Программированиеи компьютеры /
• существенное уменьшение размера свободной оперативной памяти
• вывод на экран непредусмотренных сообщений или изображений
• подача непредусмотренных звуковых сигналов
• частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызыва-ются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
6. ОБНАРУЖЕНИЕ ВИРУСОВ И МЕРЫ ПО ЗАЩИТЕ И ПРОФИЛАКТИКЕ
6.1. Как обнаружить вирус? Традиционный подход
Итак, некий вирусописатель(вирьмейкер) создает вирус и запускает его в «жизнь». Некоторое время он, возможно, погуляет вволю, но рано или поздно «лафа» закончится. Кто-то заподозрит что-нибудь неладное. Как правило, виру-сы обнаруживают обычные пользователи, которые замечают те или иные ано-малии в поведении компьютера. Они, в большинстве случаев, не способны са-мостоятельно справиться с заразой, но этого от них и не требуется.
Необходимо лишь, чтобы как можно скорее вирус попал в руки специали-стов. Профессионалы будут его изучать, выяснять, «что он делает», «как он де-лает», «когда он делает» и пр. В процессе такой работы собирается вся необхо-димая информация о данном вирусе, в частности, выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового - способ заражения файла. Полученная информация позволяет выяснить:
• как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки - файлах и или загрузочных секторах
• как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов
6.2. Программы обнаружения и защиты от вирусов
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
• программы-детекторы
• программы-доктора или фаги
• программы-ревизоры
• программы-фильтры
• программы-вакцины или иммунизаторы
Существуют программы ,которые сомещают в себе несколько функций из вы-шеперечисленных ,например AVP(Antivirus Toolkit Pro) – по праву считается лучшей антивирусной программой.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ яв-ляется то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только нахо-дят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей ра-боты фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. програм-мы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и сис-темных областей диска тогда, когда компьютер не заражен вирусом, а затем пе-риодически или по желанию пользователя сравнивают текущее состояние с ис-ходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (кон-трольная сумма файла), дата и время модификации, другие параметры. Про-граммы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой програм-мы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие рези-дентные программы, предназначенные для обнаружения подозрительных дей-ствий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
• попытки коррекции файлов с расширениями COM, EXE
• изменение атрибутов файла
• прямая запись на диск по абсолютному адресу
• запись в загрузочные сектора диска
• загрузка резидентной программы
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить со-ответствующее действие. Программы-фильтры весьма полезны, так как спо-собны обнаружить вирус на самой ранней стадии его существования до раз-множения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам про-грамм-сторожей можно отнести их «назойливость»(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Приме-ром программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не от-ражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избе-жать распространения вирусной эпидемии на другие компьютеры.
6.3. Основные меры по защите от вирусов
Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:
• оснастите свой компьютер современными антивирусными программами, на-пример Aidstest, Doctor Web,AVP и постоянно возобновляйте их версии
• перед считыванием с дискет информации, записанной на других компьюте-рах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирус-ные программы своего компьютера
• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область про-верки только вновь записанными файлами
• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и сис-темных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты
• всегда защищайте свои дискеты от записи при работе на других компьюте-рах, если на них не будет производится запись информации
• обязательно делайте архивные копии на дискетах ценной для вас информа-ции
• не оставляйте в кармане дисковода А дискеты при включении или переза-грузке операционной системы, чтобы исключить заражение компьютера за-грузочными вирусами
• используйте антивирусные программы для входного контроля всех испол-няемых файлов, получаемых из компьютерных сетей
• для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf
6.4.Действия при заражении компьютера вирусом
При заражении компьютера вирусом (или при подозрении на это) важно со-блюдать 4-е правила:
1) Прежде всего не надо торопиться и принимать опрометчивых решений.
Непродуманные действия могут привести не только к потери части файлов, но к повторному заражению компьютера.
2) Надо немедленно выключить компьютер, чтобы вирус не продолжал
своих разрушительных действий.
3) Все действия по обнаружению вида заражения и лечению компьютера
следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило).
4) Если Вы не обладаете достаточными знаниями и опытом для лечения
компьютера, попросите помочь более опытных коллег.
ЗАКЛЮЧЕНИЕ
Итак, можно привести массу фактов, свидетельствующих о том, что угроза ин-формационному ресурсу возрастает с каждым днем, подвергая в панику ответ-ственных лиц в банках, на предприятиях и в компаниях во всем мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную, ценную информацию, что может привести не только к фи-нансовым потерям, но и к человеческим жертвам.
Компьютерный вирус - специально написанная программа, способная само-произвольно