Программированиеи компьютеры /
стороны, обусловлены отсут-ствием аппаратных средств защиты и противодействия со стороны операцион-ной системы персонального компьютера.
4. ПУТИ ПРОНИКНОВЕНИЯ ВИРУСОВ В КОМПЬЮТЕР И МЕХАНИЗМ РАСПРЕДЕЛЕНИЯ ВИРУСНЫХ ПРОГРАММ
Основными путями проникновения вирусов в компьютер являются съем-ные диски (гибкие и лазерные), а также компьютерные сети. Заражение жестко-го диска вирусами может произойти при загрузке программы с дискеты, содер-жащей вирус. Такое заражение может быть и случайным, например, если дис-кету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус мо-жет попасть, даже если дискету просто вставили в дисковод зараженного ком-пьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, что-бы при ее запуске управление сначала передалось ему и только после выполне-ния всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую про-грамму и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются за-грузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь ди-версию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каж-дое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Для иллюстрации процесса заражения компьютерной программы вирусом имеет смысл уподобить дисковую память старомодному архиву с папками на тесьме. В папках расположены программы, а последовательность операций по внедрению вируса будет в этом случае выглядеть следующим образом.( см. Приложение 1 )
5. ПРИЗНАКИ ПОЯВЛЕНИЯ ВИРУСОВ
При заражении компьютера вирусом важно его обнаружить. Для этого сле-дует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
• прекращение работы или неправильная работа ранее успешно функциони-ровавших программ
• медленная работа компьютера
• невозможность загрузки операционной системы
• исчезновение файлов и каталогов или искажение их содержимого
• изменение даты и времени модификации файлов
• изменение размеров файлов
• неожиданное значительное увеличение количества файлов на диске
• существенное уменьшение размера свободной оперативной памяти
• вывод на экран непредусмотренных сообщений или изображений
• подача непредусмотренных звуковых сигналов
• частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызыва-ются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
6. ОБНАРУЖЕНИЕ ВИРУСОВ И МЕРЫ ПО ЗАЩИТЕ И ПРОФИЛАКТИКЕ
6.1. Как обнаружить вирус? Традиционный подход
Итак, некий вирусописатель создает вирус и запускает его в«жизнь». Неко-торое время он, возможно, погуляет вволю, но рано или поздно «лафа» закон-чится. Кто-то заподозрит что-нибудь неладное. Как правило, вирусы обнаружи-вают обычные пользователи, которые замечают те или иные аномалии в пове-дении компьютера. Они, в большинстве случаев, не способны самостоятельно справиться с заразой, но этого от них и не требуется.
Необходимо лишь, чтобы как можно скорее вирус попал в руки специали-стов. Профессионалы будут его изучать, выяснять, «что он делает», «как он де-лает», «когда он делает» и пр. В процессе такой работы собирается вся необхо-димая информация о данном вирусе, в частности, выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового - способ заражения файла. Полученная информация позволяет выяснить:
• как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки - файлах и или загрузочных секторах
• как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов
6.2. Программы обнаружения и защиты от вирусов
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
• программы-детекторы
• программы-доктора или фаги
• программы-ревизоры
• программы-фильтры
• программы-вакцины или иммунизаторы
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ яв-ляется то, что они могут находить только те вирусы, которые известны разра-ботчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только нахо-дят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей ра-боты фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. програм-мы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и сис-темных областей диска тогда, когда компьютер не заражен вирусом, а затем пе-риодически или по желанию пользователя сравнивают текущее состояние с ис-ходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (кон-трольная сумма файла), дата и время модификации, другие параметры. Про-граммы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой програм-мы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие рези-дентные программы, предназначенные для обнаружения подозрительных дей-ствий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
• попытки коррекции файлов с расширениями COM, EXE
• изменение атрибутов файла
• прямая запись на диск по абсолютному адресу
• запись в загрузочные сектора диска
• загрузка резидентной программы
При попытке какой-либо программы произвести указанные действия «сто-рож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как спо-собны обнаружить вирус на самой ранней стадии его существования до раз-множения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам про-грамм-сторожей можно отнести их «назойливость»(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Приме-ром программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.
Вакцины или иммунизаторы - это резидентные программы, предотвращаю-щие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных ви-русов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и по-этому не внедрится. В настоящее время программы-вакцины имеют ограничен-ное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избе-жать распространения вирусной эпидемии на другие компьютеры.
6.3. Основные меры по защите от вирусов
Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспе-чить надежное хранение информации на дисках, необходимо соблюдать сле-дующие правила:
• оснастите свой компьютер современными антивирусными программами, на-пример Aidstest, Doctor Web, и постоянно возобновляйте их версии
• перед считыванием с дискет информации, записанной на других компьюте-рах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирус-ные программы своего компьютера
• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область