Вредоносное программное обеспечение
Введение
О чудесных возможностях компьютеров наслышаны все. Да и сами они уже давно не в диковинку. Конечно, всем хочется познакомиться с ними поближе. И в первую очередь научиться применять компьютер для решения разнообразных жизненных задач, которым нет числа.
Каждый школьный предмет предлагает свой подход к решению таких задач: проблемы охраны природы можно обсуждать и на уроках математики, и на уроках химии, и на уроках литературы, и на уроках биологии.
Есть свой подход к решению задач и у информатики. Суть его – в использовании персональных компьютеров. ПК можно применять для решения задач практически из всех областей жизни. Но для того, чтобы делать это эффективно, нужно уметь пользоваться программным обеспечением, установленным на ПК.
Программ, установленных на компьютере бесконечное множество. В объёме одного реферата невозможно о них всех рассказать. Я выбрала один класс программ – служебные, а из служебных – антивирусные программы, и о них написала в своём реферате. Недооценивать роль и значение антивирусных программ в современное время, когда известных вирусов уже более 30 тысяч, просто опасно. Если пользователь хочет иметь плоды своей работы в целости и сохранности, если не хочет, чтобы деньги с его счёта были сняты недоброжелателями и о подробностях его жизни узнали посторонние люди, он просто обязан установить на своём ПК антивирусные программы, которые борются с компьютерными вирусами.
Класс программ, предназначенных для выполнения различных несанкционированных пользователем действий, иногда направленных на причинение ущерба (уничтожение или повреждение данных, замедление работы и т. д.), называется вредоносным ПО.
Существуют следующие основные виды вредоносного ПО:
троянские кони (Trojan horse);
вирусы (virus);
черви (worm).
Троянские кони (троянские программы) — программы, содержащие скрытый модуль, не связанный с их основным назначением и осуществляющий несанкционированные действия. Примером может служить история, которая произошла в декабре 1989 г. Злоумышленник разослал 20 тыс. дискет, содержащих бесплатную систему с базой данных о заболевании СПИДом в различные организации ряда стран. После ее записи на винчестер пользователя вся информация винчестера была перекодирована, а на экране появлялось требование перечислить сумму в 378 долл. для получения программы восстановления информации.
Вирусы — наиболее распространенный и опасный вид вредоносного ПО. Это программа, способная к саморазмножению (т. е. воспроизведению своих копий) и распространению (заражению) на различные запоминающие устройства. Программу вируса нельзя обнаружить в списке файлов, т. к. она внедряется в чужие файлы и всячески маскирует свое пребывание там. Как правило, вирус после активизации остается в памяти компьютера и продолжает работу до конца компьютерного сеанса (резидентный).
Компьютерные вирусы могут не только присоединяться к другим программам, но и записываться на дискету или жесткий диск и выполняться в момент запуска программы носителя или загрузки операционной системы с зараженного диска.
Вирусы могут самостоятельно распространяться и быстро поражать значительное количество программ на огромном количестве компьютеров. Для этого им не требуется разрешение пользователей рабочих станций, которые могут даже не подозревать о вирусах. Вирусы могут содержать инструкции о выполнении разрушительных или же безвредных действий, мешающих, тем не менее, работе. Вирусы представляют собой серьезную проблему, т. к. снабжены кодом, способным нанести вред, а также могут самостоятельно распространяться.
Вирусы нельзя назвать таинственным явлением. Это всего лишь компьютерные программы, которые могут выполнять такие же действия, что и все прочие программы. Однако, в отличие от большинства других программ, они обладают способностью к саморазмножению.
Программа-вирус функционирует в два этапа. Первый этап — размножение вируса. На этом этапе программный код вируса воспроизводится и внедряется в различные места вашей компьютерной системы. Куда конкретно — зависит от типа вируса. Например: в выполняемые файлы (СОМ, ЕХЕ, SYS и др.), в загрузочный сектор дискеты, в таблицу разделов жесткого диска, в сектора, обозначенные как поврежденные, на дополнительные дорожки, во временно свободные секторы корневого каталога и т. п. Некоторые вирусы живут и размножаются в операционной системе, другие — в зараженных программах.
Второй этап, который можно назвать активной фазой, характеризуется активными действиями вируса, направленными либо на разрушение вашей компьютерной системы, либо на выполнение каких-то безвредных, с точки зрения его автора, действий. Например, вирус может: уничтожить файлы, отформатировать диск, уничтожить случайно выбранные сектора, исказить выводимую на экран компьютера информацию, отображать сообщения, шифровать дату на жестком диске, останавливать работу персонального компьютера и тому подобное. А могут вывести на экран портрет президента, исполнить Гимн Советского Союза или США.
Некоторые вирусы вообще не имеют каких-либо очевидных симптомов, они только распространяются. Если вы считаете, что ничего страшного в этом нет, то рискуете полностью забить ваш гигабайтный винчестер копиями вируса и сетовать на нехватку дискового пространства.
Вирус далеко не всегда можно обнаружить по каким-либо аномальным явлениям. Самым надежным способом выявления вирусов является применение эффективных антивирусных программных средств.
Как уже говорилось, к сожалению (или к счастью?), при распространении вирусов часто полностью отсутствуют какие-либо очевидные симптомы. Проникая в операционную систему на рабочей станции, вирус может выполнить любые инструкции, выбранные его создателем. Эти инструкции могут предусматривать активизацию вируса после какого-либо события (например, после определенного количества выполнении); в соответствии с определенным временем (по наступлении определенной даты, например в пятницу, 13 числа или 1 апреля) или же в любое произвольное время.
Создатель вируса не всегда включает в него инструкции, вызывающие очевидный вред или оказывающие разрушительное действие. Наносимый вирусом вред может быть обусловлен его тиражированием, что вызывает дефицит ресурсов, например, памяти на жестком диске, времени CPU или же сетевых соединений.
Появление вирусов связано с развитием теории самовоспроизводящихся систем. Первые работы в этой области принадлежат Джону фон Нейману.
Различают файловые вирусы, которые заражают отдельные программы, и бутовые (загрузочные), заражающие жесткие и гибкие диски. Для активации вируса необходим запуск зараженной программы или загрузка с зараженного диска, после этого дальнейшее заражение может происходить при любых операциях с файлами.
Среди современных вирусов встречаются:
стелс-вирусы (stealth), способные скрыть от пользователя внешние проявления своей деятельности. Stealth-вирусы нельзя обнаружить, просто просматривая файлы на диске. Авторы этих вирусов применяют весьма разнообразные способы маскировки. Допустим, просматривая файл, зараженный вирусом в текстовом редакторе, вы не обнаружите и намека на заражение — вирус определяет, что вы просматриваете файл, и удаляет себя из него. Закрываете файл — вирус опять на месте;
полиморфные или мутирующие (polymorph) вирусы, изменяющие свои копии для затруднения их поиска. Вирусы-мутанты содержат в себе алгоритмы шифровки-расшифровки. Внедряя свою копию в программу, такой вирус шифрует свой программный код, поэтому два экземпляра такого вируса, заразившие два разных файла, не имеют ни одного повторяющегося участка кода;
макро вирусы, заражающие не только программы, но и некоторые документы.
С момента заражения вирусом до момента проявления его действия может пройти довольно много времени. Многие вирусы начинают действовать после наступления определенного события. Примеры действий таких вирусов:
- В понедельник 1 числа "вешает" систему.
- С февраля по ноябрь каждый час переставляет соседние символы на экране.
- В зависимости от текущей даты может уничтожить информацию на всех доступных дисках.
- 20 числа оставляет в памяти код, который исполняет мелодию из фильма "Карьера Димы Горина".
- Полиморфный стелс-вирус 8 и 30 апреля, а также 9 мая уничтожает содержимое случайных секторов жесткого диска.
- В сентябре после 22 числа уничтожает содержимое 128 секторов каждого логического устройства жесткого диска.
Черви — разновидность вирусов, предназначенных для распространения в компьютерных сетях. Иногда применяются в целях шпионажа. Использование сетей в значительной степени способствует массовому заражению программ пользователей. Например, в 1988 г. вирус Морриса, аспиранта факультета информатики Корнеллского университета, инфицировал около 6000 компьютеров и 70 компьютерных систем (в том числе ядерной лаборатории) — важнейшие компьютерные сети восточного и западного побережья США. Потери были несущественны (только рабочее время).
Вирусы различаются и по степени опасности и по характеру производимых ими действий, например:
- Вирус оставляет в памяти программу, стирающую содержимое экрана.
- Неопасный вирус. После заражения каждого файла "осыпает" буквы на экране монитора, установив на это время признак отсутствия жесткого диска.
- Очень опасный вирус, замещающий программный код. Заражает ЕХЕ-файлы в текущем и родительских каталогах, а также файл С:DOSDOSSHELL.СОМ. Издает некоторые звуки и выводит на экран текст.
- Неопасный нерезидентный вирус-червь. Производит поиск ARJ и RAR-архивов и заражает их, дописывая к данным архивам собственную копию в форматах этих архивных файлов.
- Опасный резидентный вирус. При печати на принтере вставляет после запятой одно из следующих словосочетаний: ",вот", ",короче", ",таво этава".
- Опасный резидентный шифрованный вирус. При вводе с клавиатуры довольно часто повторяет ввод клавиши "t".
- Производит видеоэффект: все символы на экране, кружась, исчезают в центре экрана.
- Опасный макровирус. Записывает строку "Yohimbe" в заголовок заражаемой таблицы. В 16:45 вставляет в текущую таблицу картинку и текст.
Антивирусное программное обеспечение (антивирусы)
Для борьбы с вирусами применяют специальное антивирусное программное обеспечение (антивирусы).
Полностью предотвратить инфицирование систем невозможно. Вы постоянно копируете себе новые программы, модифицируете существующие программы, обмениваетесь дискетами, в общем, ведете довольно «беспорядочный образ жизни». Нельзя также безошибочно выявить все возможные вирусы. Новые вирусы появляются, как грибы после дождя, а кроме этого, модифицируются старые, хорошо известные вирусы. Поэтому в любом случае инфицирование систем не исключено. Меры предотвращения инфицирования необходимы, однако не менее важно предусмотреть административные способы сдерживания «эпидемии» и обезвреживания вирусов в случае их появления.
Действие антивирусных программ основано либо на общих свойствах вирусов (т.е. на их способности к изменению файлов или загрузочных записей), либо на характеристиках отдельных вирусов или классов вирусов. Наиболее современная версия программы при обследовании системы пытается выявить симптомы, характерные для поведения или внешних проявлений отдельных вирусов или классов вирусов. При выявлении подобных признаков программа может предупредить пользователя, попытаться предотвратить распространение вируса и т.д. Прямая аналогия — по симптомам болезни врач в больнице ставит вам диагноз — грипп. Но что это — вирус гриппа А или Б, или какой-нибудь Z — он сказать не может.
Существуют различные антивирусы:
детекторы;
полифаги;
ревизоры;
сторожа;
вакцины.
Детекторы — программы, осуществляющие поиск известных им вирусов в файлах и на дисках. Современные детекторы определяют несколько тысяч вирусов и используют сложные эвристические алгоритмы (Scan).
Фаги или полифаги — программы, способные не только определить, но в некоторых случаях и удалить найденный вирус (AidsTest).
Ревизоры производят периодический контроль состояния запоминающих устройств с целью обнаружить изменения, характерные для проявления вирусов. Многие ревизоры имеют также анти-стелс механизм. (ADInf). Программы-ревизоры вычисляют контрольные суммы всех доступных на диске программ и записывают их в специальный файл. При очередной загрузке они проверяют, не подверглась ли какая-либо программа изменениям, и предупреждают об этом пользователя. Программы-ревизоры умеют своевременно обнаруживать заражение компьютера практически любым из существующих сейчас вирусов, а новейшие ревизоры умеют удалять даже ранее неизвестные им вирусы.
Сторожа — программы, контролирующие операции с диском и пресекающие попытки вируса к размножению (VSafe). Специальные программы-сторожа присоединяются к операционной системе с целью слежения за активностью запускаемых на компьютере программ. Они постоянно контролируют вирусоподобные операции, производимые программами с дисками или памятью. Если появляются подозрительные симптомы, они блокируют работу данной программы, сообщают об этом пользователю и ожидают его решения. Недостатком сторожей является их излишняя назойливость, которая выражается в слишком частых сообщениях о подозрительных операциях. Иногда такие программы поддерживаются специальными электронными ключами, которые физически блокируют доступ к программным ресурсам. Наиболее известен программно-аппаратный комплекс Sheriff.
Вакцины — программы, имитирующие заражение вирусом для прекращения его распространения (NeatVac).
Создание и распространение вредоносного программного обеспечения относится к разряду компьютерных преступлений, виновные в этих преступлениях несут ответственность в соответствии с законодательством.
Рассмотрим методы антивирусной защиты.
1. Сканирование
Если вирус известен и уже проанализирован, то можно разработать программу, выявляющую все файлы и загрузочные записи, инфицированные этим вирусом. Такая программа снабжена «медицинским» справочником, содержащим характерные образцы программного кода вируса. Программа ведет поиск комбинаций байтов, характерных для вируса, но нетипичных для обычных программ. Программы-детекторы, ведущие поиск подобных комбинаций байтов, называются полифагами, или сканерами.
Для многих вирусов характерна простая комбинация, представляющая собой последовательность фиксированных байтов. Другие вирусы используют более сложные комбинации байтов. Необходимо удостовериться, что комбинация байтов не характерна для обычных программ, иначе программа-детектор сообщит о вирусе даже при его отсутствии.
2. Выявление изменений
Для инфицирования программ или загрузочных записей вирусы должны их изменить. Существуют программы, которые специализируются на вылавливании таких изменений. Программу, регистрирующую изменение файлов и загрузочных записей, можно использовать даже для выявления ранее неизвестных вирусов. Однако изменение файлов и загрузочных записей может быть обусловлено целым рядом причин, которые не имеют никакого отношения к вирусам. Выявление изменений само по себе приносит не так много пользы, т. к. необходимо очень четко понимать, какие изменения действительно указывают на наличие вируса.
3. Эвристический анализ
Эвристический анализ — это смутное подозрение антивирусной программы о том, что что-то не в порядке.
При выявлении вирусов с помощью эвристического анализа ведется поиск внешних проявлений или же действий, характерных для некоторых классов известных вирусов. Например, в файлах могут выявляться операции, применяемые вирусами, но редко используемые обычными программами. Могут также выявляться попытки записи на жесткие диски или дискеты с помощью нестандартных методов.
Так же, как при использовании предыдущего метода, с помощью эвристического анализа можно выявить целые классы вирусов, однако необходимо удостовериться, что обычные программы не были приняты за инфицированные.
4. Верификация
Рассмотренные выше методы могут свидетельствовать, что программа или загрузочная запись поражены вирусом, однако таким образом нельзя с уверенностью опознать поразивший их вирус и уничтожить его. Программы, с помощью которых можно идентифицировать вирус, называются верификаторами. Верификаторы можно разработать только для уже изученных вирусов после их тщательного анализа.
5. Обезвреживание
Не исключено, что после выявления вируса его можно будет удалить и восстановить исходное состояние зараженных файлов и загрузочных записей, свойственное им до «болезни». Этот процесс называется обезвреживанием (дезинфекцией, лечением).
Некоторые вирусы повреждают поражаемые ими файлы и загрузочные записи таким образом, что их успешная дезинфекция невозможна. Не исключено также, что детектор одинаково идентифицирует два различных вируса, поэтому дезинфицирующая программа будет эффективна для одного вируса, но бесполезна для другого.
Дезинфицирующие программы изменяют ваши программы, поэтому они должны быть очень надежными.
Меры профилактики
Рассмотренные выше методы могут применяться с помощью различных способов. Одним из общепринятых методов является использование программ, которые тщательно обследуют диски, пытаясь обнаружить и обезвредить вирусы. Возможно также использование резидентных программ DOS, постоянно проверяющих вашу систему на вирусы. Резидентные программы имеют следующее преимущество: они проверяют все программы на вирусы при каждом их выполнении. Резидентные программы должны быть очень тщательно разработаны, т. к. иначе они будут задерживать загрузку и выполнение программ.
Нерезидентные программы эффективны при необходимости одновременного обследования всей системы на вирусы и их обезвреживания. Они представляют собой средство, дополняющее резидентные программы.
Вы должны помнить о необходимости регулярного выполнения антивирусной программы. К сожалению, как показывает опыт, об этом часто забывают. Пренебрежение профилактическими проверками вашего компьютера увеличивает риск инфицирования не только вашей компьютерной системы, но и распространения вируса на другие компьютеры. И не только через дискеты, вирусы прекрасно распространяются и по локальным сетям.
Чтобы впоследствии избежать головной боли, лучше всего обеспечить автоматическое выполнение антивирусной программы. В этом случае программа будет защищать ваш компьютер, не требуя от вас каких-либо явных действий. Для обеспечения такой защиты можно при запуске системы установить резидентные антивирусные программы, а также использовать нерезидентные программы, выполняемые при запуске или периодически в указанное время.
Как правильно лечить?
Прежде всего, перезагрузите компьютер, нажав кнопку Reset. Такая перезагрузка называется «холодной», в отличие от «теплой», вызываемой комбинацией клавиш Ctrl-Alt-Del. Существуют вирусы, которые спокойно выживают при «теплой» перезагрузке.
Загрузите компьютер с дискеты, защищенной от записи и с установленными антивирусными программами. Необходимость хранить антивирусный пакет на отдельной защищенной дискете вызвана не только опасностью заражения антивирусных программ вирусом. Частенько вирус специально ищет на жестком диске программу-антивирус и наносит ей повреждения.
Старайтесь почаще обновлять ваши антивирусные программы. Причем как отечественные, так и импортные. Отечественные — потому что у нас пишут вирусы все кому не лень и, чтобы быстро разработать антивирусную программу, надо жить здесь. Импортные — потому что все сильнее сливаются «наше» и «их» информационные пространства, все больше западных вирусов проникает к нам по глобальным компьютерным сетям.
При обнаружении зараженного файла желательно скопировать его на дискету и лишь затем лечить антивирусом. Это делается для того, чтобы в случае некорректного лечения файла, что, к сожалению, случается, попытаться полечить файл другим антивирусом.
Если вам понадобилась программа из ваших старых архивов или резервных копий, не поленитесь проверить ее. Не рискуйте. Лучше преувеличить опасность, чем недооценить ее.
Как ловили файловые вирусы в старину?
В старину существовал способ ловли глупых (простых) вирусов на живца. Создавался файл, состоящий из одних нулей и имеющий расширение .СОM или .ЕХЕ. Те вирусы, которые заражают программы без должной проверки, попадали в него как мухи на мед. Просмотрев впоследствии такой файл, легко можно было выделить сигнатуру (программный код вируса) и написать антивирус.
Краткий обзор антивирусных программ
Антивирусных программ написано хотя и гораздо меньше, чем вирусов, но достаточно много, чтобы пользователь имел выбор. Лучше, если у вас на компьютере и на специальной дискете будет установлено несколько таких программ. Это повысит вероятность обнаружения модификаций старых вирусов, а также, если программы используют эвристический анализ, обнаружение новых, неизвестных ранее, вирусов. Не забывайте почаще обновлять версии антивирусных программ, чтобы идти ноздря в ноздрю с авторами вирусов. Рекомендуем приобретать антивирусные программы официально. На это есть, по крайней мере, две причины:
1. Если вы будете пользоваться ворованными копиями антивирусных программ, то их разработчикам придется торговать апельсинами на рынке, чтобы заработать на жизнь. Кто в этом случае защитит вас от вирусов?
2. Вирус может быть замаскирован под нормальную антивирусную программу. Если быть точным, такая программа называется «Троянский конь». Надеюсь, аналогии прозрачны. Вы в полной уверенности запускаете антивирусную программу, а она форматирует ваш винчестер. Кстати, цены на отечественные антивирусные программы весьма доступны.
1. Программа-полифаг AIDSTEST
Aidstest, безусловно, относится к числу наиболее популярных антивирусных программ. Это программа-полифаг, ее версии обновляются, чуть ли не раз в неделю, пополняясь информацией о новых вирусах. Для проверки дисков и лечения зараженных файлов предпочтительнее использовать оригинальную загрузочную дискету, на которой поставляется Aidstest. В этом случае для проверки вашего компьютера необходимо вставить эту дискету в дисковод А: и перезагрузить компьютер. Необходимо применять холодную перезагрузку (нажать кнопку Reset), так как многие вирусы умеют переживать теплую перезагрузку (Ctrl-Alt-Del) и продолжают оставаться в памяти. После загрузки компьютера Aidstest просканирует диски и, если найдет вирусы, спросит разрешения на лечение. Возможен запуск Aidstest и с жесткого диска. Например:
D:ANTIAidstest *.*/f
Чтобы узнать параметры запуска Aidstest, просто запустите его без параметров.
2. Программа-ревизор ADINF
ADinf — это программа-ревизор. ADinf позволяет обнаружить появление любого из существующие вирусов, включая Stealth-вирусы и вирусы-мутанты, а также неизвестные на сегодняшний день вирусы. При установке дополнительного лечащего блока можно удалить до 96% из них. В режиме повседневного контроля ADinf запускается автоматически из файла AUTOEXEC.BAT при первом включении компьютера. ADinf запоминает на диске информацию о файлах, включающую длины файлов, дату и время создания, контрольные суммы файлов и следит за их сохранностью. Особенно отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. К подозрительным вирусоподобным изменениям, например, относятся изменения длины файла или его контрольной суммы без изменения даты и времени создания. Кроме того, ADinf позволяет назначать список файлов, любые изменения в которых относятся к подозрительным. Кроме контроля за целостностью файлов, ADinf следит за дисковыми операциями, появлением сбойных кластеров, за сохранностью загрузочных секторов и др. ADinf проверяет диски, не используя DOS, а читая их по секторам, прямым обращением в BIOS.
В ADinf реализован алгоритм поиска Stealth-вирусов. Stealth-вирус нельзя обнаружить простым просмотром файла. При открытии зараженного файла Stealth-вирус удаляет себя из тела программы, а после закрытия — возвращает себя на место. ADinf обнаруживает Stealth-вирусы, сравнивая информацию о файлах, выдаваемую DOS, с фактической. Несовпадение информации однозначно указывает на вирус.
ADINF CURE MODULE
ADinf Cure Module — это программа, способная вылечить файл от вируса до появления программы-фага. ADinf Cure Module ведет специальные файлы, в которые записывает необходимую для лечения зараженных файлов информацию. Если происходит заражение, ADinf сообщает о нем ADinf Cure Module, a тот пытается провести лечение.
IBM ANTIVIRUS/DOS
Программа IBM AntiVirus/DOS входит в стандартный комплект поставки PC-DOS (файл IBMAVD.EXE). IBM AntiVirus/DOS предотвращает проникновение в компьютерную систему вирусов, а также осуществляет обнаружение и удаление уже имеющихся. IBM AntiVirus/DOS обнаруживает порядка 2300 известных вирусов, а также с помощью «неопределенного сканирования» большое количество вирусов, подобных известным IBM AntiVirus/DOS вирусам. С помощью эвристического анализа обнаруживаются также неизвестные в данный момент вирусы.
Программа может работать в фоновом режиме, обеспечивая постоянную защиту системы. Кроме того, вы можете проверять дискеты и жесткие диски на вирусы, запуская программу вручную.
При выполнении программы IBM AntiVirus/DOS на экране компьютера появляется всплывающее окно «Проверка на вирусы». Полоса индикатора показывает процент выполнения проверки. Кроме того, отображается имя проверяемого в текущий момент файла и путь к нему. Проверку в любой момент можно прервать, нажав кнопку Stop. После окончания проверки отображается окно с информацией о ее результатах. При обнаружении признаков вируса появляется всплывающее окно «Отчет о заражении вирусами».
Гибкая система настроек позволяет определить конкретные каталоги, которые следует проверить, и расширения файлов. Довольно удобное меню с обширной справочной информацией, значительно облегчает пользование системой.
Для проверки вы можете выбрать либо программные файлы, либо все файлы. При выборе режима Программные файлы программа IBM AntiVirus/DOS будет проверять обычные исполняемые файлы на указанных дисках. Такие файлы имеют расширения ВАТ, BIN, CMD, СОМ, DOS, DLL, EXE, OS2, ОV?, PRO и SYS. При выборе режима все файлы программа IBM AntiVirus/DOS будет проверять все файлы на заданных дисках. Главная загрузочная запись и загрузочные записи всех активных разделов на всех заданных локальных жестких дисках, включая загрузочные записи Менеджера загрузки, проверяются на вирусы независимо от выбранного режима. Если по какой-то причине доступ к файлу невозможен, то этот файл пропускается, и проверка продолжается.
Всплывающее окно Автоматическая проверка позволяет конфигурировать IBM AntiVirus/DOS для выполнения автоматической проверки системы.
Вы можете указать программе IBM AntiVirus/DOS, чтобы она проверяла DOS при ее запуске — ежедневно, еженедельно или ежемесячно.
Если при работе в текстовом процессоре Word for Windows вы вдруг обнаружили, что не можете сохранить свой файл, знайте: у вас завелся вирус. На сегодняшний день этим вирусом заражено 90% всех компьютеров. К счастью, добрые люди написали антивирус. Он представляет собой файл с расширением DOC, в котором содержится текст руководства по применению и специальная кнопка. Щелкните ею, и антивирус сделает свое дело.
IBM AntiVirus использует выявление изменений для решения двух задач. Прежде всего, это является отправной точкой для эвристического анализа и обнаружения новых вирусов. Кроме того, это ускоряет выявление новых вирусов. Для инфицирования файлов и загрузочных записей вирусы должны их изменить. Если вчера при проверке файл не был инфицирован и со вчерашнего дня не изменился, то можно сделать вывод, что и сегодня вируса в этом файле нет. При стандартном использовании программы IBM AntiVirus проверяются на уже известные вирусы только изменившиеся и новые файлы. Удостовериться, что файл изменился или что это новый файл, можно гораздо быстрее, чем проверить его на уже известные вирусы. Этот метод ускоряет процесс проверки.
При проверке файлов и загрузочных записей на известные вирусы IBM AntiVirus использует метод, называемый «неопределенное сканирование». Этот метод сканирования, применяемый IBM AntiVirus, предусматривает поиск последовательностей байтов, свидетельствующих о наличии вируса. Именно так работает большинство сканеров. Кроме того, этот метод позволяет выявить последовательности байтов, которые почти (но не полностью) совпадают с искомыми. Неточное соответствие может свидетельствовать о наличии штамма известного вируса, и при отображении отчета о заражении вирусами IBM AntiVirus сообщает, что файл или загрузочная запись могут быть инфицированы. Вам будет предоставлена возможность удаления всех подобных вирусов. Этот способ позволяет программе IBM AntiVirus выявить и правильно идентифицировать целый ряд новых вариантов вируса. Однако при отсутствии дополнительных мер это «неточное совпадение» может привести к ложным сигналам тревоги. IBM AntiVirus обеспечивает высокую надежность идентификации вирусов. Для этого используется усовершенствованный метод устранения ложных сигналов тревоги.
15 февраля 1996 года компания Microsoft объявила, что пользователи Windows 95 должны проявлять осторожность при загрузке на свой компьютер программ из Internet и он-лайновых служб, так как появился первый вирус, заражающий программы для Windows'95. Дискеты также могут служить переносчиком вируса. По данным компании Symantec, вирус имеет австралийское происхождение и поражает 32-разрядные исполняемые файлы. Вирус получил сразу два наименования: Boza и Bizateh. 7 февраля стало известно о втором вирусе для Windows'95, получившем название Chavez.
Функции IBM AntiVirus не ограничиваются выявлением уже известных вирусов. С помощью эвристического анализа эта программа выявляет также и ранее неизвестные вирусы. Она ведет поиск комбинаций изменений в файлах, а также характеристик программ, типичных для больших групп известных вирусов DOS. При выявлении факторов, соответствующих данным критериям, IBM AntiVirus при отображении отчета о заражении вирусами сообщает об этих файлах и загрузочных записях как о «подозрительных». Вам будет предоставлена возможность удаления/перезаписи подобных подозрительных файлов. Если IBM AntiVirus обнаруживает объект, напоминающий какой-либо известный вирус, то проверяется каждый релевантный байт этого вируса. Таким образом определяется, что это действительно именно этот вирус. Эта проверка имеет очень большое значение. Если можно с уверенностью утверждать, что это тот самый вирус, то чаще всего этот файл или загрузочную запись можно достаточно надежно дезинфицировать. Если же оказалось, что это другой вирус, то не исключено, что он изменил файл или загрузочную запись самым неожиданным образом. Попытка его обезвреживания может вызвать повреждение файла или загрузочной записи. IBM AntiVirus не предпринимает попыток дезинфекции, если это может вызвать повреждение файлов или загрузочных записей. Вместо этого программа предоставляет вам возможность удаления/перезаписи инфицированных файлов и загрузочных записей. В тех случаях, когда дезинфекция могла вызвать повреждение файлов, но этого не произошло, IBM AntiVirus отмечает этот факт в файле регистрации, создаваемом в ходе вашего сеанса IBM AntiVirus. Затем вы можете более тщательно обследовать эти программы и определить, надо ли их восстанавливать с резервных копий. Если программа IBM AntiVirus обнаруживает вирус во время начальной выборочной проверки, она может обследовать всю систему. При этом проверяются все (даже неизмененные) файлы на всех локальных жестких дисках и предоставляется возможность уничтожения найденных вирусов.
VIRUSCAN/CLEAN-UP
VIRUSCAN/CLEAN-UP— это пакет антивирусных программ компании McAfee Associates. Программа VIRUSCAN обнаруживает вирусы и передает подробную информацию программе CLEAN-UP, которая осуществляет лечение.
VIRUSCAN обнаруживает около 3000 известных вирусов и их модификаций. VIRUSCAN проверяет partition table жесткого диска (Master Boot Record), DOS Boot Sector, выполняемые файлы, включая системные, и файлы с любыми другими расширениями.
Кроме того, VIRUSCAN обнаруживает неизвестные вирусы. В первую очередь VIRUSCAN проверяет подозрительные изменения, которые произошли с файлами с момента последней проверки. VIRUSCAN хранит информацию о контрольных суммах файлов, размерах и др. Далее VIRUSCAN производит поиск новых классов вирусов, анализируя код файлов на предмет характерных для вирусов операций. VIRUSCAN способен найти и вирус-мутант (шифрующий свой код), используя алгоритмы статистического анализа, эвристического анализа и дизассемблируя код.
Инфицированный файл может быть уничтожен, если VIRUSCAN запущен с ключом /D, либо очищен от вируса программой CLEAN-UP.
Правила выживания для пользователя
- Перед запуском переписанной где-то программы на своем компьютере проверьте ее всеми имеющимися у вас антивирусными программами.
- Если не возникает необходимость что-то записывать на дискету — заблокируйте возможность записи на нее. Если при работе с защищенной дискетой, с которой информация только считывается, на экране появилось сообщение «Write protect error writing drive А:» (Ошибка защиты при записи на диск А:) — ваша машина скорее всего заражена.
- Одалживайте свои программы только на рабочей дискете, а после ее возвращения - безжалостно форматируйте.
- Если вы хотите проверить ваш компьютер на вирусы, загрузитесь с защищенной дискеты, содержащей все необходимые антивирусные программы.
- Регулярно делайте резервные копии ваших файлов.
- Пресекайте все попытки воспользоваться дисководом вашего компьютера.
- Следите за сообщениями о необычных ошибках — они могут свидетельствовать о появлении вируса.
- Используйте только официальные версии антивирусных программ.
- Используйте только лицензионное программное обеспечение.
- Обращайте особое внимание на игровые программы. Они основной разносчик заразы.
Если вы переписали программу с пиратского компакт-диска, гарантии, что она не содержит вируса, нет. Обязательно проверьте ее антивирусной программой.
Краткое описание некоторых часто встречающихся вирусов
Это просто интересная информация. Этот параграф хорошо читать вечером дома за чашкой чая. Почитайте, и возможно, что описанные здесь симптомы напомнят вам что-то из странного поведения вашего компьютера. Или вы организуете партию борьбы с загрязнением компьютерной среды GreenPC. Или поймете, что принципиально нового вируса написать никогда не сможете, а повторять кого-то — бессмысленно.
ВИРУС AIRCOP
Название: Aircop
Классификация: Вирус, поражающий загрузочную запись дискеты
Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты
Поведение: При начальной загрузке с зараженной дискеты вирус помещает себя в память и заражает дискеты, используемые в дальнейшем в дисководах А: и В:. При заражении примерно каждой восьмой дискеты вирус выдает сообщение «RED STATE Germ offensing — Aircop» (по-видимому, это попытка сказать «Боевая готовность, вирусная атака»).
ВИРУС APRIL 1ST СОМ
Название: April 1st СОМ
Синонимы: April 1st, sURIV 1.01
Семейство вирусов: 1813
Классификация: Резидентный вирус, заражающий СОМ-файлы
Длина вируса: Приблизительно 381 байт
Поведение: Когда выполняется зараженная программа, этот вирус загружается в память, и любой запускаемый после этого СОМ-файл становится зараженным. Если текущая дата — 1-е апреля любого года, то при наличии вируса в памяти запуск любой программы вызовет появление сообщения «APRIL 1ST НА НА НА YOU HAVE A VIRUS» и зависание машины. Если текущая дата— после 1 апреля 1988 г., то при запуске любой программы выводится сообщение «YOU HAVE A VIRUS». Так как заражение этим вирусом слишком очевидно, то, вероятно, он является вымершим.
ВИРУС AZUSA
Название: Azusa
Классификация: Бутовый вирус, поражающий дискеты и жесткие диски
Длина вируса: Только загрузочная запись
Поведение: Этот вирус поражает главную загрузочную запись дискеты и жесткого диска. Иногда этот вирус обнуляет таблицы BIOS для СОМ-портов и портов принтера, делая таким образом недоступными принтеры и последовательные порты.
ВИРУС BOUNCING BALL
Название: Bouncing Ball
Синонимы: Bouncing Dot, Italian, Ping-Pong, Vera Cruz
Семейство вирусов: Bouncing Ball
Классификация: Бутовый вирус, поражающий дискеты и жесткие диски
Длина вируса: Приблизительно 975 байтов
Поведение: Этот вирус поражает неглавную загрузочную запись на дискетах и разделах жестких дисков. Иногда после начальной загрузки рисует на экране прыгающую точку.
ВИРУС BRUNSWICK
Название: Brunswick
Классификация: Резидентный бутовый вирус, поражающий главную загрузочную запись дискет и жестких дисков
Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты
Поведение: При загрузке с зараженной дискеты этот вирус поражает первый физический жесткий диск системы. При загрузке с зараженного жесткого диска или дискеты, вирус помещается в память и заражает дискеты, используемые в дальнейшем в дисководах А: и В:. При загрузке с зараженного жесткого диска он иногда помещает в главную загрузочную запись случайные данные, делая таким образом диск незагружаемым. Кроме того, к данным на диске после этого невозможно получить доступ без технического вмешательства. В некоторых системах вирус записывает поверх данных пользователя и, возможно, части таблицы размещения файлов, когда он производит сохранение исходной загрузочной записи в области данных на жестком диске.
Вирус DataCrime II
Название: DataCrime II
Синонимы: 1514, Columbus Day
Семейство вирусов: DataCrime
Классификация: Нерезидентный вирус, заражающий СОМ- и ЕХЕ-файлы IBM DOS
Длина вируса: 1514 байтов в зараженных СОМ-файлах; несколько дополнительных заполняющих байтов в зараженных ЕХЕ-файлах.
Поведение: Этот вирус распространяется среди СОМ- и ЕХЕ-файлов. Если зараженная программа выполняется между 13-м октября и 31-м декабря (включительно) любого года, вирус отображает сообщение «* DATACRIME II VIRUS» и стирает данные с части жесткого диска, делая их таким образом недоступными.
Вирус Keypress
Название: Keypress
Синоним: Turku
Классификация: Резидентный вирус для СОМ- и ЕХЕ-файлов IBM DOS
Длина вируса: Приблизительно 1232 байтов
Поведение: Когда выполняется зараженный файл, вирус помещает себя в память. Если текущая версия DOS — 3.0 или более поздняя, то вирус заражает все файлы, выполняемые в дальнейшем. Если текущая версия DOS — более ранняя, чем 3.0, он заражает все открываемые файлы (за исключением системных) с расширениями СОМ и ЕХЕ. Каждые десять минут вирус вызывает имитирование нажатия клавиш в течение 2 секунд и эффект «залипания» клавиш.
ВИРУС MICHELANGELO
Название: Michelangelo
Классификация: Вирус, поражающий главную загрузочную запись дискет и жестких дисков
Длина вируса: Загрузочная запись и один дополнительный сектор жесткого диска или дискеты
Поведение: При загрузке с дискеты вирус поражает главную загрузочную запись первого жесткого диска (если таковой имеется) и помещает себя в память. При загрузке с зараженного жесткого диска он только помещает себя в память. Пока вирус находится в памяти, используемые в дисководе А: дискеты становятся зараженными. Если текущая дата — 6 марта, то при загрузке с инфицированного диска или дискеты вирус перезаписывает области загрузочного диска, заполняя их случайными данными.
ВИРУС TEQUILA
Название: Tequila
Классификация: Резидентный вирус, инфицирующий файлы ЕХЕ и главную загрузочную запись на жестком диске в системе IBM DOS.
Длина вируса: Приблизительно 2470 байтов
Поведение: При выполнении инфицированного файла поражается главная загрузочная запись на первом же жестком диске. При загрузке системы с инфицированного жесткого диска вирус поселяется в памяти и поражает все выполняемые впоследствии файлы ЕХЕ. Этот вирус отображает на экране монитора набор «Mandelbrot» с низкой разрешающей способностью (округлое цветовое пятно). Этот вирус имеет целый ряд сложных, но, как правило, неинтересных свойств. Например, файлы с определенными именами не заражаются; вирус инфицирует каждый файл немного по-разному, чтобы его труднее было обнаружить и т.д. Однако выявление этого вируса не составляет труда.
ВИРУС VACSINA
Название: VACSINA
Семейство: TPxxVIR вирусов
Классификация: Резидентный вирус, преобразующий файлы ЕХЕ и поражающий файлы СОМ в системе IBM DOS
Длина вируса: Приблизительно 1206 байтов
Поведение: Этот вирус преобразует файлы формата ЕХЕ в формат СОМ, а также инфицирует файлы формата СОМ. Вирус становится резидентным после выполнения первого зараженного файла и преобразует/инфицирует файлы, выполняемые впоследствии. Не исключено, что при инфицировании файлов система будет подавать звуковой сигнал.
Заключение
В современном обществе совокупность знаний и навыков в области вычислительной техники ценится особенно высоко. Чем выше сумма знаний, тем шире круг возможностей и тем больше шансов на успех. Достаточно открыть любую газету с объявлениями о трудоустройстве, чтобы понять, что даже в профессии секретаря-машинистки сегодня необходимо умение работать с ПК и знать программное обеспечение. Для творческой личности компьютер предоставляет неограниченные возможности самосовершенствования. Одно перечисление профессий, в которых могут использоваться компьютерные навыки, грозит превратиться в протяженный список, который никогда не будет полным. Новые компьютерные профессии рождаются ежедневно вместе с новым программным обеспечением. Так, может быть совсем скоро, возникнет профессия компьютерного «доктора», и без людей этой специальности невозможно будет обойтись ни на работе, ни дома.
Список литературы
А.Г. Гейн, А.И. Сенокосов, В.Ф. Шолохович «Информатика 7-9» Москва, «Дрофа» 1999
С. Симонович, Г. Евсеев, А. Алексеев «Windows. Лаборатория мастера» Москва, «АСТпресс» 2000
И. Б. Львов, Г. Г. Казеева, И. А. Морев «ИНФОРМАТИКА» Владивосток, ДВГУ, 1999
4. А. Алексеев «Информатика 2001» Москва, «Дрофа» 2001