Компьютерные вирусы

 

В дальнейшем загрузочный вирус  ведет себя так же, как резидентный  файловый: перехватывает обращения  ОС к дискам и инфицирует  их, в зависимости от некоторых  условий совершает деструктивные  действия или вызывает звуковые  или видеоэффекты.

Макровирусы 

 

Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. 

 

Наибольшее распространение получили  макровирусы для Microsoft Word, Excel и Office 97. 

Макровирусы 

 

Для существования вирусов в  конкретной системе необходимо  наличие встроенного в систему  макроязыка с возможностями: 
1) привязки программы на макроязыке к конкретному файлу; 
2) копирования макропрограмм из одного файла в другой; 
3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

 

Данным условиям удовлетворяют  редакторы Microsoft Word, Office 97 и AmiPro, а также электронная таблица Excel. Эти системы содержат себе макроязыки (Word - Word Basic, Excel и Office 97 - Visual Basic), а также: 
1) макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Office 97); 
2) макроязык позволяет копировать файлы (AmiPro) или перемещать как подпрограммы в служебные файлы системы и редактируемые файлы (Word, Excel, Office 97); 
3) при работе с файлом при определенных условиях (открытие, закрытие и т. д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel, Office 97).

Макровирусы 

 

Эта особенность макроязыков  предназначена для автоматической  обработки данных в больших  организациях или в глобальных  сетях и позволяет организовать  так называемый "автоматизированный  документооборот". С другой стороны, возможности макроязыков таких  систем позволяют вирусу переносить свой код в другие файлы и заражать их. 

 

На сегодняшний день известны  четыре системы, для которых существуют вирусы, - Microsoft Word, Excel, Office 97 и AmiPro. В этих системах вирус получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макровирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. 

Макровирусы 

 

Макровирусы, поражающие файлы Word, Excel или Office 97, как правило, пользуются  одним из трех приемов: в вирусе  либо присутствует автомакрос (автофункция), либо переопределен один из  стандартных системных макросов (ассоциированный с каким-либо  пунктом меню), либо макрос вируса  вызывается автоматически при  нажатии на какую-либо клавишу  или комбинацию клавиш. Существуют  также полувирусы, которые не  используют всех этих приемов  и размножаются, только когда  пользователь самостоятельно запускает  их на выполнение.

 

Таким образом, если документ  заражен, при его открытии Word вызывает  зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и запускает код вируса, если  это не запрещено системной  переменной DisableAutoMacros. Если вирус  содержит макросы со стандартными именами, они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs). Если же переопределен какой-либо символ клавиатуры, то вирус активизируется только после нажатия на соответствующую клавишу. 

Сетевые вирусы

 

К сетевым относятся вирусы, которые для своего распространения  активно используют протоколы  и возможности локальных и  глобальных сетей. Основным принципом  работы сетевого вируса является  возможность самостоятельно передать  свой код на удаленный сервер  или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают  еще и возможностью запустить  на выполнение свои код на  удаленном компьютере или, по  крайней мере, "подтолкнуть" пользователя  к запуску зараженного файла. 

 

Бытует ошибочное мнение, что  сетевым является любой вирус, распространяющийся в компьютерной  сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается, сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым никак нельзя.

Сетевые вирусы

 

Наибольшую известность приобрели  сетевые вирусы конца 80-х, их так  же называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы Cristmas Tree и Wank Worm. Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени. Вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. Эпидемия вируса Морриса захватила в свое время несколько глобальных сетей в США. 

Прочие вредные программы

 

К вредным программам помимо  вирусов относятся также "троянские кони" (логические бомбы), intended-вирусы, конструкторы вирусов и полиморфик-генераторы.

 

"Троянский конь" - это программа, наносящая какие-либо разрушительные действия, т. е. в зависимости от определенных условий или при каждом запуске уничтожающая информацию на дисках, "приводящая" систему (к зависанию) и т. п.

Прочие вредные программы

 

Большинство известных "троянских  коней" подделываются под какие-либо  полезные программы, новые версии  популярных утилит или дополнения  к ним. Очень часто они рассылаются  по BBS-станциям или электронным  конференциям. По сравнению с  вирусами "троянские кони" не  получают широкого распространения  по достаточно простым причинам: они либо уничтожают себя вместе  с остальными данными на диске, либо демаскируют свое присутствие  и уничтожаются пострадавшим  пользователем. 

Прочие вредные программы

 

Следует отметить также "злые шутки" (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К "злым шуткам" относятся, например, программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), определяют вирусы в незараженных файлах (как это делает широко известная программа ANTITIME), выводят странные вирусоподобные сообщения (драйвер диска CMD640X от какого-то коммерческого пакета) и т. д. - варианты зависят от чувства юмора автора такой программы. Видимо, к "злым шуткам" относится также строка CHOLEEPA во втором секторе винчестеров фирмы Seagate. К этой же категории шуток можно отнести заведомо ложные сообщения о новых супервирусах. Такие сообщения периодически появляются в электронных конференциях и обычно вызывают среди пользователей панику. 

"Стелс"-вирусы

 

"Стелс"-вирусы теми или  иными способами скрывают факт  своего присутствия в системе. Известны "стелс"-вирусы всех типов за исключением Windows-вирусов, файловые DOS-вирусы и даже макровирусы. Появление "стелс"-вирусов, заражающих файлы Windows, скорее всего дело времени. 

 

Загрузочные "стелс"-вирусы для  скрытия своего кода используют  два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.

"Стелс"-вирусы

 

Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS-прерывание INT 21h. 

"Стелс"-вирусы

 

Большинство файловых "стелс"-вирусов  использует те же приемы, что  приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT21h), либо временно лечат файл при  его открытии и заражают при  закрытии. Так же как и для  загрузочных вирусов, существуют  файловые вирусы, использующие для  своих "стелс"-функций перехват  прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h. Полноценные файловые "стелс"-вирусы, использующие первый способ скрытия  своего кода, в большинстве своем  достаточно громоздки, поскольку  им приходится перехватывать  большое количество DOS-функций работы  с файлами: открытие-закрытие, чтение-запись, поиск, запуск, переименование и  т.д., причем необходимо поддерживать  оба варианта некоторых вызовов (FCB/ASCII), а с появлением Windows 95/NT необходимо  также обрабатывать третий вариант - функции работы с длинными  именами файлов.

Полиморфик-вирусы

 

Полиморфик-вирусами являются те, обнаружение которых невозможно , или крайне затруднительно осуществить  при помощи так называемых  вирусных масок - участков постоянного  кода, специфичных для конкретного  вируса.  
Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса. Существуют также другие, достаточно экзотические примеры полиморфизма - DOS-вирус Bomber, например, не зашифрован, однако последовательность команд, которая передает управление коду вируса, является полностью полиморфной. 
Полиморфизм различной степени сложности встречается в вирусах всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже макровирусов. 

Контрольные вопросы:

 

• На сколько классов подразделяются вирусы?

 

• По каким основным признакам подразделяются вирусы?

 

• Что из себя представляют макровирусы?

Методы обнаружения и  удаления компьютерных вирусов

 

Способы противодействия компьютерным  вирусам можно разделить на:

 

профилактику вирусного заражения

 

использование антивирусных программ

Профилактика заражения  компьютера

 

Одним из основных методов  борьбы с вирусами является, как  и в медицине, своевременная профилактика.

 

Компьютерная профилактика предполагает  соблюдение некоторых правил, позволяющих  значительно снизить вероятность  заражения вирусом и потери  данных. Поэтому, чтобы определить  эти основные правила  компьютерной гигиены, необходимо выяснить пути проникновения вируса в компьютер и компьютерные сети.

Откуда берутся вирусы

 

Пиратское программное обеспечение

 

Глобальные сети – электронная  почта

 

Локальные сети

 

Персональный компьютер общего  пользования

 

Ремонтные службы

Основные правила защиты

 

Правило первое: крайне осторожно относитесь к программам и документам Word/Excel 97, которые получаете из глобальных сетей. Перед тем как открыть документ обязательно проверьте его на наличие вирусов.

 

Правило второе: защита локальных сетей (ограничение прав пользователей, использование антивирусных программ, использование бездисковых рабочих станций.

 

Правило третье: используйте только хорошо зарекомендовавшие себя источники программ.

Основные правила защиты

 

Правило четвёртое: старайтесь не запускать не проверенные файлы. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.

 

Правило пятое: необходимо ограничивать круг лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению многопользовательские ПК.

Наиболее эффективны в борьбе  с компьютерными вирусами антивирусные  программы. Однако сразу хотелось  бы отметить, что не существует  антивирусов, гарантирующих 100% защиту  от вирусов.

 

Какой антивирус самый лучший? Любой, если на вашем компьютере  вирусы не водятся и вы не  пользуетесь вирусоопасными источниками  информации.

 

Антивирусные программы

Если же вы любитель игрушек, ведёте активную переписку по  электронной почте, то вам всё-таки  следует использовать какой-либо  антивирус. Какой именно – решайте  сами, однако есть несколько позиций, по которым различные антивирусы  можно сравнить между собой.