sunt capabile să recunoască și să distrugă doar virușii cunoscuți. Adică, un antivirus împotriva unui anumit virus poate fi scris doar dacă programatorul are cel puțin o copie a acestui virus. Așa că există acest război nesfârșit între autorii de viruși și antivirusuri, deși din anumite motive există întotdeauna mai mulți dintre primii în țara noastră decât cei din urmă. Dar creatorii de antivirusuri au și un avantaj! Faptul este că există un număr mare de viruși, algoritmul cărora este practic copiat din algoritmul altor viruși. De regulă, astfel de variații sunt create de programatori neprofesioniști care, din anumite motive, au decis să scrie un virus. Pentru a combate astfel de „copii”, a fost inventată o nouă armă - analizoare euristice. Cu ajutorul lor, antivirusul este capabil să găsească analogi similari virușilor cunoscuți, informând utilizatorul că pare să aibă un virus. Desigur, fiabilitatea analizorului euristic nu este de 100%, dar eficiența acestuia este mai mare de 0,5. Astfel, în acest război informațional, ca, într-adevăr, în oricare altul, rămân cei mai puternici. Virușii care nu sunt recunoscuți de detectoarele antivirus pot fi scrise doar de cei mai experimentați și calificați programatori.
Astfel, este aproape imposibil să te protejezi 100% de viruși (acest lucru presupune că utilizatorul schimbă dischete cu prietenii și joacă jocuri și primește și informații din alte surse, cum ar fi rețele). Dacă nu introduceți informații în computer din exterior, este imposibil să vă infectați cu un virus - acesta nu se va naște singur.
AIDSTEST
În țara noastră, așa cum am menționat mai sus, programele antivirus care combină funcțiile detectorilor și ale medicilor au devenit deosebit de populare. Cel mai cunoscut dintre ele este programul AIDSTEST al D.N. Lozinsky. În Ucraina, aproape fiecare computer personal compatibil IBM are una dintre versiunile acestui program. Una dintre cele mai recente versiuni detectează peste 8.000 de viruși.
Pentru funcționarea sa normală, Aidstest necesită ca în memorie să nu existe antivirusuri rezidente care să blocheze scrierea în fișierele de program, așa că acestea ar trebui să fie descărcate, fie prin specificarea opțiunii de descărcare în programul rezident în sine, fie folosind utilitarul corespunzător.
Când este lansat, Aidstest își verifică memoria RAM pentru viruși cunoscuți și îi neutralizează. În acest caz, doar funcțiile virusului asociate cu reproducerea sunt paralizate, în timp ce alte reacții adverse pot rămâne. Prin urmare, după ce virusul a fost neutralizat în memorie, programul emite o solicitare de repornire. Cu siguranță ar trebui să urmați acest sfat dacă operatorul de computer nu este un programator de sistem care studiază proprietățile virușilor. În acest caz, ar trebui să reporniți folosind butonul RESET, deoarece în timpul unei „reporniri la cald”, unii viruși pot persista. În plus, este mai bine să rulați mașina și Aidstest de pe o dischetă protejată la scriere, deoarece atunci când rulați de pe un disc infectat, virusul poate deveni rezident în memorie și poate interfera cu tratamentul.
Aidstest își testează organismul pentru prezența unor viruși cunoscuți și, de asemenea, judecă după distorsiunile codului său dacă este infectat cu un virus necunoscut. În acest caz, sunt posibile cazuri de alarme false, de exemplu, atunci când antivirusul este comprimat de un ambalator. Programul nu are o interfață grafică, iar modurile sale de operare sunt setate cu ajutorul tastelor. Specificând calea, puteți verifica nu întregul disc, ci un subdirector separat.
După cum a arătat practica, cel mai optim mod pentru Munca zilnica este setat cu tastele /g (scanează toate fișierele, nu doar cele cu extensia EXE,COM,SYS) și /s (scanare lentă). Creșterea în timp cu astfel de opțiuni practic nu este vizibilă, dar probabilitatea de detectare este cu un ordin de mărime mai mare.
În timpul testării normale, nu trebuie să utilizați comutatorul /f (remedierea programelor infectate și ștergerea celor care nu pot fi restaurate), chiar și cu comutatorul /q (solicitare de ștergere a unui fișier), deoarece orice program, inclusiv antivirus, nu este imun la erori. Tasta /f trebuie folosită atunci când Aidstest, precum și alte antivirusuri, indică prezența unui virus într-un fișier. În acest caz, ar trebui să reporniți computerul de pe o dischetă protejată la scriere, deoarece sistemul poate fi infectat cu un virus rezident, iar apoi tratamentul va fi ineficient sau chiar de-a dreptul periculos. Dacă un virus este detectat într-un fișier valoros, ar trebui să îl copiați pe o dischetă, sau chiar mai bine, pe un disc electronic și să încercați să îl vindecați acolo prin specificarea opțiunii /f la Aidstest. Dacă încercarea nu reușește, atunci trebuie să ștergeți toate copiile infectate ale fișierului și să verificați din nou discul. Dacă fișierul conține informații importante pe care ar fi păcat să le ștergeți, atunci puteți arhiva fișierul și așteptați lansarea unei noi versiuni de Aidstest sau a unui alt antivirus care poate trata acest tip de virus. Pentru a accelera procesul, puteți trimite fișierul infectat ca probă către Lozinsky.
Pentru a crea un fișier jurnal pentru programul Aidstest, utilizați tasta /p. Protocolul devine necesar atunci când utilizatorul nu are timp să vizualizeze numele fișierelor infectate. Pentru a susține complexul hardware și software antivirus Sheriff (care va fi discutat mai detaliat mai târziu), se folosește cheia /z.
DOCTOR WEB
Recent, popularitatea unui alt program antivirus - Doctor Web - a crescut rapid. Dr.Web, la fel ca Aidstest, aparține clasei de detectoare de medici, dar, spre deosebire de acestea din urmă, are un așa-numit „analizor euristic” - un algoritm care vă permite să detectați viruși necunoscuți. „The Healing Web”, așa cum este tradus numele programului din engleză, a devenit răspunsul programatorilor autohtoni la invazia virușilor mutanți auto-modificatori. Aceștia din urmă, atunci când se reproduc, își modifică corpul astfel încât să nu rămână un singur lanț caracteristic de octeți care a fost prezent în versiunea originală a virusului. Dr.Web poate fi numit un antivirus de nouă generație în comparație cu Aidstest și analogii săi.
Modurile sunt controlate folosind taste, la fel ca în Aidstest. Utilizatorul poate spune programului să testeze atât întregul disc, cât și subdirectoarele individuale sau grupurile de fișiere sau să refuze să scaneze discurile și să testeze numai RAM. La rândul său, puteți testa fie doar memoria de bază, fie, în plus, memoria extinsă (indicată cu ajutorul tastei /H). La fel ca Aidstest, Doctor Web poate crea un raport de lucru (tasta /P), poate încărca un generator de caractere chirilice (tasta /R), acceptă lucrul cu complexul software și hardware Sheriff (tasta /Z).
Dar desigur, caracteristica principală„Pânza de vindecare” este prezența unui analizor euristic, care este conectat cu tasta /S. Un echilibru între viteză și calitate poate fi realizat prin specificarea nivelului de analiză euristică pentru cheie: 0 - minim, 1 - optim, 2 - maxim; în acest caz, firesc, viteza scade proporțional cu creșterea calității. În plus, Dr.Web vă permite să testați fișierele vaccinate cu CPAV, precum și ambalate cu LZEXE, PKLITE, DIET. Pentru a face acest lucru, trebuie să specificați cheia /U (în acest caz, fișierele vor fi despachetate pe dispozitivul curent) sau /U drive: (unde drive: este dispozitivul pe care se va efectua despachetarea), dacă discheta discul de pe care este lansat Doctor Web este protejat la scriere. Multe programe sunt ambalate în acest fel, deși utilizatorul poate să nu fie conștient de acest lucru. Dacă tasta /U nu este setată, Doctor Web poate pierde un virus care a intrat în programul pachet.
O funcție importantă este controlul infecției fișierelor testate cu un virus rezident (tasta /V). La scanarea memoriei, nu există nicio garanție absolută că Healing Web va detecta toți virușii aflați acolo. Deci, atunci când specificați funcția /V, Dr.Web încearcă să împiedice virușii rezidenți rămași să infecteze fișierele testate.
Testarea unui hard disk cu Dr.Web durează mult mai mult decât cu Aidstest, așa că nu fiecare utilizator își poate permite să petreacă atât de mult timp verificând întregul hard disk în fiecare zi. Astfel de utilizatori pot fi sfătuiți să verifice cu mai multă atenție dischetele aduse din exterior (cu opțiunea /S2). Dacă informațiile de pe dischetă se află într-o arhivă (și recent programele și datele sunt transferate de la o mașină la alta numai sub această formă; chiar și producătorii de software, de exemplu Borland, își ambalează produsele), ar trebui să le despachetați într-un director separat de pe hard disk și imediat, fără întârziere, lansați Dr.Web, oferindu-i calea completă către acest subdirector în loc de numele discului ca parametru. Și totuși, trebuie să efectuați o scanare completă a hard disk-ului pentru viruși cel puțin o dată la două săptămâni, setând nivelul maxim de analiză euristică.
La fel ca și în cazul Aidstest, în timpul testării inițiale nu ar trebui să permiteți programului să dezinfecteze fișierele în care detectează un virus, deoarece nu poate fi exclus ca secvența de octeți acceptată ca tipar în antivirus să poată fi găsită într-un program sănătos. Dacă, la finalizarea testării, Dr.Web afișează mesaje care indică faptul că a găsit viruși, trebuie să îl rulați cu opțiunea /P (dacă această opțiune nu a fost specificată) pentru a vedea ce fișier este infectat. După aceasta, trebuie să copiați fișierul pe o dischetă sau disc electronicși încercați să ștergeți prin specificarea tastei /F la „Healing Web”. Dacă tratamentul eșuează, trebuie să procedați în același mod ca într-o situație similară descrisă mai sus pentru programul Aidstest.
ANTIVIRUS MICROSOFT
Printre moderni versiuni MS-DOS(de exemplu, 7.10) include Microsoft Antivirus (MSAV). Acest antivirus poate funcționa în modurile detector-medic și auditor.
MSAV are o interfață ușor de utilizat în stilul MS-Windows și, desigur, suport pentru mouse. Ajutorul contextual este bine implementat: există un indiciu pentru aproape orice element de meniu, pentru orice situație. Accesul la elementele de meniu este implementat universal: pentru aceasta puteți utiliza tastele cursor, tastele (F1-F9), tastele corespunzătoare uneia dintre literele numelui articolului, precum și mouse-ul. Indicatoarele de setări din elementul de meniu Opțiuni pot fi setate folosind fie tasta SPAȚIU, fie cu tasta ENTER. Un inconvenient serios atunci când utilizați programul este că acesta salvează tabelele cu datele fișierului nu într-un singur fișier, ci le împrăștie în toate directoarele.
Când este lansat, programul încarcă propriul generator de caractere și citește arborele de directoare al discului curent, după care iese în meniul principal. Nu este clar de ce arborele de directoare ar trebui citit imediat la pornire: la urma urmei, este posibil ca utilizatorul să nu dorească să verifice discul curent. În meniul principal, puteți schimba unitatea (Selectați o unitate nouă), puteți alege între scanarea fără eliminarea virușilor (Detect) și cu eliminarea acestora (Detect&Clean). Când executați o verificare a discului (atât în modul de ștergere, cât și fără acesta), programul scanează mai întâi memoria pentru viruși cunoscuți de el. În acest caz, o indicație a muncii efectuate este afișată sub forma unei bare colorate și a procentului de lucru finalizat. După scanarea memoriei, MSAV începe să scaneze discul în sine.
În timpul primei verificări, MSAV creează fișiere CHKLIST.MS în fiecare director care conține fișiere executabile, în care scrie informații despre dimensiunea, data, ora, atribute, precum și suma de control a fișierelor controlate. În timpul verificărilor ulterioare, programul va compara fișierele cu informațiile din fișierele CHKLIST.MS. Dacă dimensiunea și data s-au schimbat, programul va informa utilizatorul despre acest lucru și va cere acțiuni suplimentare: actualizați informațiile (Actualizare), setați data și ora în conformitate cu datele din CHKLIST.MS (Reparare), continuați, nu acordând atenție modificărilor din acest fișier (Continuare), întrerupeți verificarea (Stop). Dacă suma de verificare s-a schimbat, atunci MSAV va afișa aceeași fereastră, doar în loc de elementul Reparare va exista un element de ștergere, deoarece programul nu poate restaura conținutul fișierului. Dacă un virus este detectat în modul Detect&Clean, programul va elimina virusul. Scanarea discului în ambele moduri poate fi întreruptă sau complet întreruptă apăsând ESC (sau F3) și răspunzând la întrebarea corespunzătoare din program. În timpul scanării discului, sunt afișate informații despre munca depusă: procentul de directoare procesate și procentul de fișiere procesate în directorul curent. Aceste informații sunt prezentate și vizual, sub forma unei bare colorate, ca într-un test de memorie. La sfârșitul scanării, MSAV emite un raport sub forma unui tabel, care raportează numărul de hard disk-uri și dischete scanate, numărul de fișiere scanate, infectate și dezinfectate. În plus, este afișat timpul de scanare.
În meniul Opțiuni puteți configura programul după cum doriți. Aici puteți seta modul pentru a scana viruși invizibili (Anti-Stealth), puteți verifica toate fișierele (nu doar executabile) (Verificați toate fișierele) și, de asemenea, permiteți sau dezactivați crearea tabelelor CHKLIST.MS (Creați noi sume de control). În plus, puteți seta modul de salvare a unui raport despre munca efectuată într-un fișier. Dacă setați opțiunea Create Backup, atunci înainte de a elimina virusul din fișierul infectat, o copie a acestuia va fi salvată cu extensia *.VIR
În meniul principal, puteți vizualiza lista de viruși cunoscuți de programul MSAV apăsând tasta F9. Aceasta va afișa o fereastră cu numele virușilor. Pentru a vizualiza informații mai detaliate despre virus, trebuie să mutați cursorul pe numele acestuia și să apăsați ENTER. Puteți naviga rapid la virusul de interes tastând primele litere ale numelui acestuia. Informațiile despre virus pot fi transmise imprimantei selectând elementul de meniu corespunzător.
ADINF
(Diskinfoscop avansat)
ADinf aparține clasei de programe de audit. Antivirusul are o viteză mare de operare și este capabil să reziste cu succes virușilor aflați în memorie. Vă permite să controlați discul citindu-l sector cu sector prin BIOS și fără a utiliza întreruperi ale sistemului DOS, care pot fi interceptate de un virus.
Programul ADinf a primit premiul I la cel de-al doilea concurs de programe antivirus din întreaga Uniune din 1990, precum și premiul al doilea la concursul Borland.”93 ADinf a fost singurul antivirus care, în vara anului 1991, a descoperit virusul DIR. , construit pe o metodă fundamental nouă de infectare și deghizare.
Pentru a vindeca fișierele infectate, se folosește modulul ADinf Cure, care nu este inclus în pachetul ADinf și este furnizat separat. Principiul de funcționare al modulului este de a salva o mică bază de date care descrie fișierele controlate. Lucrând împreună, aceste programe pot detecta și elimina aproximativ 97% dintre virușii de fișiere și 100% dintre virușii din sectorul de boot. De exemplu, senzaționalul virus SatanBug a fost detectat cu ușurință, iar fișierele infectate cu acesta au fost restaurate automat. Mai mult, chiar și acei utilizatori care au achiziționat ADinf și ADinf Cure Module cu câteva luni înainte de apariția acestui virus au reușit să scape de el fără dificultate.
VIRUSURI INFORMATICE, CLASIFICAREA LOR. PROGRAM ANTIVIRUS
Virus de calculator - Acest program special, Capabil să se atașeze spontan la alte programe și, atunci când acesta din urmă este lansat, să efectueze diverse acțiuni nedorite: coruperea fișierelor și directoarelor; denaturarea rezultatelor calculelor; înfundarea sau ștergerea memoriei; interferând cu funcționarea computerului. Prezența virușilor se manifestă în diferite situații.
- Unele programe nu mai funcționează sau încep să funcționeze incorect.
- Pe ecran sunt afișate mesaje străine, semnale și alte efecte.
- Computerul încetinește semnificativ.
- Structura unor fișiere se dovedește a fi coruptă.
Există mai multe caracteristici de clasificare virușii existenți:
- după habitat;
- în funcție de zona afectată;
- în funcție de caracteristicile algoritmului;
- prin metoda de infectare;
- conform posibilităţilor distructive.
Pe baza habitatului lor, ei disting între fișier, boot, macro și viruși de rețea.
Virușii de fișiere sunt cel mai comun tip de virus. Acești viruși sunt încorporați în fișiere executabile, creează fișiere satelit (viruși însoțitori) sau folosesc caracteristici ale organizării sistemului de fișiere (link virus).
Virușii de boot se scriu singuri în sectorul de boot al discului sau în sectorul de boot al hard diskului. Încep să funcționeze când computerul pornește și devin de obicei rezidenți.
Virușii macro infectează fișierele pachetelor de procesare a datelor utilizate în mod obișnuit. Acești viruși sunt programe scrise în limbaje de programare încorporate în aceste pachete. Cele mai răspândite sunt macrovirusurile pt aplicații Microsoft Birou.
Virușii de rețea folosesc protocoale sau comenzi ale rețelelor de computere și e-mailul pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii informatici cu drepturi depline au capacitatea de a rula computer la distanță codul dvs. de executat.
În practică, există diverse combinații de viruși - de exemplu, viruși de pornire a fișierelor care infectează atât fișierele, cât și sectoarele de pornire ale discurilor, sau virușii macro de rețea care infectează documentele editate și trimit copii ale acestora prin e-mail.
De regulă, fiecare virus infectează fișierele unuia sau mai multor sisteme de operare. De asemenea, mulți viruși de bootsunt concentrate pe formate specifice pentru localizarea datelor de sistem în sectoarele de boot ale discurilor. Pe baza caracteristicilor algoritmului, se disting cele rezidente; viruși, viruși ascunși, polimorfi etc. Virușii rezidenți sunt capabili să lase copii ale ei înșiși în sistemul de operare, să intercepteze procesarea evenimentelor (de exemplu, accesarea fișierelor sau discurilor) și să provoace proceduri de infectare a obiectelor (fișiere sau sectoare). Acești viruși sunt activi în memorie nu numai în timp ce programul infectat rulează, ci și după. Copiile rezidente ale unor astfel de viruși sunt viabile până când sistemul de operare este repornit, chiar dacă toate fișierele infectate de pe disc sunt distruse. Dacă un virus rezident este de asemenea bootabil și este activat la pornirea sistemului de operare, atunci nici formatarea discului dacă acest virus este prezent în memorie nu îl va șterge.
Virușii macro ar trebui, de asemenea, clasificați ca un tip de viruși rezidenți, deoarece sunt prezenți în mod constant în memoria computerului în timp ce editorul infectat rulează.
Algoritmii stealth permit virușilor să-și ascundă complet sau parțial prezența. Cel mai obișnuit algoritm ascuns este interceptarea solicitărilor sistemului de operare pentru a citi/scrie obiecte infectate. Virușii furtivi fie vindecă temporar aceste obiecte, fie înlocuiesc informații neinfectate în locul lor. Parțial, virușii stealth includ un grup mic de viruși macro care își stochează codul principal nu în macrocomenzi, ci în alte zone ale documentului - în variabilele sale sau în textul automat.
Polimorfismul (auto-criptare) este folosit pentru a complica procedura de detectare a virusului. Virușii polimorfi sunt viruși care sunt greu de detectat și nu au o secțiune constantă de cod. ÎN caz general două mostre ale aceluiași virus nu se potrivesc. Acest lucru se realizează prin criptarea corpului principal al virusului și modificarea programului de decriptare.
Atunci când se creează viruși, se folosesc adesea tehnici non-standard. Utilizarea lor ar trebui să facă cât mai dificilă detectarea și eliminarea virusului.
Pe baza metodei de infectare, se face o distincție între programele troiene, utilitățile de administrare ascunse, virușii intenționați etc.
Caii troieni își iau numele prin analogie cu calul troien. Scopul acestor programe este de a imita oricare programe utile, versiuni noi de utilitare populare sau completări la acestea. Când utilizatorul le scrie pe computerul său, programele troiene sunt activate și efectuează acțiuni nedorite.
Utilitarele de administrare ascunse sunt un tip de programe troiene. În funcționalitatea și interfața lor, ele amintesc în multe privințe de sistemele de administrare a computerelor într-o rețea, dezvoltate și distribuite de diverși producători de produse software. În timpul instalării, aceste utilitare instalează independent un sistem ascuns pe computer. telecomandă. Ca urmare, devine posibil control ascuns acest calculator. Implementarea algoritmilor de bază, utilitarele, fără știrea utilizatorului, primesc, lansează sau trimit fișiere, distrug informații, repornesc computerul etc. Aceste utilitare pot fi folosite pentru a detecta și transmite parole și alte informații confidențiale, lansează viruși și distrug date. .
Virușii vizați includ programe care nu se pot reproduce din cauza erorilor existente în ei. Această clasă include și virușii care se reproduc o singură dată. După ce au infectat un fișier, își pierd capacitatea de a se reproduce în continuare prin intermediul acestuia.
În funcție de capacitățile lor distructive, virușii sunt împărțiți în:
- nepericuloase, al căror impact este limitat de scăderea memoriei libere a discului, încetinirea computerului, efectele grafice și sonore;
- periculos, care ar putea duce la nereguli în structura fișierelor și defecțiuni ale computerului;
- foarte periculos, al cărui algoritm include în mod specific procedurile de distrugere a datelor și capacitatea de a asigura uzura rapidă a părților mobile ale mecanismelor prin introducerea în rezonanță și distrugerea capetelor de citire/scriere ale unor HDD-uri.
Pentru combaterea virusurilor, există programe care pot fi împărțite în grupe principale: monitoare, detectoare, medici, auditori și vaccinuri.
Monitorizarea programelor(programele de filtrare) sunt localizate rezidente în sistemul de operare al computerului, interceptațiși informează utilizatorul despre apelurile de sistem de operare care sunt utilizate de viruși pentru a se reproduce și a cauza daune. Utilizatorul are capacitatea de a permite sau de a refuza executarea acestor apeluri. Avantajul unor astfel de programe este capacitatea de a detecta viruși necunoscuți. Utilizarea programelor de filtrare vă permite să detectați virușii într-un stadiu incipient al infectării computerului. Dezavantajele programelor sunt incapacitatea de a urmări virușii care accesează direct BIOS-ul, precum și virușii de boot care sunt activați înainte ca antivirusul să pornească la încărcarea DOS și emiterea frecventă de solicitări de efectuare a operațiunilor.
Programe detectoare verificați dacă fișierele și discurile conțin o combinație de octeți specifică unui anumit virus. Dacă este detectat, este afișat un mesaj corespunzător. Dezavantajul este că poate proteja doar împotriva virușilor cunoscuți.
Programe medicale restabiliți programele infectate prin eliminarea corpului virusului din ele. De obicei, aceste programe sunt concepute pentru anumite tipuri de viruși și se bazează pe compararea secvenței de coduri conținute în corpul virusului cu codurile programelor scanate. Programele Doctor trebuie actualizate periodic pentru a obține versiuni noi care detectează noi tipuri de viruși.
Programe de auditor analiza modificările stării fișierelor și zonelor de sistem ale discului. Verificați starea sectorului de boot și a tabelului FAT; lungimea, atributele și timpul de creare a fișierelor; coduri de sumă de control. Utilizatorul este notificat dacă sunt detectate discrepanțe.
Programele de vaccinare modifică programele și riscurile în așa fel încât acest lucru să nu afecteze funcționarea programelor, dar virusul împotriva căruia se efectuează vaccinarea consideră că programele sau discurile sunt deja infectate. Programele antivirus existente aparțin în principal clasei hibride (medici detectori, auditori medici etc.).
În Rusia, cele mai utilizate programe antivirus sunt Kaspersky Lab (Anti-IViral Toolkit Pro) și DialogScience (Adinf, Dr.Web). AntiViral Toolkit Pro (AVP) include Scaner AVP, paznic rezident AVP Monitor, un program pentru administrarea componentelor instalate. Centru de control și un număr de altele. AVP Scanner, pe lângă scanarea tradițională a fișierelor executabile și a fișierelor de documente, procesează bazele de date de e-mail. Utilizarea scanerului vă permite să detectați viruși în fișiere împachetate și arhivate (neprotejate prin parole). Detectează și elimină macroviruși, polimorfi, stealth, troieni și viruși necunoscuți anterior. Acest lucru se realizează, de exemplu, prin utilizarea analizoarelor euristice. Astfel de analizoare simulează funcționarea procesorului și analizează acțiunile fișierului diagnosticat. În funcție de aceste acțiuni, se ia o decizie cu privire la prezența unui virus.
Monitorizarea comenzilor poteci tipice pătrunderea virușilor, de exemplu operațiunile care accesează fișiere și sectoare.
AVP Control Center este un shell de servicii conceput pentru a seta ora de pornire a scanerului, pentru a actualiza automat componentele pachetului etc.
Dacă computerul dvs. este infectat sau este suspectat că este infectat cu un virus, trebuie să:
- evaluează situația și nu întreprinde acțiuni care duc la pierderea informațiilor;
- reporniți sistemul de operare al computerului. În acest caz, utilizați o dischetă de sistem specială, pre-creată și protejată la scriere. Ca rezultat, activarea virușilor de boot și rezidenți de pe hard diskul computerului va fi împiedicată;
- rulați programele antivirus existente până când toți virușii sunt detectați și eliminați. Dacă este imposibil să eliminați virusul și dacă există informații valoroase în fișier, arhivați fișierul și așteptați lansarea unei noi versiuni a antivirusului. După ce ați terminat, reporniți computerul.
1. Introducere
2.1 Fișieră viruși
2.2 Pornirea virușilor
2.3 Viruși macro
2.4 Viruși de rețea
3. Programe antivirus
4. Tipuri de antivirusuri
4.1 Scanere
4.2 Scanere CRC
4.3 Monitoare
1. Introducere
Primele studii ale structurilor artificiale autoreplicabile au fost efectuate la mijlocul secolului trecut. În lucrările lui von Neumann, Wiener și alți autori, a fost dată și realizată o definiție analiză matematică mașini cu stări finite, inclusiv cele care se reproduc pe sine. Termenul „virus de computer” a apărut mai târziu. Oficial se crede că a fost folosit pentru prima dată de F. Cohen, angajat al Universității Lehigh (SUA), în 1984, la a 7-a Conferință privind Securitatea Informației, desfășurată în SUA. A trecut mult timp de atunci, gravitatea problemei virușilor a crescut de multe ori, dar nu a fost dată o definiție strictă a ceea ce este un virus informatic, în ciuda faptului că mulți au încercat să facă acest lucru în mod repetat.
Principala dificultate care apare atunci când încercați să dați o definiție strictă a unui virus este că aproape toate caracteristicile distinctive ale unui virus (introducerea în alte obiecte, secretul, pericolul potențial) sunt fie inerente altor programe care nu sunt în niciun fel viruși, sau există viruși care nu conțin cele de mai sus trăsături distinctive(excluzând posibilitatea distribuirii).
Prin urmare, pare posibil să se formuleze numai condiție cerută pentru ca o secvență de cod executat să fie un virus.
Proprietate obligatorie (necesară) a unui virus informatic- capacitatea de a crea propriile duplicate (nu întotdeauna identice cu originalul) și de a le implementa în rețele de computere și/sau fișiere, zone de sistem ale computerului și alte obiecte executabile. În același timp, duplicatele își păstrează capacitatea de a se răspândi în continuare.
2. Clasificarea virușilor informatici
Virușii pot fi împărțiți în clase în funcție de următoarele caracteristici principale:
habitat;
sistem de operare;
caracteristicile algoritmului de operare;
posibilități distructive.
Depinzând de habitat virusurile pot fi împărțite:
fişier;
cizmă;
macrovirusuri;
Fișieră viruși fie sunt încorporate în fișiere executabile în diferite moduri, fie creează fișiere duplicate, fie folosesc particularitățile organizării sistemului de fișiere.
Porniți viruși se scriu fie în sectorul de pornire al discului, fie în sectorul care conține încărcătorul de pornire de sistem al hard disk-ului sau schimbă indicatorul către sectorul de pornire.
Viruși macro infectați fișierele documentelor și foile de calcul ale mai multor editori populari.
Viruși de rețea utilizați protocoale sau comenzi ale rețelelor de calculatoare și e-mail pentru distribuirea lor.
Există un număr mare de combinații, de exemplu, viruși de pornire a fișierelor care infectează atât fișierele, cât și sectoarele de boot ale discurilor. Astfel de viruși, de regulă, au un algoritm de operare destul de complex și folosesc adesea metode originale de pătrundere în sistem. Un alt exemplu de astfel de combinație este un virus macro de rețea, care nu numai că infectează documentele în curs de editare, ci și trimite copii ale lui prin e-mail.
Sistem de operare infectat este al doilea nivel de împărțire a virușilor în clase.
Fiecare fişierȘi virus de rețea infectează fișierele unuia sau mai multor sisteme de operare - DOS, Windows, Win95/NT, OS/2 etc.
Viruși macro infectați fișierele în formatele Word, Excel, Office 97.
Porniți viruși sunt, de asemenea, concentrate pe formate specifice pentru locația datelor de sistem în sectoarele de boot ale discurilor.
Printre caracteristicile algoritmului de operare virusuri se remarcă următoarele:
rezidenta;
utilizarea algoritmilor „stealth”;
auto-criptare și polimorfism;
utilizarea tehnicilor nestandardizate.
Virus rezident Când un computer este infectat, acesta își lasă partea rezidentă în memoria de operare, care apoi interceptează apelurile de la sistemul de operare pentru a infecta obiectele și se injectează în ele. Virușii rezidenți sunt activi nu numai în timp ce programul infectat rulează, ci și după ce programul a terminat de rulat. Copiile rezidente ale unor astfel de viruși rămân viabile până la următoarea repornire, chiar dacă toate fișierele infectate de pe disc sunt distruse. Adesea, este imposibil să scapi de astfel de viruși prin restaurarea tuturor copiilor de fișiere de pe discurile de distribuție. Copia rezidentă a virusului rămâne activă și infectează fișierele nou create. Același lucru este valabil și pentru virușii de boot; formatarea unui disc în timp ce există un virus rezident în memorie nu vindecă întotdeauna discul, deoarece mulți viruși rezidenți îl reinfectează după ce a fost formatat.
Virușii macro pot fi considerați rezidenți, deoarece sunt prezenți și în memoria computerului pe toată durata rulării editorului infectat. În acest caz, editorul preia rolul sistemului de operare, iar conceptul de „repornire a sistemului de operare” este interpretat ca ieșire din editor.
Virușii nerezidenți, dimpotrivă, sunt activi pentru o perioadă destul de scurtă - doar în momentul lansării programului infectat. Pentru a se răspândi, ei caută fișiere neinfectate de pe disc și le scriu.
După ce codul virusului transferă controlul către programul gazdă, impactul virusului asupra sistemului de operare este redus la zero până la următoarea lansare a oricărui program infectat. Prin urmare, este mult mai ușor să ștergeți fișierele infectate cu viruși nerezidenți de pe disc, fără ca virusul să le infecteze din nou.
Utilizare algoritmi „stealth”. permite virușilor să se ascundă complet sau parțial în sistem. Cel mai obișnuit algoritm „stealth” este interceptarea solicitărilor sistemului de operare de a citi și scrie obiecte infectate și apoi virușii „stealth” fie le vindecă temporar, fie înlocuiesc informații neinfectate în locul lor. În cazul virușilor macro, cea mai populară metodă este dezactivarea apelurilor către meniul de vizualizare macro.
Auto-criptareȘi polimorfism sunt folosite de aproape toate tipurile de viruși pentru a complica cât mai mult procedura de detectare a virusului. Virușii polimorfi sunt cei care nu pot fi detectați (sau sunt extrem de dificili) folosind așa-numitele măști de virus - secțiuni de cod specifice unui anumit virus. Acest lucru se realizează în două moduri - prin criptarea codului principal al virusului cu o cheie nepermanentă și un set aleatoriu de comenzi de decriptare sau prin modificarea codului virusului executabil în sine.
Variat tehnici non-standard sunt adesea folosite în viruși pentru a se ascunde cât mai adânc posibil în nucleul sistemului de operare, pentru a-și proteja copia rezidentă împotriva detectării, pentru a îngreuna tratarea virusului etc.
De posibilități distructive Virușii pot fi împărțiți în:
inofensiv, adică care nu afectează în niciun fel funcționarea computerului (cu excepția reducerii memoriei libere de pe disc ca urmare a distribuției lor);
nepericuloase, al căror impact este limitat de o scădere a memoriei libere pe disc și efecte grafice, sonore și alte efecte;
viruși periculoși care pot duce la defecțiuni grave ale computerului;
foarte periculos - algoritmul lor de funcționare conține în mod deliberat proceduri care pot provoca pierderea programelor, distrugerea datelor și ștergerea informațiilor necesare funcționării computerului înregistrate în zonele de memorie ale sistemului.
Dar chiar dacă în algoritmul virusului nu se găsesc ramuri care să provoace daune sistemului, acest virus nu poate fi numit inofensiv cu încredere deplină, deoarece pătrunderea lui într-un computer poate provoca consecințe imprevizibile și uneori catastrofale. La urma urmei, un virus, ca orice program, are erori, în urma cărora atât fișierele, cât și sectoarele de disc pot fi deteriorate.
2.1 Fișieră viruși
Acest grup include viruși care, atunci când se replic într-un fel sau altul, folosesc sistemul de fișiere al unui sistem de operare.
Virușii de fișiere pot fi încorporați în aproape toate fișierele executabile ale tuturor sistemelor de operare populare.
Există viruși care infectează fișierele care conțin textele sursă programe, bibliotecă sau module obiect. De asemenea, este posibil ca un virus să fie scris în fișierele de date, dar acest lucru se întâmplă fie ca urmare a unei erori a virusului, fie atunci când proprietățile sale agresive se manifestă.
Cum funcționează un virus de fișier:
După ce a primit controlul, virusul funcționează următoarele acțiuni:
un virus rezident verifică memoria RAM pentru prezența copiei sale și infectează memoria computerului dacă nu este găsită o copie a virusului; un virus nerezident caută fișiere neinfectate în actualul și (sau) directoare rădăcină, în directoarele marcate cu comanda PATH, scanează arborele de directoare al unităților logice și apoi infectează fișierele detectate;
execută dacă există, funcții suplimentare: acțiuni distructive, efecte grafice sau sonore etc. (funcțiile suplimentare ale virusului rezident pot fi apelate la ceva timp după activare, în funcție de ora curentă, configurația sistemului, contoarele interne de viruși sau alte condiții; în acest caz, atunci când este activat, virusul procesează starea ceasului sistemului, își setează contoare etc.)
2.2 Pornirea virușilor
Virușii de boot infectează sectorul de boot al unei dischete și sectorul de boot sau MasterBootRecord (MBR) al unui hard disk. Principiul de funcționare al virușilor de boot se bazează pe algoritmi de pornire a sistemului de operare atunci când porniți sau reporniți computerul: după testele necesare ale echipamentului instalat (memorie, discuri), programul pornirea sistemului citește primul sector fizic al discului de pornire și transferă controlul către A:, C: sau CD-ROM, în funcție de parametrii setați în BIOS Setup.
În cazul unei dischete sau CD, controlul este primit de sectorul de boot al discului, care analizează tabelul cu parametrii discului și calculează adresele fișiere de sistem sistem de operare, le citește memoria și le lansează pentru execuție. Dacă nu există fișiere de sistem de operare pe discul de pornire, programul situat în sectorul de pornire al discului afișează un mesaj de eroare și sugerează înlocuirea discului de pornire.
În cazul unui hard disk, controlul este primit de un program situat în MBR-ul hard disk-ului. Analizează tabelul de partiții ale discului (DiskPartitionTable), calculează adresa sectorului de pornire activ (de obicei acest sector este sectorul de pornire al unității C:), îl încarcă în memorie și îi transferă controlul. După ce a primit controlul, sectorul de pornire activ al hard disk-ului efectuează aceleași acțiuni ca și sectoarele de pornire ale unei dischete.
Când infectează discurile, virușii de pornire își înlocuiesc codul în locul oricărui program care câștigă controlul la pornirea sistemului. Principiul infecției: virusul „forțează” sistemul, atunci când este repornit, să citească în memorie și să dea control nu codului original de încărcare, ci codului virusului.
Singura modalitate de a infecta dischetele este într-un mod cunoscut: virusul își scrie codul în schimb codul original sectoarele de pornire ale dischetei.
Winchester se infectează cu trei moduri posibile: virusul scrie fie în locul codului MBR, fie în locul codului sectorului de boot al discului de boot (de obicei C:), fie modifică adresa sectorului de boot activ în DiskPartitionTable, aflat în MBR-ul hard diskului.
Algoritm pentru funcționarea unui virus de boot.
Aproape toți virușii de boot sunt rezidenți. Acestea sunt încorporate în memoria computerului atunci când sunt pornite de pe un disc infectat. În acest caz, încărcătorul de pornire a sistemului citește conținutul primului sector al discului de pe care este făcută boot-ul, plasează informațiile citite în memorie și îi transferă controlul (adică virusului). După aceasta, încep să fie executate instrucțiunile virusului, care:
de regulă, reduce cantitatea de memorie liberă, își copiază codul în spațiul liber și citește continuarea (dacă există) de pe disc;
interceptează vectorii de întrerupere necesari, citește sectorul original de pornire în memorie și îi transferă controlul.
Ulterior, virusul de boot se comportă la fel ca un virus de fișier rezident: interceptează apelurile sistemului de operare către discuri și le infectează, în funcție de anumite condiții efectuează acțiuni distructive sau provoacă efecte sonore sau video.
Există și viruși de boot nerezidenți. Când sunt încărcate, acestea infectează MBR-ul hard disk-ului și al dischetelor, dacă sunt prezente în unitate. Astfel de viruși transferă apoi controlul către bootloader-ul original și nu mai afectează funcționarea computerului.
2.3 Viruși macro
Virușii macro sunt programe scrise în limbi (macrolimbi) încorporate în unele sisteme de prelucrare a datelor (editore de text, foi de calcul). Pentru a se reproduce, astfel de viruși folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier (document sau tabel) în altele. Cei mai răspândiți viruși macro sunt pentru Microsoft Word, Excel și Office 97.
Pentru ca virușii să existe într-un anumit sistem, este necesar să existe un limbaj macro încorporat în sistem cu următoarele capacități:
legarea unui program într-un limbaj macro la fisier specific;
copierea programelor macro dintr-un fișier în altul;
obținerea controlului unui program macro fără intervenția utilizatorului (macro-uri automate sau standard).
Algoritmul Macrovirusului Word
Majoritatea virușilor macro-cunoscuți Word, atunci când sunt lansate, își transferă codul (macro-urile) în zona macro globală a documentului; pentru aceasta, folosesc comenzile de copiere macro MacroCopy, Organizator. Copiați sau utilizați editorul de macrocomenzi. Virusul îl numește, creează o nouă macrocomandă, își introduce codul în ea, pe care îl salvează în document.
Când ieșiți din Word, macrocomenzile globale sunt scrise automat în fișierul DOT cu macrocomenzi globale (de obicei NORMAL.DOT). Astfel, data viitoare când porniți virusul Word, acesta este activat în momentul în care WinWord încarcă macrocomenzi globale.
Virusul anulează apoi una sau mai multe macrocomenzi standard și interceptează comenzile pentru lucrul cu fișierele. Când aceste comenzi sunt apelate, virusul infectează fișierul accesat. Pentru a face acest lucru, virusul convertește fișierul în formatul șablon (ceea ce face imposibilă modificarea în continuare a formatului de fișier) și își scrie macrocomenzile în fișier, inclusiv un automacro.
Astfel, dacă un virus interceptează macro-ul FileSaveAs, atunci fiecare fișier DOS salvat prin macro-ul interceptat de virus este infectat. Dacă macrocomanda FileOpen este interceptată, virusul este scris în fișier atunci când este citit de pe disc.
Algoritmul de funcționare a virusului macro Excel
Metodele de reproducere pentru virușii Excel sunt în general similare cu cele pentru virușii Word. Diferențele sunt în comenzile de copiere macro și absența lui NORMAL. DOT, funcția sa (în sens viral) este îndeplinită de fișierele din CATALOGUL DE PORNIRE al Excel.
2.4 Viruși de rețea
Virușii de rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță.
Virușii de rețea din trecut s-au răspândit într-o rețea de computere și, de obicei, nu modificau fișierele sau sectoarele de pe discuri. Au pătruns în memoria computerului dintr-o rețea de calculatoare, calculată adrese de rețea alte computere și și-au trimis copiile la aceste adrese.
Virușii moderni de rețea sunt Macro. Cuvânt. ShareFun și Win. Homer. primul folosește capacitățile de e-mail ale MicrosoftMail. El creează o nouă scrisoare care conține un document de fișier infectat, apoi selectează trei din lista de adrese MS-Mail adrese aleatoriiși le trimite o scrisoare infectată.
Al doilea virus (Homer) se răspândește protocol FTP(FileTrausferProtocol) și își transferă copia pe un server ftp la distanță din directorul Incoming. Deoarece protocolul de rețea FTP nu permite rularea fișierelor pe un server la distanță, acest virus poate fi caracterizat ca semi-rețea, dar acesta este un exemplu real al capacității virușilor de a utiliza protocoale de rețea moderne și de a infecta rețelele globale.
3. Programe antivirus
Programele antivirus sunt cele mai eficiente în lupta împotriva virușilor informatici. Cu toate acestea, trebuie menționat că nu există antivirusuri care să garanteze protecție 100% împotriva virușilor. Astfel de sisteme nu există, deoarece pentru orice algoritm antivirus este întotdeauna posibil să se propună un contra-algoritm pentru un virus care este invizibil pentru acest antivirus (din fericire, reversul este și adevărat: pentru orice algoritm de virus este întotdeauna posibil să se creeze un antivirus). Mai mult, imposibilitatea existenței unui antivirus absolut a fost dovedită matematic pe baza teoriei mașinilor cu stări finite, autorul dovezii fiind Fred Cohen.
Calitatea unui program antivirus este determinată de următoarele elemente, enumerate în ordinea descrescătoare a importanței lor.
Fiabilitate și ușurință în utilizare- nu se blochează antivirus sau alte probleme tehnice care să impună utilizatorului antrenament special.
Acesta este cel mai important criteriu, deoarece chiar și un antivirus absolut poate fi inutil dacă nu poate finaliza procesul de scanare - se blochează și nu scanează unele discuri și fișiere și, astfel, lasă virusul nedetectat în sistem. Dacă antivirusul necesită cunoștințe speciale de la utilizator, atunci va fi, de asemenea, inutil; majoritatea utilizatorilor vor ignora pur și simplu mesajele antivirus.
Ei bine, dacă un antivirus pune întrebări dificile unui utilizator obișnuit prea des, atunci cel mai probabil utilizatorul va înceta să mai folosească un astfel de antivirus.
Calitatea detectării virușilor toate tipurile obișnuite, scanarea în interiorul fișierelor documente/foilor de calcul (MSWord, Excel, Office), fișiere împachetate și arhivate. Fără „false pozitive”. Capacitatea de a trata obiectele infectate.
Orice antivirus este inutil dacă nu este capabil să prindă viruși sau nu o face bine. Prin urmare, calitatea detectării virușilor este al doilea cel mai important criteriu pentru „calitatea” unui program antivirus. Cu toate acestea, dacă antivirusul cu calitate superioară detectarea virușilor provoacă un număr mare de fals pozitive, apoi nivelul său de utilitate scade brusc, deoarece utilizatorul este forțat fie să distrugă fișierele neinfectate, fie să analizeze în mod independent fișierele suspecte, fie se obișnuiește cu frecvente fals pozitive - nu mai acordă atenție mesajelor antivirus și , ca urmare, ratează mesajul unui virus real.
Multiplatformă Antivirusul este următorul element din listă, deoarece numai un program conceput pentru un anumit sistem de operare poate folosi pe deplin funcțiile acelui sistem. Antivirusurile non-native se dovedesc adesea a fi ineficiente și uneori chiar distructive.
Oportunitate verificarea fișierelor din mers este, de asemenea, o caracteristică destul de importantă a unui antivirus. Scanarea instantanee și forțată a fișierelor și a dischetelor introduse care ajung pe computer este o garanție de aproape 100% împotriva infecției cu virus.
Următorul criteriu cel mai important este viteza de operare. Dacă un antivirus durează câteva ore pentru a vă scana complet computerul, este puțin probabil ca majoritatea utilizatorilor să îl ruleze suficient de des. În același timp, încetineala unui antivirus nu înseamnă deloc că prinde mai mulți viruși și o face mai bine decât un antivirus mai rapid. Diferite antivirusuri folosesc diferiți algoritmi de căutare a virușilor; un algoritm poate fi mai rapid și de calitate superioară, în timp ce altul poate fi mai lent și de calitate inferioară. Totul depinde de abilitățile și profesionalismul dezvoltatorilor unui anumit antivirus.
Prezența unor funcții și caracteristici suplimentare se află pe lista calităților antivirus ultimul loc, deoarece de foarte multe ori aceste funcții nu afectează în niciun fel nivelul de utilitate al antivirusului. Cu toate acestea, aceste caracteristici suplimentare fac viața utilizatorului mult mai ușoară.
4. Tipuri de antivirusuri
Cele mai populare și eficiente programe antivirus sunt scanerele antivirus. În urma lor sunt scanere CRC. Adesea, ambele metode sunt combinate într-una singură program universal, ceea ce îi mărește semnificativ puterea. De asemenea, sunt utilizate diverse tipuri de monitoare (blocante) și imunizatoare.
4.1 Scanere
Principiul de funcționare al scanerelor antivirus se bazează pe verificarea fișierelor, sectoarelor și memoriei de sistem și căutarea acestora pentru viruși cunoscuți și noi (necunoscuți de scaner). Pentru a căuta viruși cunoscuți, sunt folosite așa-numitele măști. Masca unui virus este o secvență constantă de cod specifică acestui virus anume. Dacă virusul nu conține o mască sau masca nu este suficient de lungă, atunci se folosesc alte metode. Un exemplu de astfel de metodă este un limbaj algoritmic care descrie totul opțiuni posibile cod care poate apărea atunci când este infectat cu un virus de acest tip.
Multe scanere folosesc, de asemenea, algoritmi de scanare euristică, de exemplu. analizarea secvenței comenzilor din obiectul verificat, colectarea unor statistici și luarea unei decizii pentru fiecare obiect verificat.
Avantajele scanerelor includ versatilitatea lor, dezavantajele sunt dimensiunea lor baze de date antivirus, pe care scanerele trebuie să le „poarte cu ele”, și relativ viteza mica caută viruși.
4.2 Scanere CRC
Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC (sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări etc. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile reale calculate. Dacă informațiile fișierului înregistrate în baza de date nu se potrivesc cu valori reale, apoi scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus.
Scanerele CRC care folosesc algoritmi „anti-stealth” sunt o armă destul de puternică împotriva virușilor: aproape 100% dintre viruși sunt detectați aproape imediat după ce apar pe computer. Cu toate acestea, acest tip de antivirus are un dezavantaj care le reduce semnificativ eficacitatea.
Acest dezavantaj este că scanerele CRC nu sunt capabile să prindă un virus în momentul în care acesta apare în sistem, dar face acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer. Scanerele CRC nu pot detecta viruși în fișiere noi, deoarece baza lor de date nu conține informații despre aceste fișiere.
Mai mult, apar periodic viruși care profită de această „slăbiciune” a scanerelor CRC, infectând doar fișierele nou create și rămânând astfel invizibile pentru scanerele CRC.
4.3 Monitoare
Monitoarele antivirus sunt programe rezidente care interceptează situațiile periculoase de viruși și informează utilizatorul despre aceasta. Cele periculoase pentru viruși includ apeluri de deschidere pentru scriere în fișiere executabile, scriere pe sectoare de pornire ale discurilor sau MBR-ul unui hard disk, încercările programelor de a rămâne rezidente, de ex. provocări care sunt tipice pentru viruși în timpul reproducerii lor.
Avantajele monitoarelor includ capacitatea lor de a detecta și bloca virusul în stadiul incipient al reproducerii acestuia. Dezavantajele includ existența unor modalități de ocolire a protecției monitorului și a unui număr mare de fals pozitive, ceea ce, aparent, a fost motivul abandonului aproape complet al acestui tip de programe antivirus de către utilizatori.
De asemenea, este necesar să rețineți această direcție agenți antivirus, precum monitoarele antivirus realizate sub formă de componente hardware ale computerului. Cu toate acestea, ca și în cazul monitoarelor de program, o astfel de protecție este ușor de ocolit. La dezavantajele de mai sus se adaugă și problemele de compatibilitate cu configurațiile standard ale computerelor și dificultățile de instalare și configurare a acestora. Toate acestea fac ca monitoarele hardware să fie extrem de nepopulare în comparație cu alte tipuri protectie antivirus.
4.4 Imunizatoare
Imunizatoarele sunt împărțite în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția.
Primele sunt de obicei scrise la sfârșitul fișierelor și de fiecare dată când fișierul este lansat, îl verifică pentru modificări. Astfel de imunizatoare au un singur dezavantaj, dar este letal: incapacitatea absolută de a raporta infecția cu un virus „stealth”. Prin urmare, astfel de imunizatoare, precum monitoarele, practic nu sunt utilizate în prezent.
Al doilea tip de imunizare protejează sistemul de infecția cu un virus de vreun fel. un anumit tip. Fișierele de pe discuri sunt modificate în așa fel încât virusul să le perceapă ca deja infectate.
Pentru a proteja împotriva unui virus rezident, un program care simulează o copie a virusului este inserat în memoria computerului; atunci când este lansat, virusul îl întâlnește și crede că sistemul este deja infectat.
Acest tip de imunizare nu poate fi universal, deoarece este imposibil să se imunizeze fișierele împotriva tuturor virușilor cunoscuți. Cu toate acestea, în ciuda acestui fapt, astfel de imunizatoare, ca jumătate de măsură, pot proteja destul de fiabil un computer de un nou virus necunoscut până în momentul în care este detectat de scanerele antivirus.
Bibliografie
1. Kaspersky E.V. Virușii informatici: ce sunt aceștia și cum să le combatem. - M.: SK Press, 1998. - 288 p.
2. Informatica. Curs de bază.ediția a II-a / Ed. S.V. Simonovici. - Sankt Petersburg: Peter, 2006. - 640 p.
Viruși și antivirusuri
Completat de: Ilya Silkin 2-TR
1.Ce sunt virușii și antivirusurile.
2.Mai multe informații despre viruși.
3.Mai multe informații despre antivirusuri.
4.Lista de antivirusuri de calitate.
5. Lista virusurilor comune.
Ce sunt virușii și antivirusurile?
Virus informatic (CV) Virus informatic (CV) este un program capabil să creeze copii ale lui însuși (nu neapărat complet identice cu originalul), să le introducă în diferite obiecte sau resurse ale sistemelor de calculatoare, rețelelor și să efectueze anumite acțiuni fără știrea utilizatorului.
Antivirus – Acest un program pentru a vă proteja computerul sau dispozitivul mobil de programe malware. Termenul " malware» include toate tipurile posibile de programe periculoase, cum ar fi viruși, viermi, cai troieni și spyware.
Citiți mai multe despre viruși.
Diferiți viruși funcționează diferit actiuni:
Afișează informații deranjante pe ecran mesaje text(felicitari, sloganuri politice, fraze umoristice etc.);
Crea efecte sonore(imn, scară, melodie populară);
Crea efecte video(întoarceți sau mutați ecranul, simulați un cutremur, provocați căderea literelor din text, afișați imagini etc.);
Încetini funcționarea computerului, reduce treptat cantitatea de RAM liberă;
Crește purta hardware (de exemplu, capete de antrenare);
Apel refuz dispozitive individuale, înghețarea sau repornirea computerului și blocarea întregului computer;
Distruge format FAT HDD, ștergeți BIOS-ul, distrugeți sau modificați datele, ștergeți programele antivirus;
Desfășoară activități științifice, tehnice, industriale și financiare spionaj;
Dezactivați sistemele protecţie informatii, etc.
Simptome infecție virală a unui computer:
Unele programe încetinesc
Creșterea dimensiunilor fișierelor (în special cele executabile)
Apariția unor fișiere „ciudate” inexistente anterior
Cantitate redusă de RAM disponibilă (comparativ cu funcționarea normală)
Diverse efecte video și sonore apar brusc
Apariția defecțiunilor sistemului de operare (inclusiv înghețare)
Scrierea informațiilor pe discuri în momente în care acest lucru nu ar trebui să se întâmple
Oprirea sau funcționarea incorectă a programelor care funcționau normal anterior.
Există număr mare variat clasificări virusuri:
După habitat:
Reţea– răspândit în rețele (Melissa).
Fişier– infectați fișierele executabile cu extensiile .exe, .com. Această clasă include, de asemenea, macrovirusuri care infectează fișiere neexecutabile (de exemplu, în MS WORD sau MS EXCEL).
Boot– sunt încorporate în sectorul de boot al discului (Sectorul de pornire) sau în sectorul care conține programul de pornire a discului de sistem (Master Boot Record - MBR). Unii viruși își scriu corpurile în sectoare libere ale discului, marcându-i ca „răi” în FAT.
Fișier-boot– capabil să infecteze sectoarele și fișierele de boot.
Prin metoda de infectare:
Rezident– își lasă partea rezidentă în RAM, care apoi interceptează apelurile de program către sistemul de operare și este încorporată în ele. Virusul își poate repeta acțiunile distructive de multe ori.
Non rezident– nu infectează RAM și sunt active o singură dată când programul infectat este lansat.
După gradul de pericol:
Nepericuloase– de exemplu, pe ecran apare un mesaj: „Vreau chuchu”. Dacă tastați cuvântul „chucha” pe tastatură, virusul se va „calma” temporar.
Periculos– distrugeți unele fișiere de pe disc.
Foarte periculos– formatați singuri hard diskul. (CIH - se activează pe 26 a fiecărei luni și este capabil să distrugă date de pe hard disk și din BIOS).
În funcție de caracteristicile algoritmului:
Virușii însoțitori– creați noi fișiere satelit pentru fișierele exe cu același nume, dar cu extensia com. Virusul este scris într-un fișier com și nu modifică fișierul exe cu același nume în niciun fel. Când rulează un astfel de fișier, sistemul de operare va detecta și executa mai întâi fișierul COM, adică. un virus care va lansa apoi fișierul exe.
Replicatori (viermi) - distribuit pe internet. Ele pătrund în memoria computerului din rețea, calculează adresele de rețea ale altor computere și trimit copii ale acestora la aceste adrese. Viermii se reduc debitului rețelele încetinesc serverele. Ele se pot înmulți fără a fi introduse în alte programe și sunt „umplute” cu viruși informatici. („Viermele Morris” a paralizat mai multe rețele globale din Statele Unite la sfârșitul anilor 80).
Invizibilitate (stealth) – maschează prezența lor într-un computer și sunt greu de detectat. Ei interceptează apelurile sistemului de operare către fișiere infectate sau sectoare de disc și „înlocuiesc” secțiunile neinfectate ale fișierelor.
Mutanți (fantome, virusuri polimorfe, polimorfe) – sunt greu de detectat, pentru că copiile lor nu conțin practic nicio secțiune de cod care se potrivește complet. Acest lucru se realizează prin adăugarea de comenzi goale (gunoi) la programele viruși, care nu schimbă algoritmul virusului, dar îngreunează detectarea acestora. (OneHalf – „epidemiile” locale apar în mod regulat).
Viruși macro– utilizați capacitățile limbajelor macro încorporate în sistemele de procesare a datelor (Word, Excel).
"Cai troieni" – deghizat într-un program util sau interesant, în timp ce efectuează lucrări distructive în timpul funcționării acestuia (de exemplu, ștergerea FAT) sau colectarea de informații pe computer care nu este supusă dezvăluirii. Ele nu au proprietatea de auto-reproducere.
Prin integritate:
Monolitic – program virus - un singur bloc, care poate fi detectat după infecție.
Distribuit– programul este împărțit în părți. Aceste părți conțin instrucțiuni care îi spun computerului cum să le combine pentru a recrea virusul.
Citiți mai multe despre antivirusuri.
Programele antivirus sunt dezvoltate pentru a combate virușii. În termeni medicali, aceste programe pot identifica (diagnostica), trata (distruge) virușii și inocula programe „sănătoase”.
feluri programe antivirus:
Programe detectoare (scanere) – conceput pentru a detecta viruși specifici. Bazat pe compararea unei secvențe caracteristice (specifice) de octeți ( semnături sau măști de virus) conținute în corpul virusului, cu octeți ai programelor scanați. Aceste programe trebuie actualizate regulat, deoarece... devin rapid depășiți și nu pot detecta noi tipuri de viruși. Dacă un program nu este recunoscut de detector ca fiind infectat, aceasta nu înseamnă că este „sănătos”. Poate conține un virus care nu este inclus în baza de date a detectorului.
Programe medicale (fagi, dezinfectanti) – nu numai că găsiți fișiere infectate cu un virus, ci și tratați-le prin eliminarea corpului programului de virus din fișier. Polifage – vă permit să tratați un număr mare de viruși. Programele de detectoare care îndeplinesc simultan funcțiile de programe medicale sunt larg răspândite. Exemple: AVP(autor E. Kaspersky), Aidstest(D. Lozinsky), Doctor Web(I. Danilov).
Programe de auditor – analizați starea curentă a fișierelor și a zonelor de disc de sistem și comparați-o cu informațiile salvate anterior într-unul dintre fișierele de auditor. Aceasta verifică starea sectorului Boot, FAT, precum și lungimea fișierelor, timpul de creare a acestora, atributele, sume de control(însumarea modulului 2 a tuturor octeților fișierului). Un exemplu de astfel de program este Adin f(D. Mostovoy).
Programe de filtrare (paznici, monitoare) – programe rezidente care informează utilizatorul despre toate încercările oricărui program de a efectua acțiuni suspecte, iar utilizatorul ia o decizie privind permiterea sau interzicerea executării acestor acțiuni. Controlul filtrelor urmatoarele operatii: actualizarea fișierelor de program și a zonei de disc de sistem; formatarea discului; plasarea rezidenților de programe în RAM. Un exemplu este programul Vsafe. Nu este capabil să neutralizeze virusul; pentru aceasta trebuie să utilizați fagi.
Programe de imunizare – scriu semnele unui anumit virus în programul de vaccinare, astfel încât virusul să-l considere deja infectat și, prin urmare, să nu-l reinfecteze. Aceste programe sunt cele mai puțin eficiente și învechite.
Lista cu antivirusuri de calitate.
1. A-Squared gratuit
2. Avast! Antivirus gratuit
3. AVG Antivirus Free
4. Comodo Antivirus
5.Microsoft Security Essentials
6. Nano AntiVirus
7. Avira AntiVir Personal
10. Panda Cloud Antivirus
Lista virușilor obișnuiți.
1. MyDoom Cel mai distructiv până în prezent este virusul MyDoom, care a provocat deja pierderi în valoare de 38 de miliarde de dolari.Pe lângă faptul că este cel mai devastator, influența sa se răspândește rapid și departe. Când computerul unui utilizator este infectat cu un virus, acesta (virusul) instalează un program special pe computer și trimite copii ale lui la toate adresele care pot fi găsite pe computerul utilizatorului. În plus, virusul are capacitatea de a deschide programe aleatorii. În 2004, s-a estimat că 25% din total e-mailuri au fost infectați cu acest virus.
2.SoBig Un alt virus periculos și distructiv este SoBig. Virusul a costat 37,1 miliarde de dolari în daune în 2003. Acest virus cu răspândire rapidă a circulat prin e-mailuri ca spam și, dacă a fost deschis, a avut capacitatea de a copia fișiere, de a se trimite altora și de a dăuna foarte mult software-ului și hardware-ului.
Acesta este încă unul special virus periculos, care se răspândește rapid prin e-mail, site-uri web și fișiere. Acest virus, cunoscut și sub numele de viermele „Te iubesc”, a deteriorat peste 500 de mii de sisteme în 2000 și a provocat daune estimate la 15 miliarde de dolari. Numai în prima săptămână, a reușit să dăuneze utilizatorilor pentru 5,5 miliarde de dolari. Acest virus este el însuși trimis tuturor din lista de contacte a proprietarului computerului. Acest virus a devenit un fel de strămoș pentru acei viruși care sunt atașați mesajelor de e-mail.
4. Conficker Acest malware a provocat pierderi de 9,1 miliarde de dolari în 2007 și a infectat milioane de computere din întreaga lume. Virusul a scanat computerul pentru vulnerabilități, la întâmplare a generat o listă de site-uri care sunt accesate pentru a obține codul executabil. La primirea unui fișier executabil de pe un site web, viermele a verificat semnătura digitală electronică și, dacă se potrivea, a executat fișierul. 5. Cod Roșu Până în prezent este unul dintre cei mai cunoscuți viruși. În 2001, a provocat daune de peste 2 miliarde de dolari, fiind capabil să pătrundă în rețelele de computere și să exploateze puncte slabeîn software-ul Microsoft. De îndată ce virusul a infectat un computer, acesta a început să caute în mod activ alte computere din rețea pentru a infecta.
Acesta este un virus extrem de „alunecos” care a trimis infectat documente Microsoft Word prin Microsoft Outlook pentru toți cei care se aflau în agenda utilizatorului. Literele arătau ca mesaje regulate de la un utilizator Microsoft Outlook, dar era de fapt virusul Melissa. Un indicator că Melissa s-a furișat în Outlook este atunci când persoanele de contact primesc un mesaj din e-mailul lor cu conținutul: „Iată documentul pe care l-ați cerut... Nu-l arăta nimănui”. Acest mesaj este însoțit de un document Word care conține virusul. În 1999, acest virus a cauzat daune de 1,2 miliarde de dolari.
7.SirCam Acest vierme de computer a provocat pierderi de peste 1 miliard USD utilizatorilor în 2001. Virusul compromite informațiile confidențiale, șterge articole individuale sau umple loc liber, până când nu mai rămâne loc pentru a depozita altceva.
8. SQL Slammer Acesta este un program rău intenționat care a afectat în mod semnificativ băncile și a dus la o scădere bruscă a vitezei Internetului. Pierderile cauzate de acest virus au fost estimate la aproximativ 750 de milioane de dolari în 2003. A afectat aproximativ 200 de mii de computere din întreaga lume.
Este unul dintre cei mai des întâlniți viruși de pe Internet. În 2001, prejudiciul cauzat de acesta s-a ridicat la 635 de milioane de dolari, a dus la foarte mult încărcare lentă Pagini de internet și viteză redusă de trafic. În plus, virusul are capacitatea de a pătrunde program de mail utilizator și trimite fișiere tuturor celor din agenda.
10. Sasser Acest virus a creat o mulțime de dificultăți în 2004, provocând pierderi de 500 de milioane de dolari, perturbând activitatea companiilor aeriene și blocând cardurile electronice. Creatorul lui Sasser s-a dovedit a fi un adolescent și a fost descoperit rapid când unul dintre „prietenii” săi l-a predat pentru o recompensă promisă de la Microsoft în valoare de 250 de mii de dolari.
Și pentru a rezuma, virușii sunt foarte periculoși pentru utilizatorii de astăzi. Acestea au o mulțime de probleme și vă pot distruge computerul sau pot fura date importante. Fiecare utilizator trebuie să achiziționeze un antivirus în scop de protecție pentru a-și proteja computerul de viruși. Primul virus a apărut în anii 90 și încă există și aduc multe probleme utilizatorilor. Virușii sunt foarte periculoși pentru computere și astăzi. Prin urmare, cred că fiecare PC ar trebui să aibă un antivirus care să protejeze PC-ul de malware.
