Объекты заражения вирусами это

Компьютерный вирус это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера. Загрузочные вирусы заражают загрузочный сектор винчестера или дискеты и загружаются каждый раз при начальной загрузке операционной системы. Стелсвирусы невидимки перехватывает обращения к зараженным файлам и областям и выдают их незараженном виде. Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению саморепликация В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами целом. При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя старшие адреса памяти Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.

объекты заражения вирусами это

Вирусчервь сначала на атакуемую машину, проникает лишь небольшая часть вируса, называемая головой или загрузчиком, которая и подтягивает основное тело червя исполняемая часть Собственно говоря, голов у вируса может быть и несколько Так, достопочтенный вирус Морриса имел две головы. Файловозагрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты bootsector. Полиморфные вирусы вирусы, модифицирующие свой код зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

объекты заражения вирусами это

Полиморфные вирусы это вирусы с самомодифицирующимися расшифровщиками Цель такого шифрования имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования Этот код зашифрован и представляет собой бессмысленный набор команд Расшифровка производится самим вирусом уже непосредственно во время выполнения При этом возможны варианты он может расшифровать себя всего сразу, а может выполнить такую расшифровку по ходу дела, может вновь шифровать уже отработавшие участки Все это делается ради затруднения анализа кода вируса. Компьютерный вирус это небольшая по размерам программа, ориентированная на существование и размножение файле за счет его несанкционированного изменения, заражения а также выполнения нежелательных действий на компьютере Признаками заражения являются невозможность загрузки операционной системы некоторые программы перестают работать или начинают работать неправильно на экран выводятся посторонние символы, сообщения работа на компьютере существенно замедляется некоторые файлы оказываются испорченными или исчезают изменяется размер файлов дата и время их модификации увеличивается количество файлов на диске и. Программы ревизоры запоминают исходное состояние программ, каталогов и системных областей до заражения компьютера и периодически его сравнивают с текущим состоянием При обнаружении несоответствия пользователю выдается предупреждение.

Программы доктора обнаруживают и лечат зараженные объекты путем выкусывания тела вируса Программы этого типа подразделяются на фаги и полифаги обнаружение и уничтожение большого количества разнообразных вирусов. Проверим на наличие вирусов личную дискету и папку Мои документы с помощью программы Norton AntiVis Professional. Заражение обычно происходит через носители информации дискеты, диски, флэшпамять и через сеть локальную или интернет По аналогии с обычными, биологическими вирусами, компьютерные тоже развиваются по определённому циклу своей жизни Он делится на пять основных этапов внедрение компьютер, активация вируса, поиск файлов и программ для заражения, создание своих копий и, наконец, распространение копий для дальнейшего заражения Для лучшего понимания механизма работы и распространения вирусов, рассмотрим их поподробнее. Этап внедрения На этом этапе вирусы проникают на Ваш компьютер Часть из них сразу могут попасть активном состоянии, а некоторые будут ждать активации, не представляя до этого никакой угрозы. Классификация вирусов по способу создания копий зависит от их поведения момент этапа копирования Для усложнения обнаружения вирус может зашифровать свою копию В теле вируса присутствует шифратор, который преобразует исходный код вируса и определённый ключ, уникальный для этой копии По этому ключу шифратором осуществляется преобразование кода Как результат, полученная копия будет совершенно не похожа на оригинал Это, так называемые, шифрованные вирусы.

Есть ещё один способ создание непохожей копии В коде вируса некоторые команды или группы команд меняются на эквивалентные, добавляются команды, которые не влияют на работу основного кода вируса, некоторые участки меняются местами и Такие вирусы называются метаморфными вирусами. Если объединить вместе механизмы шифрования и метаморфизма, мы получим третий тип вирусов данной категории полиморфные вирусы. Одна из особенностей вирусных программ это способность к размножению Виртуальный вирус попадая систему компьютера, начинает производить свои клоны или копии, которые могут быть искажены, запускает их системные области компьютера, вычислительные сети файлы. Разделить вредоносные программы можно на два основных вида Вирусы и черви. Поступающие из внешних источников данные файлы, дискеты и проверяются программойдетектором Если эти данные забыли проверить, и заражённая программа была запущена, её может поймать программасторож Правда, обоих случаях надёжно обнаруживаются лишь вирусы, известные этим антивирусным программам Неизвестные вирусы детекторы и сторожа, не включающие себя эвристический анализатор, не обнаруживают вовсе пример программа Aidstest, а имеющие такой анализатор обнаруживают не более чем 8090 случаев.

Сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жёсткий диск или внести изменения системные файлы или области диска на жёстком диске Впрочем, некоторые вирусы умеют обходить такой контроль Более мелкие пакости вирусов изменение программных файлов, запись системные области дискет и обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами. Если вирус не был обнаружен детектором или сторожем, то результаты его деятельности обнаружит программаревизор. Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции При этом часто функции детектора и ревизора совмещаются одной программе. Для программдетекторов следует периодически обновлять их версии Новые вирусы сейчас появляются каждую неделю, и при использовании версий программ полугодовой или годовой давности очень вероятно заражение таки вирусом, который этим программам будет неизвестен.

объекты заражения вирусами это

Если какаялибо из программдетекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить заражённые объекты Как правило, для системных областей диска программадетектор предлагает выбрать их излечение или оставление без изменений, а для файлов лечение, удаление или оставление без изменений Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит пакет программ, который можно заново установить с дистрибутивных дисков. У многих пользователей компьютеров изза незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентны публикаций печати, создаётся своеобразный комплекс боязни вирусов вирусофобия Этот комплекс имеет два проявления. Вирусофобия вообще не так безобидна, как это может показаться на первый взгляд Она приводит, например, к следующим последствиям. Многие резидентные вирусы и файловые, и загрузочные предотвращают своё обнаружение тем, перехватывают обращения операционной системы и тем самым прикладных программ к заражённым файлам и областям диска и выдают их исходном незаражённом виде Такие вирусы называются невидимыми, или stealth стелс вирусами Разумеется, эффект невидимости наблюдается только на заражённом компьютере на чистом компьютере изменения файлах и загрузочных областях диска можно легко обнаружить. По среде обитания иначе говоря, по поражаемым объектам вирусы делятся на файловые, загрузочные, сетевые вирусы и макровирусы.

Файловые вирусы являются одними из самых распространенных типов компьютерных вирусов Их характерной чертой является то, что они инициируются при запуске заражённой программы Код вируса обычно содержится исполняемом файле этой программы файл с расширением или, либо динамической библиотеке расширение, используемой программой В настоящее время такие вирусы, как правило, представляют собой скрипты, написаны с использованием скриптового языка программирования JavaScript, к примеру и могут входить состав вебстраниц Они внедряются исполняемые файлы, создают дубликаты файлов или используют особенности организации файловой системы для выполнения несанкционированных действий. Также очень сложно обнаружить системе вирусы, основанные на применении алгоритмов полиморфичности Такие вирусы не содержат ни одного постоянного участка кода, что достигается за счет шифрования кода вируса и модификации программырасшифровщика Как правило, два образца одного и того же вируса не будут иметь ни одного совпадения коде. Основные типы вредоносных объектов vis worm worm и emailworm, packer utility trojan trojandownloader, backdoor и trojandropper Среди сетевых вирусов worm выделяют вредоносные программы, которые используют для своего распространения электронную почту email worm и сети обмена данными. Современные антивирусы собирают базу данных о таких угрозах и, при попытке пользователя перейти по фишинговой ссылке, предупреждают его об опасности.

Для тех, кто не смог уберечь свой компьютер от вирусов, мы дадим советы, как предотвратить дальнейшее распространение вируса и удалить его, максимально сохранив свои данные. Антивирусные программысканеры, которые могут удалить обнаруженные вирусы, обычно называются полифагами Самой известной программойсканером является Aidstest Дмитрия Лозинского Aidstest выполняет поиск вирусов по их сигнатурам Поэтому он обнаруживает только простейшие полиморфные вирусы. В первой главе мы рассказывали о так называемых шифрующихся и полиморфных вирусах Полиморфные вирусы полностью изменяют свой код при заражении новой программы или загрузочного сектора Если вы выделите два экземпляра одного и того же полиморфного вириуса, то они могут не совпадать ни одном байте Как следствие, для таких вирусов невозможно определить синатуру Поэтому простые антивирусные программысканеры не могут обнаружить полиморфные вирусы. Когда вирус заражает компьютер, он обязательно делает изменения на жестком диске, например, дописывает свой код выполнимый файл, добавляет вызов программывируса файл изменяет загрузочный сектор, создает файлспутник. Антивирусные программы могут предварительно запомнить характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверять их отсюда происходит их название программыревизоры Если будет обнаружено изменение, тогда возможно что на компьютер напал вирус.

Программыревизоры могут обнаружить большинство вирусов, деже тех, которые ранее не были известны Вирусы, заражающие файлы программ только при их копировании, ревизоры как правило обнаружить не могут, так как они не знают параметров файла, которые были до копирования. Для того, чтобы человек смог избежать некоторых заболеваний, ему делают прививку Существует способ защиты программ от вирусов, при котором к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью При этом может проверяться контрольная сумма программы или какиелибо другие характеристики Когда вирус заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю. На сегодняшний день одним из самых надежных спсобов защиты компьютеров от нападений вирусов являются аппаратнопрограммные средства Обычно они представляют собой специальный контроллер, вставляемый один из разъемов расширения компьютера и программное обеспечение, управляющее работой этого контроллера. Аппаратнопрограммные средства защиты позволяют не только защитить компьютер от вирусов, но также вовремя пресечь работу троянских программ, нацеленных на разрушение файловой системы компьютера Кроме того аппаратнопрограммные средства позволяют защитить компьютер от неквалифицированного пользователя и злоумышленника, они не дадут ему удалить важную информацию, отформативать диск, изменить файлы конфигурации.

За рубежом производится намного больше средств аппаратнопрограммной защиты, но их цена занчительно выше, чем у Sheriff и составляет несколько сотен американских долларов Вот несколько названий таких комплексов. Существуют вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки энергонезависимой памяти CMOSпамяти компьютера. Самое простое средство аппаратной защиты отключить от компьютера все каналы, через которые него может проникнуть вирус Если компьютер не подключен к локальной сети и нем не установлен модем, то достаточно отключить накопители на гибких дисках и основной канал поступления вирусов компьютер будет перекрыт. Некоторые вирусы заражают файлы и загрузочные секторы, замещая своим кодом часть заражаемого объекта, то есть безвозвратно уничтожая заражаемый объект Файлы и загрузочные секторы, зараженные такими вирусами, не могут быть вылечены по первой методике, но как правило могут быть восстановлены по второй методике Если восстановить зараженные выполнимые файлы с помощью антивирусных программ не получается, вы должны будете восстановить их с дистрибутива или резервной копии или просто удалить если они не нужны. Когда вирус активен, он позволяет считывать секторы с неправильной контрольной суммой Если просто удалить такой вирус, тогда секторы с неправильной контрольной суммой читаться не будут Операционная система сообщит вам о ошибке чтения с жесткого диска сектор не найден.

Пользователи компьютеров должны заблаговременно подготовиться к возможной атаке вирусов, а не ждать до последней минуты, когда вирус уже появится Благодаря этому вы сможете быстрее обнаружить вирус и удалить. Периодически проверяйте компьютер при помощи различных антивирусных средств Контролируйте все изменения на диске с помощью программыревизора, например ADinf Новые и изменившиеся файлы проверяйте программамиполифагами Aidstest и Doctor. Если вам нужен высокий уровень защиты от вирусов, установите компьютере аппаратный контроллер защиты, например Sheriff Совместное использование аппаратного контроллера и традиционных антивирусных средств позволят максимально обезопасить вашу систему. Накопители на магнитных дисках размером 5 25 дюйма постепенно выходят из употребления, поэтому новых компьютерах устанавливают только один накопитель на гибких магнитных дисках, рассчитанный на дискеты размера 3 5 дюйма В этом случае он имеет имя A диск B отсутствует. Для восстановления файлов, удаленных во время выполнения форматирования дискеты, используйте команду UNFORMAT. Архиватор не будет запрашивать у пользователя разрешения для выполнение различных действий, например для создания нового файла многотомного архива, создания каталогов. Затем переместите указатель мыши на пиктограмму того файла или каталога, который должен быть скопирован, и нажмите правую кнопку мыши На экране появится небольшое меню.

Обычно, когда на одном компьютере работает несколько человек, они используют различные средства разграничения доступа к жестким дискам Например Diskreet из пакета Norton Utilities, позволяет создать несколько логических дисков Каждый пользователь может иметь доступ только к некоторым дискам, остальные для него будут полностью недоступны. Если файл архива будет обнаружен, вирус создает файл, имеющий случайное имя, состоящее из четырех символов от A до V, с расширением В этот файл вирус записывает 5 Кбайт своего кода и конце дополняет его произвольным количеством байт. Необходимо проверить все дискеты, использовавшиеся для работы с зараженными компьютерами Они могут оказаться заражены загрузочными и файловыми вирусами Вирус может сохраниться на них, а затем снова заразить компьютер Дискеты, зараженные вирусами, надо вылечить или отформатировать. Такие операции, как форматирование логического диска, удаление раздела или логического диска командой FDISK полностью уничтожают все файлы на данном диске Поэтому предварительно удалять файлы нет никакой необходимости. После того как вы заново создадите на жестком диске разделы и логические диски и отформатируете их, можно приступать к установке операционной системы и остальных программ Полная установка программного обеспечения компьютера отнимает много времени Чтобы ускорить этот процесс, по возможности устанавливайте программные продукты не с дискет, а с компактдисков.

Вы можете значительно облегчить восстановление работоспособности компьютера, если заблаговременно будете выполнять резервное копирование всей информации, записанной компьютере В этом случае после создания и форматирования логических дисков можно восстановить программное обеспечение с этих резервных копий Как будет происходить это восстановление, зависит от средств, используемых вами при создании резервных копий. Некоторые вирусы не могут быть обнаружены и удалены программой Aidstest, поэтому ее надо использовать совместно с антивирусом Doctor. Если Вы используете резидентную программусторожа для защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус не успел еще активизироваться, заразить другие программы или диски и испортить какиелибо данные Например, при обращении к дискете программасторож может вывести сообщение, что на дискете имеется загрузочный вирус, и предложить его удалить Тогда для удаления вируса достаточно согласиться с предложением программысторожа Никаких других действий этом случае предпринимать не надо Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программамидетекторами типа Aidstest, Dr Web и было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы.

Лечение компьютера от заражения вирусом имеет существенные особенности, отличающие его, скажем, от устранения повреждений файловой системы, то есть системных данных, указывающих расположение данных на дисках. Norton AntiVis для Windows поддерживает архивы формата Norton AntiVis для Windows 95 и LZH, Dr Web ARJ ZIP LZH RAR ZOO и a Aidstest не умеет искать вирусы архивах вообще. После того, как Вы выявили и удалили с компьютера вирус, надо выполнить следующие действия. Потребность лечении компьютера от вирусов, а тем более, тяжелые последствия заражения вирусом, как правило, связаны с несоблюдением элементарных правил компьютерной гигиены, описанных предыдущем параграфе Если Вы больше не хотите лечить компьютер от вирусов, установите на компьютер антивирусные программы и выполняйте меры антивирусной профилактики проверка всех полученных извне данных программамидетекторами, ежедневная проверка жесткого диска программамиревизорами, использование резидентной программысторожа, регулярное обновление версий антивирусных программ и. Здесь столбце Cluster у первого элемента стоит 2 номер кластера диска, куда вирус записал свое тело и где раньше располагался файл а у третьего элемента этом столбце указан номер того кластера, начиная с которого вирус поместил копию файла.

О том, какие именно деструктивные функции выполняют на инфицированном компьютере различные вредоносные программы, а также о том, какой транспорт они используют для проникновения атакуемую систему, мы побеседовали предыдущих главах Настало время кратко обсудить методики, используемые вирусами и троянцами для заражения. Объект для инжекта во многом определяется целью злоумышленников и функциональным назначением самой вредоносной программы Наиболее распространенным объектом для инжектов Windows являются запущенные системе процессы браузеров или различные системные процессы, такие как или проводник. Лоадером называют компонент вредоносной программы, осуществляющий загрузку других модулей например, динамических библиотек оперативную память компьютера и ряде случаев настройку этих компонентов памяти Для загрузки компонент лоадер может использовать как функции API, так и различные собственные механизмы. Например, если злоумышленник хочет, чтобы другая программа не завершила используемый им инфицированный процесс, он может установить хуки на функции открытия и завершения процессов OpenProcess, TerminateProcess, и момент вызова этих функций другими процессами осуществлять проверку, не пытаются ли они завершить процесс его вредоносного приложения. VisClean Удаление и лечение вирусов Рязань, установка и настройка антивирусных программ.

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными Основными типами таких вирусов являются вирусы, записывающиеся начало файлов prepending, конец файлов appending и середину файлов inserting В свою очередь, внедрение вирусов середину файлов происходит различными методами путем переноса части файла его конец или копирования своего кода заведомо неиспользуемые данные файла cavity вирусы. Файловые черви worms являются, некотором смысле, разновидностью компаньонвирусов, но при этом никоим образом не связывают свое присутствие с какимлибо выполняемым файлом При размножении они всего лишь копируют свой код какиелибо каталоги дисков надежде, что эти новые копии будут когдалибо запущены пользователем Иногда эти вирусы дают своим копиям специальные имена, чтобы подтолкнуть пользователя на запуск своей копии например Существуют вирусычерви, использующие довольно необычные приемы, например, записывающие свои копии архивы ARJ, ZIP и прочие К таким вирусам относятся ArjVis и Winstart Некоторые вирусы записывают команду запуска зараженного файла BATфайлы см например.

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены Всего их около десятка Вирусы, заражающие OBJ и LIBфайлы, записывают них свой код формате объектного модуля или библиотеки Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса своем текущем состоянии Носителем же живого вируса становится или EXEфайл, получаемый процессе линковки зараженного OBJ LIBфайла с другими объектными модулями и библиотеками Таким образом, вирус распространяется два этапа на первом заражаются OBJ LIBфайлы, на втором этапе линковка получается работоспособный вирус. Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения Чем быстрее распространяется вирус, тем вероятее возникновение эпидемии этого вируса Чем медленнее распространяется вирус, тем сложнее его обнаружить если, конечно же, этот вирус пока неизвестен антивирусным программам Понятия быстрого и медленного вируса Fast infector, Slow infector являются достаточно относительными и используются только как характеристика вируса при его описании.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся компьютерной сети Но таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них ведь самый обычный нерезидентный вирус при заражении файлов не разбирается сетевой удаленный это диск или локальный В результате такой вирус способен заражать файлы пределах сети, но отнести его к сетевым вирусам никак нельзя. Наибольшую известность приобрели сетевые вирусы конца 1980х, их также называют сетевыми червями worms К ним относятся вирус Морриса, вирусы Cristmas Tree и Wank Worm Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени вирусы передавали свои копии с сервера на сервер и запускали их на выполнение В случае с вирусов Морриса эпидемия захватила аж несколько глобальных сетей. Этот вирус иллюстрирует первый тип современного сетевого вируса, которые объединяют возможности встроенного Word Excel языка Basic, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса. Второй вирус Homer использует для своего распространения протокол FTP File Trabsfer Protocol и передает свою копию на удаленный ftpсервер каталог Ining Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленнов сервере, этот вирус можно охарактеризовать как полусетевой, однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Появляются intendedвирусы чаще всего при неумелой перекомпиляции какоголибо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы. Некоторые конструктороы VLC, NRLG снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты и или EXE, наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и Прочие конструкторы PSMPC, G2 не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла. Полиморфикгенераторы, как и конструкторы вирусов, не являются вирусами прямом смысле этого слова, поскольку их алгоритм не закладываются функции размножения, открытия, закрытия и записи файлы, чтения и записи секторов и Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.

DOS предусматривает два легальных способа создания резидентных модулей драйверами, указываемыми и при помощи функции KEEP INT 21h, AH 31h или INT 27h Многие файловые вирусы для маскировки своего распространения используют другой способ обработку системных областей, управляющих распределением памяти MCB Они выделяют для себя свободный участок памяти включая UMB, помечают его как занятый и переписывают туда свою копию Некоторые вирусы внедряют свои TSRкопии свободные участки памяти таблице векторов прерываний, видеопамять, рабочие области DOS, память, отведенную под системные буферы и HMAпамять Подробнее эти способы описаны разделе Обнаружение резидентного вируса. Загрузочные стелсвирусы для скрытия своего кода используют два основных способа Первый из них заключается том, что вирус перехватывает команды чтения зараженного сектора INT 13h и подставляет вместо него незараженный оригинал Этот способ делает вирус невидимым для любой DOSпрограммы, включая антивирусы, неспособные лечить оперативную память компьютера Возможен перехват команд чтения секторов науровне более низком, чем. Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше они либо перехватывают DOSвызовы обращения к файлам INT 21h либо временно лечат файл при его открытии и заражают при закрытии Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелсфункций перехват прерываний более низкого уровня вызовы драйверов DOS, INT 25h и даже.

Частично стелсвирусами можно назвать небольшую группу макровирусов, которые хранят свой основной код не самом макросе, а других областях документа его переменных или Autotext. Еще реже этот прием встречается у файловых вирусов ведь им приходится полностью менять свой код, а для этого требуются достаточно сложные алгоритмы На сегодняшний день известны всего два таких вируса, один из которых Ply случайным образом перемещает свои команды по своему телу и заменяет их на команды JMP или CALL Другой вирус TMC использует более сложный способ каждый раз при заражении вирус меняет местами блоки своего кода и данных, вставляет мусор, своих ассемблерных инструкциях устанавлявает новые значения оффсетов на данные, меняет константы и В результате, хотя вирус и не шифрует свой код, он является полиморфиквирусом коде не присутствует постоянного набора команд Более того, при создании своих новых копий вирус меняет свою длину. Постоянно проводит проверку на вирусы объектов, к которым происходит обращение запуск, открытие, создание и В этом режиме антивирус постоянно активен, он присутствует памяти резидентно и проверяет объекты без запроса пользователя Например, при запуске какойлибо программы антивирус, незаметно для пользователя, проверит исполняемый файл Тоже происходит при копировании файлов с дискеты, при получении электронной почты и.

Программычерви нацелены на выполнение определенной функции, например, на проникновение систему и модификацию данных, могут подсматривать пароль для доступа к банковской системе и изменять базу данных Некоторые вирусычерви например, CodeRed существуют не внутри файлов, а виде процессов памяти зараженного компьютера Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера. Чтобы не пропустить вирус какомлибо файле, желательно задать режим Если Вы лечили а не удаляли какиелибо файлы, рекомендуется ещё ра ZIP, Norton AntiVis для Windows 95 ZIP и LZH, Dr ICE, а Aidstest не умеет искать вирусы архивах вообще. Очень редко встречаются вирусы, заражающие системные файлы DOS или Эти вирусы активизируются при загрузке компьютера Обычно такие вирусы заражают также загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться. В принципе, возможно заражение и других объектов, содержащих программы какойлибо форме текстов программ, электронных таблиц и Например, вирус AsmVis 238 заражает файлы программ на языке ассемблера вставляя туда ассемблерные команды, которые при трансляции порождают код вируса Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно. Пример В антивирусном комплексе Norton AntiVis функции детектора ревизора выполняет основная программа комплекса или функции сторожа отдельная резидентная программа.

Если Вы хотите перезагрузить компьютер с дискеты, пользуйтесь только защищенной от записи эталонной дискетой с операционной системой. Фирма ДиалогНаука позволяет приобрести годовой абонемент, позволяющий получать самые последние версии программ Aidstest, ADinf и ADinfExt по электронной почте или через BBS фирмы ДиалогНаука При продлении годового абонемента предоставляется скидка 50 Последние версии базы данных со сведениями о вирусах для программы Norton AntiVis можно бесплатно списать по модему с FTPсервера или с WWWсервера www, Symantec В обоих случаях обновление версий выполняется не реже одного раза месяц. При анализе на чистом компьютере с помощью программ ChkDsk или NDD файловая система зараженного Dirвирусом диска кажется совершенно испорченной Так, программа ChkDsk выдаёт кучу сообщений о пересечениях файлов cross linked on cluster и о цепочках потерянных кластеров lost clusters found in chains Не следует исправлять эти ошибки программами ChkDsk или NDD при этом диск окажется безнадёжно испорченным Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы например, последние версии Aidstest. Чтобы предотвратить своё обнаружение, некоторые вирусы применяют довольно хитрые приёмы маскировки Речь пойдёт о двух из них невидимых и самомодифицирующихся вирусах.

Самомодифицирующиеся вирусы Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, модификация своего тела Многие вирусы хранят большую часть своего тела закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться механизме их работы Самомодифицирующиеся вирусы используют этот приём и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса Таким образом, теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус Это, естественно, затрудняет нахождение таких вирусов программамидетекторами. Программыдетекторы позволяют обнаружить файлы, зараженные одним из нескольких известных вирусов. Программыдоктора, или фаги, лечат зараженные программы или диски, выкусывая из зараженных программ тело вируса, восстанавливая программу том состоянии, котором она находилась до заражения вирусом. Информатика Компьютерные вирусы Приложение к газете Первое сентября, 1997. Кроме того, вирус заражает лишь программы, и не может заразить оборудование клавиатуру, монитор и Вирус не может заразить или изменить данные, находящиеся на дискетах или съемных дисках с установленной защитой от записи, а также данные, находящиеся на аппаратно защищенных скажем, установкой перемычки на диске или с помощью комплекса Sheriff логических дисках.

Тем не менее, имеются антивирусные программыдетекторы, способные обнаруживать даже такие сложные полиморфные вирусы Как правило, они содержат эмулятор программный эквивалент процессора, то есть могут интерпретировать программы без их реального выполнения на настоящем процессоре Такие детекторы интерпретируют анализируемые программы, то есть выполняют их на программном эквиваленте процессора, и ходе этого выполнения решают, является ли анализируемая программа вирусом или нет Эта задача очень сложна точнее, неразрешима, поскольку вирусы не используют какихто специфических действий, которые не применялись бы другими программами Однако лучшие детекторы способны отлавливать неизвестные полиморфные вирусы более чем 80 случаев при очень малом количестве ложных тревог Примером такой программы является Dr Web из антивирусного комплекта DSAV фирмы ДиалогНаука. Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной При поверхностном просмотре зараженного диска на чистом компьютере также ничего странного не наблюдается Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным неудивительно, ведь компьютер при этом становится зараженным.

Особая опасность вирусов семейства DIR состоит том, что повреждения файловой структуры, сделанные этими вирусами, на следует исправлять программами типа ScanDisk или NDD при этом диск окажется безнадежно испорченным Для исправления надо применять только антивирусные программы. В случае макровирусов наиболее популярным способом является запрет вызовов меню просмотра макросов Одним из первых файловых стелсвирусов был вирус Frodo, первым загрузочным стелсвирусом был вирус. К первому классу относятся вирусы, которые не внедряют свой код непосредственно программный файл, а изменяют имя файла и создают новый, содержащий тело вируса. Неопасные вирусы это вирусы, присутствие которых системе связано с различными эффектами звуковыми, видео и уменьшением свободной памяти на диске, но которые не наносят вред программам и данным. Распространение вирусов под управлением Windows NT 2000 ограничивается развитой системой разграничения доступа. Разрушающие вирусы не заботятся о сохранении работоспособности инфицированных программ, поэтому для них этот этап функционирования отсутствует. Полиморфные Самошифрующиеся вирусы вирусы вредоносный код которых хранится и распространяется зашифрованном виде, что позволяет им быть недоступными для большинства сканеров.

Как это ни смешно хотя участникам этого инцидента было совсем не смешно, именно такой случай произошел 1988 году Америке несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса вирус Морриса, который рассылал себя от компьютера к компьютеру Поэтому правильные вирусы делают так Переписать этот лист два раза и положить копии стопку заданий соседей, если у них еще нет этого листа. Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин Поэтому всегда затруднена правильная диагностика состояния компьютера. Поговорим о новейшей истории Brain, Vienna, Cascade и далее Те, кто начал работать на IBMPC аж середине 80х, еще не забыли повальную эпидемию этих вирусов 198789 годах Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев сейчас все наоборот винчестер сдох от старости, а валят на неизвестный передовой науке вирус Затем компьютер заиграл чужеземный гимн Yankee Doodle, но чинить динамики уже никто не бросился очень быстро разобрались, что это вирус, да не один, а целый десяток.

Программыревизоры относятся к самым надежным средствам защиты от вирусов Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным Обнаруженные изменения выводятся на экран монитора Как правило, сравнение состояний производят сразу после загрузки операционной системы При сравнении проверяются длина файла, код циклического контроля контрольная сумма файла, дата и время модификации, другие параметры Программыревизоры имеют достаточно развитые алгоритмы, обнаруживают стелсвирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом К числу программревизоров относится широко распространенная России программа. AVP Центр Управления программаоболочка, позволяющая организовать эффективную антивирусную защиту на. В верхней части вкладки Общие содержится различная информация о программе номер версии, дата последнего обновления и количество известных программе вирусов, регистрационная информация, информация о разработчиках Нажав кнопку Техническая поддержка, Вы получите информацию о каналах, по которым осуществляется техническая поддержка для легальных пользователей программы.

Программа AVP Центр Управления входит состав пакета антивирусных программ AntiViral Toolkit Pro и выполняет функции управляющей оболочки Она предназначена для организации установки и обновления компонент пакета, формирования расписания для автоматического запуска задач, а также контроля результатов их выполнения. С помощью программы AVP Центр Управления Вы можете планировать запуск антивирусных программ, входящих состав пакета Тем самым повышается эффективность работы и, то же время, сохраняется высокая защищенность системы от вирусов. Возможность автоматического запуска внешних программ позволяет использовать AVP Центр Управления и качестве традиционного планировщика задач При этом большинстве случаев исчезает необходимость использовании других средств автоматического запуска, что ведет к экономии ресурсов компьютера Кроме того, обеспечивается точная взаимная синхронизация задач, связанных с антивирусной защитой системы и прочими задачами, что позволяет избежать конфликтов между ними. VisScan является также единственной из рассмотренных нами программ, которая всего лишь за 45 долл включает версии для всех основных операционных систем Windows 95, 3 x и NT, DOS.

Устроенный наподобие Проводника Windows 95 интерфейс ThunderByte содержит ряд удобных дополнительных возможностей, которых вы не найдете большинстве пакетов Вы можете распространять или не рапространять сканирование на конкретные диски, папки или файлы Вы даже можете что очень удобно осуществить сканирование конкретных файлов, папок или дисков на лету, просто щелкнув на них правой кнопкой мыши Проводнике или на Рабочем столе Но то же время ThunderByte отсутствуют некоторые свойства, необходимые любой антивирусной программе Наиболее вопиющей является неспособность ThunderByte удалять вирусы из загрузочного сектора, хотя программа и обнаружила нашем тесте все 100 таких вирусов Она также не смогла просканировать сжатые файлы, а это означает, что вирус архивированном файле мог остаться незамеченным. Вирусы, получившие широкое распространение компьютерной технике, взбудоражили весь мир Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность. Загрузочные вирусы внедряются загрузочный сектор дискеты bootsector или сектор, содержащий программу загрузки системного диска master boot record При загрузке DOS с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицируют таблицу размещения файлов на диске, создавая трудности работе компьютера или даже делая невозможным запуск операционной системы.

Вторую группу создателей вирусов также составляют молодые люди чаще студенты, которые еще не полностью овладели искусством программирования Изпод пера подобных умельцев часто выходят вирусы крайне примитивные и с большим числом ошибок студенческие вирусы Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных вебсайтов, ориентированных на обучение написанию компьютерных вирусов Часто здесь же можно найти готовые исходные тексты, которые надо всего лишь внести минимальные авторские изменения и откомпилировать рекомендуемым способом. Третью, наиболее опасную группу, которая создает и запускает мир профессиональные вирусы Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения системные области данных, ошибки системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.

Троянский конь это программа, содержащая себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания Обычно такие программы маскируются под какиенибудь полезные утилиты Троянские кони представляют собой программы, реализующие помимо функций, описанных документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями Отмечены случаи создания таких программ с целью облегчения распространения вирусов Списки таких программ широко публикуются зарубежной печати Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку. Изпод пера подобных умельцев часто выходят либо многочисленные модификации классических вирусов, либо вирусы крайне примитивные и с большим числом ошибок Значительно облегчилась жизнь подобных вирусописателей после выхода конструкторов вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об операционной системе и ассемблере, или даже вообще не имея об этом никакого представления Их жизнь стала еще легче после появления макровирусов, поскольку вместо сложного языка Ассемблер для написания макровирусов достаточно изучить довольно простой Бейсик.

Став старше и опытнее, но так и не повзрослев, многие из подобных вирусописателей попадают третью, наиболее опасную группу, которая создает и запускает мир профессиональные вирусы Эти очень тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения системные области данных Профессиональные вирусы часто выполнены по технологии стелс и или являются полиморфиквирусами, заражают не только файлы, но и загрузочные сектора дисков, а иногда и выполняемые файлы Windows. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету дисководе. Мы не станем рассматривать модель загрузочнофайлового вируса, ибо никакой новой информации вы при этом не узнаете Но здесь представляется удобный случай кратко обсудить крайне популярный последнее время загрузочнофайловый вирус OneHalf, заражающий главный загрузочный сектор MBR и исполняемые файлы Основное разрушительное действие шифрование секторов винчестера При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом Основная проблема при лечении данного вируса состоит том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.

Если вирусы и троянские кони наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа червь, действующих компьютерных сетях, взлом атакуемой системы, преодоление защиты с целью нарушения безопасности и целостности. После заражения программы вирус может выполнить какуюнибудь диверсию, не слишком серьезную, чтобы не привлечь внимания И, наконец, не забывает возвратить управление той программе, из которой был запущен Каждое выполнение зараженной программы переносит вирус следующую Таким образом, заразится все программное обеспечение. Но они могут лечить не от всех вирусов, а только от тех, которые используют стандартные, известные на момент написания программы, механизмы заражения файлов.

Тестирование винчестера занимает много времени, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска Таким пользователям можно посоветовать более тщательно с опцией S2 проверять принесенные извне дискеты Если информация на дискете находится архиве а последнее время программы и данные переносятся с машины на машину только таком виде даже фирмыпроизводители программного обеспечения, например Borland, пакуют свою продукцию, следует распаковать его отдельный каталог на жестком диске и сразу же, не откладывая, запустить задав ему качестве параметра вместо имени диска полный путь к этому подкаталогу И все же нужно хотя бы раз две недели производить полную проверку винчестера на вирусы с заданием максимального уровня эвристического анализа. Принцип работы ADinf основан на сохранении таблице копии MASTERBOOT и BOOT секторов, список номеров сбойных кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах Кроме того, программа запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти что бывает при заражении большинством загрузочных вирусов, количество установленных винчестеров, таблицы параметров винчестера области переменных. Подробнее см Ливак Е Н Защита информации Учеб пособие В 4 Ч 1 Компьютерные вирусы Гродно, 1997.

До сих пор строгого определения компьютерного вируса не существует, поэтому различных работах специалистов встречаются совершенно разные трактовки и определения этого термина. Вирусам одного семейства или одной группы присуща одна или несколько отличительных черт, которую называют почерком Либо этих вирусах встречается один и тот же алгоритм, либо одинаковые приемы программирования Часто все вирусы одного семейства принадлежат одному автору, который либо постепенно совершенствует свою программу, либо, используя те же алгоритмы и приемы, пишет новые. Загрузочный вирус записывает себя первый сектор диска, а его содержимое переписывает другой сектор, или, другими словами, оригинальный загрузочный сектор диска вирус переносит какойлибо другой сектор диска, а себя записывает на его место. Реже используется метод сохранения продолжения вируса за пределами диска метод нестандартного форматирования Он заключается том, что вирус форматирует дополнительную дорожку и записывает на нее часть своего кода и настоящий загрузочный сектор Информация с этой дополнительной дорожки не может быть считана или записана обычными средствами операционной системы.

Такая же ситуация может получиться и результате заражения по такой схеме Первый вирус, потом второй, потом снова первый В данном случае первый вирус заразит диск во второй раз, так как результате заражения вторым вирусом он уже не сможет определить свое присутствие В результате тоже может потеряться загрузочная запись, и компьютер зависнет во время загрузки. Сигнатура это фрагмент кода, встречающийся во всех копиях вируса и только них Сигнатура однозначно определяет наличие или отсутствие вируса. Простейшая техника шифрования выглядит следующим образом каждый раз, когда вирус заражает новую программу, он зашифровывает свой собственный код, используя новый ключ Ключ шифрования зависит от заражаемого файла например, его имени или длины В результате два экземпляра одного и того же вируса могут значительно отличаться друг от друга, и даже иметь различную длину Это затрудняет обнаружение вируса с помощью сигнатурного поиска Ведь зашифрованный код уже не имеет той же сигнатуры. Шифрующиеся вирусы при получении управления первым делом расшифровывают свой код с помощью процедуры расшифровки, а затем выполняют все остальные действия. Все дальнейшие усовершенствования алгоритмов вирусов уже продиктованы выживанием вирусов при работе под всевозможными антивирусными средствами.

Шифрующиеся вирусы скрывают сигнатуру своего кода Но ведь зашифрованный код должен быть расшифрован перед выполнением, следовательно, необходима процедурадешифровщик, которая сама не может быть зашифрована, так как выполняется перед основным кодом вируса Дешифровщик содержит специфический код и имеет достаточный размер для того, чтобы служить сигнатурой Этим и пользуются антивирусные программы, применяющие качестве сигнатуры код процедуры расшифровки. Они заражают главный загрузочный сектор жесткого диска Master Boot Record, MBR, загрузочный сектор системной дискеты или загрузочного компактдиска Boot Record, BR, подменяя находящиеся них программы начальной загрузки и загрузки операционной системы своим кодом Исходное содержимое этих секторов сохраняется одном из свободных секторов диска или непосредственно теле вируса. При автоматическом удалении вирусов, обнаруженных антивирусными программами, могут применяться два основных метода 1 удаление уже известных вирусов с помощью заранее разработанного алгоритма лечения файлов, зараженных данным типом вируса 2 попытка удаления неизвестных до этого времени вирусов на основе сведений об общих принципах работы вирусов и или предварительно сохраненной информации о незараженном файле Рекомендуется перед удалением обнаруженных вирусов выполнить копирование зараженных файлов на резервный носитель информации, чтобы не потерять ценных данных.

Человечество захвачено техникой и уже вряд ли откажется от удобств, предоставляемых ею мало кто пожелает поменять современный автомобиль на гужевую тягу Уже очень многими напрочь забыта обычная почта с ее конвертами и почтальонами вместо нее пришла электронная почта с ее ошеломляющей скоростью доставки до нескольких минут вне зависимости от расстояния и очень высокой надежностью Не представляю себе существования современного общества без компьютера, способного многократно повысить производительность труда и доставить любую мыслимую информацию чтото вроде принципа пойди туда, не знаю куда, найди то, не знаю что Уже не удивляемся мобильному телефону на улице я и сам к нему привык всего за один день. Вопервых, компьютерные вирусы это серьезная и довольно заметная проблема, возникновения которой никто не ожидал Даже всевидящие фантастыфутурологи прошлого не говорят об этом ничего насколько это мне известно В их многочисленных произведениях с той или иной точностью предсказаны практически все технические достижения настоящего вспомним, например, Уэллса с его идеей полета из пушки на Луну и марсиан, вооруженных неким подобием лазера Если же говорить о вычислительных машинах, то тема эта вылизана донельзя однако нет ни одного пророчества, посвященного компьютерным вирусам Тема вируса произведениях писателей появилась уже после того, как первый реальный вирус поразил свой первый компьютер.

Кроме того, вирусы постоянно расширяют свою среду обитания и реализуют принципиально новые алгоритмы внедрения и поведения Так, 1995 году появились представители, опровергающие ключевые принципы антивирусной защиты то, что компьютер, загруженный с заведомо чистой системной дискеты, не может содержать вирус и то, что вирусы не заражают файлы с данными. Сетевые вирусы распространяются по различным компьютерным сетям К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию Полноценные сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, подтолкнуть пользователя к запуску зараженного файла.

Файловые вирусы внедряются главным образом исполняемые модули, файлы, имеющие расширения и EXE Они могут внедряться и другие типы файлов, но, как правило, записанные таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы не обязательно резидентны Областью обитания файловых вирусов являются файлы Если файловый вирус не резидентный, то при запуске инфицированного исполняемого файла вирус записывает свой код тело программного файла таким образом, что при запуске программы вирус первым получает управление Произведя некоторые действия, вирус передает управление зараженной программе При запуске вирус сканирует локальные диски компьютера и сетевые каталоги поисках нового объекта для заражения После того как подходящий программный файл будет найден, вирус записывает него свой код, чтобы получить управление при запуске этого файла.

Механизм распространения макрокомандных вирусов основан на том, что существуют макрокоманды, которые запускаются при открывании документа для редактирования или при выполнении других операций Разработчик макрокомандного вируса берет файл с именем, например, и записывает него одну или несколько вирусных макрокоманд, например, вирусную макрокоманду с именем AutoExec Когда пользователь открывает такой файл при помощи текстового процессора Microsoft Word for Windows, эта макрокоманда будет автоматически запущена на выполнение При этом вирус получит управление и может заразить другие документы, хранящиеся на дисках Если вирусная макрокоманда имеет имя FileSaveAs, то распространение вируса будет происходить при сохранении документа. Для предотвращения заражения макрокомандными вирусами необходимо перед просмотром или редактированием проверять новые файлы документов с помощью антивирусных программ, способных искать такие вирусы.

Вирусы могут заменять некоторые или все перечисленные выше объекты, встраивая них свое тело и сохраняя содержимое оригинального загрузочного сектора какомлибо более или менее подходящем для этого месте на диске компьютера В результате при включении компьютера программа загрузки, расположенная BIOS, загружает память вирусный код и передает ему управление Дальнейшая загрузка операционной системы происходит под контролем вируса, что затрудняет, а некоторых случаях и исключает его обнаружение антивирусными программами Загрузочные вирусы заражают загрузочный boot сектор флоппидиска и bootсектор или Master Boot Record MBR винчестера Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера после необходимых тестов установленного оборудования памяти, дисков и программа системной загрузки считывает первый физический сектор загрузочного диска A C или CDROM зависимости от параметров, установленных BIOS Setup и передает на него управление. Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила.

Вовторых, перед перезагрузкой компьютера с дискеты проверить конфигурацию дисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузки операционной системы должна быть установлена приоритетная загрузка с дискеты, записанную энергонезависимой памяти Существуют вирусы, ловко меняющие параметры, записанные энергонезависимой памяти компьютера, результате чего компьютер загружается с зараженного вирусом жесткого диска, то время как оператор думает, что загрузка происходит с чистой системной дискеты. С появлением вирусов, распространяющихся через макрокоманды текстового процессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо особенно внимательно проверять не только выполнимые файлы программ и системные области дисков, но также и файлы документов. Модуль Unpacking Engine будет обновляться для новых паковщиков, шифровщиков и иммунизаторов. Проблема поиска вирусов архивированных файлах ZIP, ARJ, LHA и RAR становится данный момент, пожалуй, одной из самых насущных Инфицированный файл может затаиться на несколько месяцев и даже лет, и быстро распространиться при невнимательном обращении с такими архивами Особую опасность представляют архивы, хранящиеся на. С такой ситуацией успешно справляется механизм распаковки из архивов Extracting Engine При сканировании архивов Extracting Engine распаковывает файлы из архива по заданной маске во временный файл и передает его для проверки основному модулю После проверки временный файл уничтожается.

В этой вкладке отображается и динамически обновляется информация о количестве. Последний зараженный объект имя последнего зараженного объекта с указанием пути. Примерно через месяц зараженные файлы были обнаружены на нескольких американских Webсерверах, распространяющих игровые программы Этот факт, видимо, и послужил причиной последовавшей глобальной вирусной эпидемии 26 апреля 1999 года примерно через год после появления вируса сработала логическая бомба, заложенная его код По различным оценкам, этот день по всему миру пострадало около полумиллиона компьютеров у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчены микросхемы на материнских платах Данный инцидент стал настоящей компьютерной катастрофой вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков. Автор вируса не только выпустил копии зараженных файлов на свободу, но и разослал исходные ассемблерные тексты вируса Это привело к тому, что эти тексты были откорректированы, откомпилированы и вскоре появились модификации вируса, имевшие различные длины, однако по функциональности они все соответствовали своему родителю В некоторых вариантах вируса была изменена дата срабатывания бомбы, либо этот участок вообще никогда не вызывался.

Замечания 1 Степень защиты, обеспечиваемую программамисторожами, не следует переоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания 2 Многие программысторожа проверяют перед перезагрузкой, выполняемой по нажатию Ctr Alt Del или по запросу программы, вставленные дисководы дискеты на наличие загрузочных вирусов Однако если загрузка осуществляется по нажатию кнопки Reset или по включению компьютера, то программысторожа ничем помочь не смогут ведь заражение загрузочным вирусом происходит при загрузке операционной системы, до запуска любых программ или установки драйверов.

Поступающие из внешних источников данные файлы, дискеты и проверяются программойдетектором Если эти данные забыли проверить, и заражённая программа была запущена, её может поймать программасторож Правда, обоих случаях надёжно обнаруживаются лишь вирусы, известные этим антивирусным программам Неизвестные вирусы детекторы и сторожа, не включающие себя эвристический анализатор, не обнаруживают вовсе пример программа Aidstest, а имеющие такой анализатор обнаруживают не более чем 8090 случаев Сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жёсткий диск или внести изменения системные файлы или области диска на жёстком диске Впрочем, некоторые вирусы умеют обходить такой контроль Более мелкие пакости вирусов изменение программных файлов, запись системные области дискет и обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами Если вирус не был обнаружен детектором или сторожем, то результаты его деятельности обнаружит программаревизор.

Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые предложении DEVICE или DEVICEHIGH файла CONFIG SYS Вирус, находящийся драйвере, начинает свою работу при загрузке данного драйвера из файла CONFIG SYS при начальной загрузке компьютера Обычно заражающие драйверы вирусы заражают также исполнимые файлы или загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться ведь драйверы очень редко переписывают с одного компьютера на другой Иногда заражение драйверов используется качестве этапа стратегии распространения вируса Например, вирус JEWS2339 при загрузке из исполнимого файла заражает все драйверы, обнаруженные CONFIG SYS, а при загрузке зараженного драйвера становится резидентным и заражает все файлы на дискетах а на жестком диске, наоборот, лечит.

Однако лучше не надеяться на то, что Вы всегда будете нажимать нужный момент клавишу Shift подобное совершенство не присуще человеческой природе Лучше создать макрокоманду с именем AutoExec, отключающую запуск макрокоманды AutoOpen а заодно и AutoNew, AutoClose и AutoExit, и поместить ее глобальный шаблон NORMAL DOT Для этого надо выбрать группе меню Tools Сервис пункт Macro Макрос, выведенном запросе поле MacroName Имя ввести имя макрокоманды AutoExec, поле Macrosavailablein Макросы из выбрать значение Normal dot GlobalTemplate Обычный общий шаблон Затем щелкните кнопку Create Создать и введите текст макрокоманды первая и последняя строки там уже будут, так что Вам останется только вставить между ними вторую строчку. Категория Объекты позволяет задать область сканирования, подлежащие сканированию объекты и правила обработки инфицированных объектов Категория Параметры позволяет задать общие настройки, а категория Настройка специальные настройки программы с помощью обычного дерева настроек Категория Статистика позволяет просматривать результаты работы про граммы таблице. В зависимости от характерных свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы В связи с этим возникает вопрос о классификации вредоносных программ, чему и посвящена эта глава. Исходя из этого, а также из назначения антивирусных средств, дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы.

Сам процесс размножения может быть условно разделён на несколько стадий. Скриптвирусы вирусы, исполняемые среде определённой командной оболочки раньше bat файлы командной оболочке DOS сейчас чаще VBS и JS скрипты командной оболочке Windows Scripting Host. Пример Обычно при освоении новой платформы сначала появляются вирусы именно этого типа Так было при появлении вирусов под DOS под Windows 9x, под Windows NT под. Сочетание этих двух технологий приводит к появлению следующих типов вирусов. Одним из наиболее сложных и относительно поздних полиморфных вирусов является При заражении файла вирус перестраивает и шифрует собственный код, записывает его одну из секций заражаемого файла, после чего ищет коде файла вызов функции ExitProcess и заменяет его на вызов вирусного кода Таким образом, вирус получает управление не перед выполнением исходного кода заражённого файла, а после него. Пример Один из немногих почтовых червей, распространяющихся по почтовой книге The Bat помимо всего прочего заражает некоторые файлы Windows по принципу вирусакомпаньона В частности, к заражаемым файлам относятся При заражении файлы переименовываются расширение VXD а вирус создаёт свои копии под оригинальными именами заражаемых файлов После получения управления вирус запускает соответствующий переименованный оригинальный файл.

Аналогичный приём может использоваться и Windows системах, но поскольку основная масса пользователей Windows редко пользуется запуском файлов из командной строки, эффективность этого метода будет низкой. Червь сетевой червь тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия. Стадии 1 и 5, вообще говоря, симметричны и характеризуются первую очередь используемыми протоколами и приложениями. Стадия 4 Подготовка копий практически ничем не отличается от аналогичной стадии процессе размножения вирусов Сказанное о подготовке копий вирусов без изменений применимо и к червям. Функциональностью распространения через P2P каналы обладают многие сетевые и почтовые черви Например, для размножения через файлообменные сети ищет на локальном диске каталоги, содержащие названия наиболее популярных сетей или же слово shared, после чего кладёт эти каталоги свои копии под различными названиями. Защититься заплатами от такого рода червей невозможно Даже внесение сигнатуры сетевого червя вирусную базу данных не решает проблему до конца Разработчикам вируса достаточно изменить исполняемый файл так, чтобы антивирус его не обнаруживал, и незначительно поменять текст сообщения, том числе используя и технологии спамрассылок, применяемые для обхода фильтров.

Это, само собой, не означает малого времени жизни троянов Напротив, троян может длительное время незаметно находиться памяти компьютера, никак не выдавая своего присутствия, до тех пор пока не будет обнаружен антивирусными средствами. Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов. Распространён также способ внедрения троянов на компьютеры пользователей через вебсайты При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость веббраузере, либо методы социальной инженерии наполнение и оформление вебсайта провоцирует пользователя к самостоятельной загрузке трояна При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке Применяемые таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий. Похитители паролей трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой В таких троянах реализованы способы извлечения паролей из файлов, которых эти пароли хранятся различными приложениями. Пример предоставляет полный контроль над компьютером пользователя, включая выполнение любых файловых операций, загрузку и запуск других программ, получение снимков экрана и.

Есть и отдельные трояны типа backdoor Троян использует IRC канал для получения команд от хозяина По команде троян может загружать и запускать на выполнение другие программы, сканировать другие компьютеры на наличие уязвимостей и устанавливать себя на компьютеры через обнаруженные уязвимости. Модификаторы настроек браузера трояны, которые меняют стартовую страницу браузере, страницу поиска или ещё какиелибо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и. Перегрузка каналов связи свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по интернетканалам передаются огромные количества запросов, заражённых писем или непосредственно копий червя В ряде случаев пользование услугами Интернета во время эпидемии становится затруднительным Пример. Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб Наиболее яркий пример. Как несложно было убедиться, для каждого из приведённых выше способов реализации угроз можно привести конкретный пример вируса, реализующего один или одновременно несколько способов.

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур устойчивых последовательностей байтов, имеющихся телах известных вирусов Наличие сигнатуры какомлибо файле свидетельствует о его заражении соответствующим вирусом Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором. Опасность представляют также компьютеры, установленные учебных заведениях Если один из студентов принес на своих дискетах вирус и заразил какойлибо учебный компьютер, то очередную заразу получат и дискеты всех остальных студентов, работающих на этом компьютере То же относится и к домашним компьютерам, если на них работает более одного человека Нередки ситуации, когда сынстудент или дочь, работая на многопользовательском компьютере институте, перетаскивают оттуда вирус на домашний компьютер, результате чего вирус попадает компьютерную сеть фирмы папы или мамы. Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре Ремонтники тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности Однажды забыв закрыть защиту от записи на одном из своих флоппидисков, такой маэстро довольно быстро разнесет заразу по машинам своей клиентуры и скорее всего потеряет ее клиентуру.

При решении этих задач не обойтись без дизассемблера или отладчика например, отладчиков AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблеров Sourcer или IDA И отладчики, и дизассемблеры имеют и положительные и отрицательные черты каждый выбирает то, что он считает более удобным Несложные короткие вирусы быстро вскрываются стандартным отладчиком DEBUG, при анализе объемных и высокосложных полиморфикстелсвирусов не обойтись без дизассемблера Если необходимо быстро обнаружить метод восстановления пораженных файлов, достаточно пройтись отладчиком по началу вируса до того места, где он восстанавливает загруженную программу перед тем, как передать ей управление фактически именно этот алгоритм чаще всего используется при лечении вируса Если же требуется получить детальную картину работы вируса или хорошо документированный листинг, то кроме дизассемблеров Sourcer или IDA с их возможностями восстанавливать перекрестные ссылки, здесь вряд ли что поможет К тому же следует учитывать, что, вопервых, некоторые вирусы достаточно успешно блокируют попытки протрассировать их коды, а вовторых, при работе с отладчиком существует ненулевая вероятность того, что вирус вырвется изпод контроля.

Для анализа макровирусов необходимо получить текст их макросов Для нешифрованных нестелс вирусов это достигается при помощи меню Tools Macro Если же вирус шифрует свои макросы или использует стелсприемы, то необходимо воспользоваться специальными утилитами просмотра макросов Такие специализированные утилиты есть практически у каждой фирмыпроизводителя антивирусов, однако они являются утилитами внутреннего пользования и не распространяются за пределы фирм На сегодняшний день известна единственная sharewareпрограмма для просмотра макросов Perforin Однако эта утилита пока не поддерживает файлы Office97. Опасность представляют также компьютеры, установленные учебных заведениях Если один из студентов принес на своих дискетах вирус и заразил какойлибо учебный компьютер, то очередную заразу получат и дискеты всех остальных студентов, работающих на этом компьютере. Данный реферат Вы можете использовать для подготовки курсовых проектов.

Достоинства целом самые лучшие результаты обнаружения и устранения вирусов Недостатки весьма недешев обновленные версии доступны только на дискетах, распространяемых по подписке Звание Лучший выбор получил Dr Solomon s AntiVis Toolkit, несмотря на высокую цену 85 долл Нашелся только один программный продукт VisScan фирмы McAfee, который наших тестах устранил больше диких вирусов, чем Dr Solomon s Toolkit Благодаря толковому интерфейсу на экран по вашему распоряжению выводится любая нужная вам антивирусная функция, наряду с полной экранной энциклопедией всех известных вирусов и вызываемых ими последствий Бродячие охотники за вирусами наверняка оценят также входящую пакет загрузочную дискету Magic Bullet Волшебная пуля, которая позволяет быстро найти и уничтожить вирус любой системе Недостатком данного пакета является невозможность сетевой загрузки новых данных о вирусах число же обновленных версий ограничено четырьмя год Компания сообщила нам о том, что скоро она станет продавать Toolkit только наборе для пяти пользователей ценою 349 долл Однако с середины марта компания вывела на рынок новую, упрощенную версию, которая называется Dr Solomon s AntiVis и стоит 50 долл Насколько можно судить по бетаверсии, которую мы видели, этот новый пакет не состоянии сканировать сетевые дисководы, но он сохраняет все те возможности, благодаря которым Toolkit столь удобен для персонального употребления, включая энциклопедию вирусов и дискету Magic Bullet переименованную SOS Пользоваться интерфейсом стало проще, появилась возможность получения обновленных версий режиме оперативного доступа, а стоимость ежемесячного обновления 30 долл год Мы еще не тестировали эту новую версию, но ней использованы те же программные средства обнаружения вирусов, что и Toolkit, так что она должна работать столь же хорошо.

Стоящая 70 долл программа Norton AntiVis 2 0 компании Symantec один из наименее удачных пакетов с точки зрения удаления вирусов ее результат 77 Она, однако, вошла число всего лишь четырех из девяти протестированных программ, сумевших обнаружить каждый отдельно взятый дикий вирус В целом это быстрый, надежный и простой обращении инструмент, который начинающие пользователи могут установить на свой компьютер с тем, чтобы больше о нем не заботиться, а опытные пользователи могут настроить нужным для себя образом В интерфейсе программы Norton AntiVis имеется функция LiveUpdate, позволяющая щелчком на однойединственной кнопке обновлять через Web как программу, так и набор сигнатур вирусов Уникальный Мастер по борьбе с вирусами Vis Repair Wizard выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора удалять вирус либо автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых процессе удаления действий Управление всеми основными функциями заказ на сканирование конкретных дисков, каталогов или файлов, включение и отключение резидентного сканирования для удобства вынесено непосредственно на главный экран И всего лишь на расстоянии пары щелчков мыши находятся более продвинутые функции такие, как обнаружение изменений размере файла, автоматическое сканирование и выдача отчета.

То есть ему далеко и до чемпиона Love Bug, и до призеров вирус Code Red обошелся миру 2, 6 млрд дол SirCam стоил около 1 млрд дол а Nimda 590 млн. Число онлайновых сервисов Рунета пополнилось антивирусным приложением Компания AVonline и портал объявили о запуске совместного проекта Теперь пользователи Сети смогут бесплатно установить на своих сайтах информер, с помощью которого возможна удаленная проверка файлов на наличие вирусов Посмотреть, как выглядит новый информер, можно здесь. Updater имеет неприятное побочное действие Он создает вредоносную скриптпрограмму записывает ее каталог автозагрузки Windows и запускает на выполнение Эта программа ищет на диске файлы с расширением DOC и и создает для них файлыкомпаньоны, содержащие копию червя Эти файлыкомпаньоны имеют те же имена, что и оригинальные файлы плюс второе расширение Например. Goner также пытается рассылать свои копии при помощи Интернетпейджера ICQ Для этого он постоянно отслеживает список активных online пользователей и периодически пытается передать им файлноситель червя Для сокрытия своего присутствия системе и несанкционированной работы с ICQ Goner постоянно сканирует имена вновь появившихся окон и закрывает служебные окна. К сожалению, сегодня массовое применение персональных компьютеров, использование сети Интернет оказалось связанным с появлением программвирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой компьютере информации.

Компьютерный вирус специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их файлы, системные области компьютера и вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех работе компьютера. Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты Мы сознательно обойдем все многочисленные тонкости, которые неизбежно встретились бы при строгом разборе алгоритма его функционирования. Мы рассмотрели схему функционирования простого бутового вируса, живущего загрузочных секторах дискет Как правило, вирусы способны заражать не только загрузочные сектора дискет, но и загрузочные сектора винчестеров При этом отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление.

При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки MBR Master Boot Record главная загрузочная запись Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный boot Программа начальной загрузки MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные сектора отличаются только таблицами параметров Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов программа начальной загрузки MBR и программа начальной загрузки bootсекторе загрузочного диска. Основная проблема при лечении данного вируса состоит том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию Наиболее радикальное действие просто переписать новый здоровый. Программыдоктора или фаги, а также программывакцины не только находят зараженные вирусами файлы, но и лечат их, удаляют из файла тело программывируса, возвращая файлы исходное состояние В начале своей работы фаги ищут вирусы оперативной памяти, уничтожая их, и только затем переходят к лечению файлов Среди фагов выделяют полифаги, программыдоктора, предназначенные для поиска и уничтожения большого количества вирусов Наиболее известные из них Aidstest, Scan, Norton AntiVis, Doctor.

Программыревизоры относятся к самым надежным средствам защиты от вирусов Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным Обнаруженные изменения выводятся на экран монитора Как правило, сравнение состояний производят сразу после загрузки операционной системы При сравнении проверяются длина файла, код циклического контроля контрольная сумма файла, дата и время модификации, другие параметры Программыревизоры имеют достаточно развитые алгоритмы, обнаруживают стелсвирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом К числу программревизоров относится широко распространенная России программа. Гуашь Классика, 12 цветов Гуашевые краски изготавливаются на основе натуральных компонентов и высококачестсвенных пигментов с добавлением консервантов, не 183 руб Раздел 7 и более цветов.

Но всё это фикция кроме надуваемых кукол, используемых сексуальной практике Это не та тема, внимание на которую я хотел бы обратить 5 В целом я клоню к тому, что четкое разграничение между возможными и нереальными сферами технических и технобиотических достижений, как всегда, трудно осуществить, поскольку очень хлопотно установить даже серую зону между ними, особенно ту эпоху стремительного прогресса, которую мы живем Никто из живущих пока не носит груди свиное сердце, но такое достижение представляется вполне возможным и качестве операции, результате которой жизнь свиньи будет использоваться для спасения человеческой жизни, может быть узаконено цинично молчим о ветчине и колбасе из свиных останков Встречаются даже ученые, а не только недоученные журналисты, ловцы сенсаций, которые обещают нам скорое уничтожение болезнетворных вирусов то время, когда мы не можем управиться даже с состряпанными людьми компьютерными вирусами, или черпание энергии из черных дыр, или путешествия во времени.

Разговор отца и сына был коротким Услышав, что натворил Роберт, Боб встревожился, но без гнева воспринимал случившееся Роберт сказал, что у него есть билет Филадельфию на завтра, поскольку он планировал провести уикэнд со своей подругой Джанет Боб велел ему лететь Филадельфию и ни с кем не разговаривать Вероятно, потребуется консультация адвоката Когда Энн на следующий день пришла на работу, персонал толокся кафетерии, оживленно обсуждая компьютерный вирус Сотрудники слабо представляли, чем зарабатывает на жизнь ее муж, и еще меньше знали о ее детях Столы были завалены газетами, и все газеты вовсю трубили о вирусе Энн мутило, она не могла сосредоточиться и рано ушла с работы В вечернем выпуске New York Times вычислили, что Роберт автор вируса, и обещали подробности завтрашнем утреннем выпуске Энн и Боб искали адвоката К концу дня у них было несколько кандидатур Если бы Пол не названивал New York Times, у них оказалось бы больше времени, чтобы сообразить, что делать Но после того, как Пол сболтнул пароль Роберта, события ускорили свой.

Если какаялибо из программдетекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить заражённые объекты Как правило, для системных областей диска программадетектор предлагает выбрать их излечение или оставление без изменений, а для файлов лечение, удаление или оставление без изменений Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит пакет программ, который можно заново установить с дистрибутивных дисков Чтобы не пропустить вирус какомлибо файле, желательно задать режим поиска вируса во всех файлах, а вен только программных файлах, а также режим поиска архивах Если Вы используете архивы видов, не поддерживаемых программойдетектором, то может потребоваться распаковать архив во временны каталог и проверить его содержимое программойдетектором Если Вы лечили а не удаляли какиелибо файлы, рекомендуется ещё раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов ведь некоторые файлы могли быть заражены несколькими вирусами, наслаивающимися один на другой Замечание Norton AntiVis для Windows поддерживает архивы формата Norton AntiVis для Windows 95 ZIP и LZH, ARJ ZIP LZH RAR ZOO и ICE, а Aidstest не умеет искать вирусы архивах вообще.

Сегодня науке известно около 30 тысяч компьютерных вирусов маленьких вредоносных программок, следующих своей жизни только трём заповедям Плодиться, Прятаться и Портить А стоит за всем этим простое человеческое тщеславие, глупость и инстинктивная тяга к разрушениям Мы умиляемся, видя сосредоточенно уничтожающего песчаный замок или старый журнал ребёнка а позднее такие вот подросшие, но так и не выросшие дети калечат наши компьютеры. Еще один широко распространенный вид вирусов внедряется начальный сектор дискет или логических дисков, где находится загрузчик операционной системы, или начальный сектор жестких дисков, где находится таблица разбиения жесткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных этой таблице Такие вирусы называются загрузочными, или бутовыми от слова boot загрузчик Эти вирусы начинает свою работу при загрузке компьютера с зараженного диска Загрузочные вирусы всегда являются резидентными и заражают вставляемые компьютер дискеты Встречаются загрузочные вирусы, заражающие также и файлы файловозагрузочные вирусы.

Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые предложении DEVICE или DEVICEHIGH файла Вирус, находящийся драйвере, начинает свою работу при загрузке данного драйвера из файла при начальной загрузке компьютера Обычно заражающие драйверы вирусы заражают также исполнимые файлы или загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться ведь драйверы очень редко переписывают с одного компьютера на другой Иногда заражение драйверов используется качестве этапа стратегии распространения вируса Например, вирус JEWS2339 при загрузке из исполнимого файла заражает все драйверы, обнаруженные а при загрузке зараженного драйвера становится резидентным и заражает все файлы на дискетах а на жестком диске, наоборот, лечит. В принципе, возможно заражение и других объектов, содержащих программы какойлибо форме текстов программ, электронных таблиц и Например, вирус AsmVis 238 заражает файлы программ на языке ассемблера вставляя туда ассемблерные команды, которые при трансляции порождают код вируса Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно. Private Sub SearchAndKillFiles Filter As String Dim i As Integer On Error Resume Next With Filter HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Shell Folders, Personal For i 1 To Kill Next i End With. Постарайтесь чтобы ваши вирусы не распространились за пределы вашего жесткого.

Многие считают, что программирование под Win95 на асме дело муторное. Вообще, при программировании под Windows все ваши идентификаторы, объявленные. Далее нам надо рассказать ассемблеру какие API функции наша программа. При попытке какойлибо программы произвести указанные действия сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие Программыфильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения Однако, они не лечат файлы и диски Для уничтожения вирусов требуется применить другие программы, например фаги К недостаткам программсторожей можно отнести их назойливость например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла, а также возможные конфликты с другим программным обеспечением Примером программыфильтра является программа Vsafe, входящая состав пакета утилит. Память включить процедуру сканирования системной память том числе и High Memory. Программы по формату сканировать программы Файлы exe vxd dll и форматы Microsoft Office Таким образом, при сканировании по формату проверяются все файлы, которые могут содержать код вируса. Программы по расширению сканировать все файлы, имеющие расширение. Вкладка Настройки позволяет настраивать программу на различные режимы.

Ограничение размера ограничение размера файла отчета по желанию пользователя по умолчанию 500 килобайт. На сегодняшний день описано более 5 тысяч разнообразных вирусов, но предполагается, что существуют миллионы их видов Они обнаружены во всех экосистемах и считаются наиболее многочисленной биологической формой При этом эти инфекционные агенты способны поражать животных и растения, бактерии и даже археи Вирусы человека занимают особое место, ведь именно ими вызвано наибольшее количество заболеваний Причем болезни по своей тяжести, прогнозам и течению очень разнообразны. Несмотря на то что перечисленные инфекции чаще всего легко переносятся детьми, все же есть риск развития осложнений Например, корь нередко приводит к пневмонии и является одной из основных причин детской смертности, а паротит вызывает воспаление половых органах Поэтому от всех перечисленных выше вирусных инфекций существуют эффективные прививки своевременная иммунизация дает возможность получать иммунитет без перенесенной болезни. Вирусы, как и другие живые организмы, способны эволюционировать путем естественного отбора Именно за счет этого некоторые из них, например вирус гриппа, способны постоянно вызывать эпидемии, поскольку выработанный иммунитет против новых форм не работает. Вирусы, несмотря на небольшой размер и зависимость от клетки, все же умеют защищать переносимый ими генетический материал Именно за это, прежде всего, отвечают оболочки вируса Поэтому иногда вирусы классифицируют именно по их типам.

Икосаэдрический капсиды с икосаэдрической симметрией, которые иногда напоминают шарики Это наиболее часто встречающийся тип вирусов, которые способны поражать животные клетки, а значит и инфицировать человека. Применяется для выявления антигенов и антител к ним При этом существует как качественный определение наличия вируса, так и количественный определение числа вирионов анализ Также этот метод поможет определить уровень гормонов, выявить инфекции передающиеся половым путем, аллергены. Гепатит С острой стадии протекает бессимптомно, и часто до 85 переходит хроническую форму, которая грозит серьезными осложнениями виде развития рака или цирроза печени Однако сегодня существуют препараты, которые достаточно эффективно излечивают пациентов Гепатит В переходит хроническую форму значительно реже, не более чем 10 случаев у взрослых При этом лекарств от этого вируса нет хронический гепатит В не лечится. Система иммунитета достаточно сложная и многоступенчатая Делится на врожденный и приобретенный иммунитет Первый обеспечивает неспецифическую защиту, то есть действует на все чужеродные объекты одинаковым способом Приобретенный же появляется после того, как иммунная система сталкивается с вирусом В результате вырабатывается специфическая защита, эффективная случае конкретной инфекции.

В большинстве своем обеспечивается клетками фагоцитами, способными поглощать вирус, зараженные умирающие или мертвые клетки Фагоцитоз является важной составляющей и постинфекционного иммунитета По сути, именно фагоциты отвечают за эффективное очищение организма от чужеродных объектов. Приобретенный иммунитет способность нейтрализовать антигены, которые уже попадали организм ранее Различают активный и пассивный виды врожденного иммунитета Первый образовывается после того, как организм сталкивается с вирусом или бактерией Второй передается плоду или младенцу от матери Через плаценту во время беременности и с грудным молоком во время вскармливания к ребенку попадают антитела из крови матери Пассивный иммунитет обеспечивает защиту на несколько месяцев, активный нередко на всю жизнь. Вторая группа противовирусных препаратов более эффективна и легче переносится пациентами Среди них наиболее популярны медикаменты, которые лечат. Профилактика вирусов, передающихся фекальнооральным путем например, болезни Боткина и полиомиелит мытье рук, кипячение воды и использование лишь проверенных источников водоснабжения, тщательное мытье фруктов и овощей. При нормальном течении болезни обнаруженный вирус не нуждается специфическом лечении При развитии вирусных осложнений, особенно пневмонии, применяются препараты Осельтамивир и Занамивир, возможно введение интерферонов. Воздушнокапельный, при этом вирус способен перемещаться с током воздуха на расстояния до.

Наиболее опасным осложнением является перерождение папилломы злокачественную опухоль. Связаны с инфекциями, которые есть у человека При иммунодефиците риск развития осложнений при любой болезни иногда достигает 100 Даже некоторые легкие инфекции могут приводить к летальному исходу. Сейчас полиомиелит практически побежден с помощью вакцинации Эта болезнь осталась как эндемическая двух странах Пакистане и Афганистане. Антивирусная утилита AVZ утилита AVZ предназначена для обнаружения и удаления. Не достаточно просто установить антивирус, его надо еще грамотно настроить Не только антивирусные базы всегда должны быть актуальном состоянии, но надо следить и за обновлением операционной системы и приложений Для защиты от сетевых червей надо настроить и обновлять межсетевые экраны файрволы Для серьезной антивирусной защиты надо настроить проверку электронной почты и антиспамовые фильтры. Проникновение Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами загрузочными секторами дискет, и отличие от червей, никак не влияют на процесс проникновения Следовательно, возможности проникновения полностью определяются возможностями заражения, и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла.

Активация Для активации вируса необходимо, чтобы зараженный объект получил управление Здесь деление вирусов происходит по типам объектов, которые могут быть заражены Загрузочные вирусы вирусы, заражающие загрузочные сектора постоянных и сменных носителей. Поиск жертв Поиск компьютеражертвы полностью базируется на используемых протоколах и приложениях Почтовый червь, производит сканирование файлов компьютера на предмет наличия них адресов электронной почты, по которым результате и производится рассылка копий червя Интернетчерви сканируют диапазон IP адресов поисках уязвимых компьютеров P2P черви кладут свои копии общедоступные каталоги клиентов пиринговых сетей Некоторые черви способны эксплуатировать списки контактов интернетпейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo Messenger. Троян может длительное время незаметно находиться памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами. Активация Приемы те же, что и у червей ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска. Пример использует порт 81 для получения удаленных команд или загрузки троянов, расширяющих функционал червя использует IRCканал для получения команд от хозяина на загрузку и запуск, на выполнение других программ, сканирование других компьютеров на наличие уязвимостей и устанавливать себя на компьютеры через обнаруженные уязвимости.

Пример при запуске осуществляет только дозвон Интернет через платные почтовые службы, и больше никаких других действий не производит. Потеря данных более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя Примеры удаление стартовых секторов дисков и содержимого Flash BIOS, удаление всех файлов на диске C удаление файлов с определенными расширениями зависимости от показателя счетчика случайных чисел. Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного Одним только процессом саморазмножения вирус способен причинить колоссальный ущерб Наиболее яркий пример. Особенности заражения загрузочными вирусами определяются особенностями объектов, которые они внедряются, загру зочными секторами гибких и жестких дисков и главной загру зочной записью MBR жестких дисков Основной проблемой является ограниченный размер этих объектов В связи с этим вирусам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригиналь ный код инфицированного загрузчика Существуют различные способы решения этой задачи Ниже приводится классифика ция, предложенная Е Касперским.

Особенности заражения макровирусами Процесс заражения сводится к сохранению вирусного макрокода выбранном доку ментежертве Для некоторых систем обработки информации это сделать не просто, так как формат файлов документов может не предусматривать возможность сохранения макропрограмм В ка честве примера приведем Microsoft Word 6 0 Сохранение макро кода для этой системы возможно только файлах шаблонов имеющих по умолчанию расширение Поэтому для сво его сохранения вирус должен контролировать обработку коман ды Save as из меню File, которая вызывается всякий раз, когда происходит первое сохранение документа на диск Этот кон троль необходим, чтобы момент сохранения изменить тип файладокумента имеющего по умолчанию расширение на тип файлашаблона В этом случае на диске окажутся и мак рокод вируса, и содержимое документа. Опасные вирусы это вирусы, которые могут привести к серьезным сбоям работе компьютера Последствием сбоя мо жет стать разрушение программ и данных. Дополняя эту классификацию, можно отметить также деле ние вирусов на вирусы, наносящие вред системе вообще, и ви русы, предназначенные для целенаправленных атак на опреде ленные объекты. В настоящее время глобальная сеть Inter является основ ным источником вирусов Большое число заражений вирусами происходит при обмене письмами по электронной почте фор матах Microsoft Word Электронная почта служит каналом рас пространения макрокомандных вирусов, так как вместе с сооб щениями часто отправляются офисные документы.

Сообщения электронной почты часто приходят виде доку ментов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компонен ты Изза ошибок почтовых клиентах злоумышленники могут воспользоваться такими активными компонентами для внедре ния вирусов и троянских программ на компьютеры пользовате лей При получении сообщения формате HTML почтовый клиент показывает его содержимое своем окне Если сообще ние содержит вредоносные активные компоненты, они сразу же запускаются и выполняют заложенные них функции Чаще всего таким способом распространяются троянские программы и черви. При заражении компьютера вирусом важно его обнаружить К внешним признакам проявления деятельности вирусов можно отнести следующие. Программыблокировщики реализуют метод антивирусного мониторинга Антивирусные блокировщики это резидентные программы, перехватывающие вирусоопасные ситуации и со общающие об этом пользователю К вирусоопасным ситуаци ям относятся вызовы, которые характерны для вирусов момен ты их размножения вызовы на открытие для записи выпол няемые файлы, запись загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и. Надежность работы антивируса является наиболее важным критерием, поскольку даже абсолютный антивирус может ока заться бесполезным, если он не состоянии довести процесс сканирования до конца, повиснет и не проверит часть дисков и файлов и, результате, вирус останется незамеченным системе.

Широкую известность получил американский программист Моррис Он известен как создатель вируса, который ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Inter. Вкладка Объекты задает список объектов подлежащих сканированию, и типы файлов, которые будут тестироваться. Основы безопасности жизнедеятельности Путешествие лесу Средняя группа Программное К нам пришло письмо из леса В нем приглашение лес, но есть одно условие лес смогут войти только те дети, которые ответят, как. Загрузочные стелсвирусы для скрытия своего кода используют два основных способа Первый из них заключается том, что вирус перехватывает команды чтения зараженного сектора INT 13h и подставляет вместо него незараженный оригинал Этот способ делает вирус невидимым для любой DOSпрограммы, включая антивирусы, неспособные лечить оперативную память компьютера Возможен перехват команд чтения секторов на уровне более низком, чем. Степень сложности полиморфиккода процент от всех инструкций процессора, которые могут встретиться коде расшифровщика. Курсовой проект по Информатике Курсовой проект выполнен с целью решить практические задания по дисциплине Информатика, среде программирования Visio Studio Express C 2010 Данный курсовой проект состоит из практической части, которой подробно описано решение задач Методические рекомендации, 14 08 2012, скачиваний.

Пояснительная записка к курсовой работе по информатике Курсовой проект выполнен с целью решить практические задания по дисциплине Информатика, среде программирования Visio Studio Express C 2010 Данный курсовой проект состоит из практической части, которой подробно описано решение задач Методические рекомендации, 16 08 2012, скачиваний. Макровирусы заражают макропрограммы и файлы документов современных путем обработки информации, частности файлыдокументы и электронные таблицы популярных редакторов Microsoft Word, Microsoft Excel и др Для размножения макровирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла другие Вирусы этого типа получают управле ние при открытии зараженного файла и инфицируют файлы, к которым впослед ствии идет обращение из соответствующего офисного приложения. Сетевые вирусы используют для своего распространения протоколы или коман ды компьютерных сетей и электронной почты Иногда сетевые вирусы называют про граммами типа червь Сетевые черви подразделяются на интернетчерви распро страняются по Интернету, LANчерви распространяются по локальной сети, IRCчерви Inter Relay Chat распространяются через чаты Существуют также смешанные типы, которые совмещают себе сразу несколько технологий. К первому относятся вирусы, осуществляющие активный поиск с использова нием функций операционной системы Примером являются файловые вирусы, использующие механизм поиска исполняемых файлов текущем каталоге.

Второй класс составляют вирусы, реализующие пассивный механизм поиска, то есть вирусы, расставляющие ловушки дня программных файлов Как правило, файловые вирусы устраивают такие ловушки путем перехвата определенной функции exec опе рационной системы, а макровирусы с помощью перехвата команд типа Save as Сохранить как из меню File Файл. Используются редко применяемые сектора конце раздела Вирус переносит необходимый код эти свободные сектора конце диска С точки зрения операционной системы эти сектора выглядят как свободные. По деструктивным возможностям вирусы можно разделить на безвредные, нео пасные, опасные и очень опасные. На степень опасности вирусов оказывает существенное влияния та среда, под управлением которой вирусы работают. Для того чтобы создать эффективную систему антивирусной защиты компьюте ров и корпоративных сетей, необходимо четко представлять себе, откуда грозит опа сность Вирусы находят самые разные каналы распространения, причем к старым спо собам постоянно добавляются новые.

Пользователи могут получить вирус или троянскую программу во время про стой навигации по сайтам Интернета, посетив троянский Webсайт Ошибки браузерах пользователей зачастую приводят к тому, что активные компонен ты троянских Webсайтов элементы управления ActiveX или компоненты Java внедряют на компьютеры пользователей вредоносные программы Здесь исполь зуется тот же самый механизм, что и при получении сообщений электронной почты формате HTML Но заражение происходит незаметно активные ком поненты Webстраниц могут внешне никак себя не проявлять Приглашение по сетить троянский сайт пользователь может получить обычном электронном письме. Локальные сети также представляют собой путь быстрого заражения Если не при нимать необходимых мер защиты, то зараженная рабочая станция при входе ло кальную сеть заражает один или несколько служебных файлов на сервере В каче стве таких файлов могут выступать служебный файл Excelтаблицы и стандартные документышаблоны, применяемые фирме Пользователи при вхо де эту сеть запускают зараженные файлы с сервера, и результате вирус получа ет доступ на компьютеры пользователей.

А все дело том, что на вашем компьютере успешно функционирует, размножается и рассылает себя всем вашим знакомым, компьютерный вирус Это он, находясь постоянно резидентной памяти, шифровал все ваши документы, которые вы открывали Это он проник ваш почтовый клиент и по адресной книге разослал рекламные предложения всем вашим знакомым Это он создал почтовый сервер из вашего компьютера и стал рассылать электронные письма по всему Интернету Это он дождался момента перевода денег с вашего счета и сделал несанкционированный перевод всех ваших денег своему хозяину, после чего заблокировал вам доступ к компьютеру виде невозможности загрузки операционной системы. Данные признаки большинстве случаев свидетельствуют о заражении вашего компьютера вирусом В данном случае не следует паниковать и действовать надо рассудительно и спокойно. Даже если антивирусная защита говорит, что вирус полностью удален и ваш компьютер чист, это не значит, что вирус полностью уничтожен Антивирусы видят не все вирусы и не всех могут корректно удалить Антивирус не гарантирует на сто процентов, что ваш компьютер защищен от вирусов и вредоносных программ. Как говориться, На бога надейся, а сам не плошай Хорошая антивирусная защита, это не только хорошая антивирусная программа, но и грамотное поведение пользователя сети и за своим компьютером. Правило второе Дублирование информации, то есть создавать копии рабочих файлов на съёмных носителях информации дискеты, компактдиски и другие с защитой от записи.

 
 

© Copyright 2017-2018 - the-institution