Компьютерный вирус

 

 

 

 

 

 

Введение

При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы.

Вирусы – едва ли не главные враги компьютера. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска или приписываясь к файлам, и производят различные нежелательные действия, которые, зачастую, имеют катастрофические последствия. Еще два года назад казалось, что с владычеством вирусов покончено – со смертью DOS и DOS- совместимых программ неминуемо должны были исчезнуть и паразитирующие на них вирусы.

Однако вирусы остались, хотя и несколько видоизменились. Сегодня самой распространенной группой вирусов стали макровирусы, заражающие не программы, а документы, созданные в Microsoft Word и Microsoft Excel.

Путей распространения вирусов существует множество. Вирус может попасть на компьютер пользователя вместе с дискетой, пиратским компакт- диском или с сообщением электронной почты. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов. Ведь нет никакой надежды на то, что с приходом нового тысячелетия вирусы исчезнут. Так же как и нет надежды справиться с ними окончательно в какие-то обозримые сроки, так как таланту авторов антивирусных программ противостоит фантазия компьютерных графоманов. С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными.

 

 

1.Классификация вирусов

Большинство вирусов не выполняет каких-либо действий, кроме своего распространения (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов, придуманных автором вируса: игры, музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однако сознательной порчи информации эти вирусы не осуществляют. Такие вирусы условно называются неопасными. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузки каждые несколько минут вообще не дадут вам работать).

Однако около трети всех видов портят данные на дисках – или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выполнения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям, то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (форматирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными.

Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они внедряются, то есть что они заражают. Некоторые вирусы могут заражать сразу несколько видов объектов.

Большинство вирусов распространяются, заражая исполнимые файлы, т.е. файлы с расширением имени .COM и .EXE, а также различные вспомогательные файлы, загружаемые при выполнении других программ. Такие вирусы называются файловыми. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится.

   Еще один распространенный  вид вирусов внедряется в начальный  сектор дискет или логических  дисков, где находится загрузчик  операционной системы, или в начальный сектор жестких дисков, где находится таблица разбиения жесткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются загрузочными, или бутовыми (от слова boot – загрузчик). Эти вирусы начинают свою работу при загрузке компьютера с зараженного диска. Загрузочные вирусы являются резидентными и заражают вставляемые в компьютер дискеты. Встречаются загрузочные вирусы, заражающие также и файлы – файлово-загрузочные вирусы.

Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICE или DEVICEHIGH файла CONFIG.SYS. Вирус, находящийся в драйвере, начинает свою работу при загрузке данного драйвера из файла CONFIG.SYS при начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или сектора дискет, поскольку иначе им не удавалось бы распространяться – ведь драйверы очень редко переписывают с одного компьютера на другой.

Очень редко встречаются вирусы, заражающие системные файлы DOS. Эти вирусы активизируются при загрузке компьютера. Обычно такие вирусы заражают также загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться.

Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно эти вирусы формируют с помощью команд командного файла исполнимый файл на диске, запускают этот файл, он выполняет размножение вируса, после чего данный файл стирается. Вирус в зараженных командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл AUTOEXE.BAT.

Долгое время заражение вирусами файлов документов считалось невозможным, так как документы не содержали исполнимых программ. Однако программисты фирмы Microsoft встроили, а документы Word для Windows мощный язык макрокоманд WordBasic. На этом WordBasic стало возможно писать вирусы. Запуск вируса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован.

Возможно заражение и других объектов, содержащих программы в какой- либо форме – текстов программ, электронных таблиц и т.д. Например, вирус AsmVirus.238 заражает файлы программ на языке ассемблера (.ASM-файлы), вставляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно.

Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windows. Пока что такие вирусы были созданы для таблиц табличного процессора Excel.

Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, заражены вирусом быть не могут.  Не содержащие программ объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы, документы простых редакторов документов типа ЛЕКСИКОНа или Multi-Edit, информационные файлы баз данных и т.д.

 

2.Способы защиты от вируса

При активизации зараженного вирусом файла управление сразу передается на вирус, который выполняет свои разрушительные действия, а также параллельно приписывается к другим программам и файлам. Затем технологически происходит возврат к тем действиям, которые выполнялись на компьютере. При высоком быстродействии компьютера подобное «отвлечение» от регламентированного хода работ для пользователя остается абсолютно незамеченным. Нанесенный ущерб может обнаружиться не сразу. Внешние проявления присутствия вируса в компьютере могут быть самыми различными, например:

. мерцание экрана;

. появление на экране непредусмотренного  сообщения;

. непредусмотренное требование  снять защиту записи с дискеты;

. изменение даты и времени  создания зараженных файлов;

. зависание компьютера и невозможность  преодолеть эту проблему;

. опадание букв на экране (иногда  с музыкальным сопровождением);

. исчезновение некоторых программных  файлов по пятницам, приходящихся   на 13-е число месяца;

. необычное аварийное завершение  работы;

. уничтожение информационных файлов  или их частичное разрушение;

. замедление работы компьютера;

. блокирование ввода с клавиатуры;

. звучание музыки;

. поворот символов на экране;

. блокировка записи на жесткий  диск;

. другие виды необычного «поведения»  компьютера.

   Особенно опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с быстрой потерей всей хранящейся там информации. Поскольку от проникновения вируса не застрахован ни один пользователь, то можно, по крайней мере, сократить до минимума возможные последствия от присутствия в компьютере вируса. Для этого необходимо соблюдать несколько простых правил:

1) Каждую свою дискету, если она  «побывала» на другом компьютере, следует обязательно проверить  любой доступной антивирусной  программой. Программы такого рода  могут не только обнаружить  вирус, но и «вылечить» дискету. Особенно это касается игровых программ, т.к. большинство вирусов распространяется именно через них.

2) Аналогичные проверки необходимо  устраивать для файлов, полученных  через сеть.

3) Антивирусная программа очень  быстро морально стареет. Поэтому  рекомендуется ее периодически  обновлять новой версией. Период  обновления программ такого рода  составляет от одной недели  до одного квартала.

4) Не снимать защиту записи  с дискеты в ходе повседневных  работ, если это не предусмотрено  технологией решения задач.

5) При обнаружении вируса не  предпринимать необдуманных действий, т.к. это может привести к потере  той информации, которую еще можно  было бы спасти. Самое правильное  в такой ситуации – это выключить  компьютер, чтобы блокировать деятельность  вируса. Затем загрузить компьютер  с эталонной дискеты операционной  системой. После этого запустить  антивирусную программу, в функциях  которой предусмотрено не только  обнаружение инфицированных файлов, но и их лечение. Далее выполнить  антивирусную программу повторно. Если все операции по удалению  вируса были сделаны правильно, то результатом ее работы должно  быть информирование пользователя  о полном отсутствии вирусов. Но следует помнить, что программа  не должна быть морально устаревшей.

В последнее время при работе в сетях, особенно при пользовании электронной почтой, участилось проникновение вирусов в компьютер пользователя посредством чтения почтовых сообщений. Поэтому здесь также следует соблюдать несколько простых правил:

1) Не открывать прикрепленные  к письму файлы, кроме случая, когда есть предварительная договоренность  с отправителем об их отправке.

2) Не открывать прикрепленные  к письму файлы, пришедшие от  антивирусных лабораторий, компании  Microsoft и прочих. Компании никогда не занимаются рассылкой файлов.

3) Не открывать прикрепленные  к письму файлы, если тема письма  и само письмо пустые.

4) Удалять все подозрительные  письма.

5) При длительном отсутствии  следует прервать подписку на  различные электронные рассылки.

 

3.Требования к антивирусным программам

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы.

Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.