Компьютерные вирусы: классификация, методы и средства борьбы

     Многие  программы-ревизоры являются довольно "интеллектуальными" - они могут  отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

     Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен  в памяти компьютера. Но некоторые программы-ревизоры все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не на всех дисководах). Другие программы, часто используя различные полумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно.

     Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют  длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

     В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. доктора-ревизоры, - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

     Но  они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы  заражения файлов.⁷

     3. Программы-фильтры -   которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

     Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие  вирусов. Это вызывает замедление работы компьютера.

     Однако  преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

     4. Программы-вакцины или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

     Ни  один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона.

     Средствам разведки в "обороне" от вирусов  соответствуют программы-детекторы, позволяющие проверять вновь  полученное программное обеспечение  на наличие вирусов.

     -  На переднем крае обороны находятся  программы-фильтры. Эти программы  могут первыми сообщить о работе  вируса и предотвратить заражение  программ и дисков.

• Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

     - Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

     - В "стратегическом резерве"  находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

     Это неформальное описание позволяет лучше  понять методику применения антивирусных средств.

     При появлении симптомов свидетельствующих  о заражении компьютера рекомендуется  провести полную проверку компьютера установленной на нем антивирусной программой.

     В случае отсутствия таковой, можно скачать  и установить пробную версию Антивируса Касперского Personal, которая будет полностью работоспособна две недели с момента установки.⁸

     Перед использованием антивирусных программ крайне желательно загрузиться с резервной копии DOS, расположенной на заведомо чистой от вирусов и защищенной от записи дискете.

     Это необходимо для того, чтобы застраховаться от присутствия резидентного вируса, так как он может блокировать работу антивируса или использовать его работу для инфицирования проверяемых файлов. Перезагрузка компьютера должна быть холодной, так как некоторые вирусы «выживают» при теплой перезагрузке.

     Желательно, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Желательно также, чтобы хоть одна из них была отечественного производства, так как процесс эмиграции вируса в другие страны и иммиграции антивирусных программ занимает довольно большое время. Поэтому, наиболее оперативно на появление нового вируса реагируют только отечественные антивирусные программы.

     Если  обнаружены зараженные файлы, то следует:

• распечатать их список;
• если для этих файлов нет backup-копии, то сохранить их на дискеты;
• при помощи антивирусной программы восстановить зараженные файлы и затем проверить их работоспособность и соответствие backup-копии (если есть);
• если восстановление файлов произошло не вполне корректно, то их следует уничтожить и переписать с backup, копий; если же копий нет, то восстановить зараженные файлы с дискет и попытаться дезактивировать их при помощи другого антивируса.

     Следует отметить, что качество восстановления файлов многими антивирусными программами  оставляет желать лучшего. Многие популярные антивирусы часто необратимо портят файлы вместо их лечения. Поэтому, если потеря файлов нежелательна, то выполнять перечисленные выше пункты следует в полном объеме.

     Никто не может гарантировать полного  уничтожения всех копий компьютерного вируса, поэтому, целесообразно некоторое время после удаления вируса постоянно пользоваться резидентным антивирусным монитором типа утилиты -D.COM, входящей в комплекс «Доктор Касперский». При помощи резидентного монитора можно перехватить момент появления подавляющего большинства вирусов.

     Действия  при заражении  вирусом 

     При заражении компьютера вирусом (или  при подозрении на это) важно соблюдать  следующие правила:

     1) Прежде всего не надо торопиться  и принимать опрометчивых решений.

     Непродуманные действия могут привести не только к потере части файлов, но и к повторному заражению компьютера.

     2) Надо немедленно выключить компьютер,  чтобы вирус не продолжал своих  разрушительных действий.

     3) Все действия по обнаружению  вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило).

     4) Если Вы не обладаете достаточными  знаниями и опытом для лечения  компьютера, попросите помочь более  опытных коллег.  
 
 
 
 
 

       Заключение  

      Актуальность  проблемы компьютерных вирусов имеет свои спады и подъемы. Она достигает пика после очередной мощной эпидемии или сплетни («страшилки»), а в остальное время является  лишь немного раздражающим фактором для пользователей в их постоянном общении с компьютером.

      Острота проблемы также очень сильно зависит  от отношения общества к этой проблеме. Если пиратское копирование программного обеспечения практически отсутствует, то активно действуют фирмы, специализирующие на производстве антивирусной продукции, имеется много литературы, посвященной данному вопросу. В результате большинство пользователей знает, что такое вирус, какие могут быть последствия его «визита» и готовы к борьбе с ним.

      В России все обстоит гораздо более  серьезно. Основными источниками  приобретения новых программных продуктов является их бесконтрольное копирование. Кроме того, персональные компьютеры используются в «многоперсональном» режиме. Для распространения вируса – это самая благодатная среда. В результате в учебных заведениях и организациях факт заражения вирусом – вполне обычное явление. Это может окончиться плачевно при заражении каким-либо опасным вирусом.

      Число особей в популяции компьютерных вирусов постоянно растет. К тому же вирус может проникнуть в компьютер  не только с пиратскими копиями программного обеспечения или из BBS. Вполне легальные дистрибутивные дискеты также могут быть заражены вирусами. Известны многие случаи заражения компьютера при их ремонте, поскольку специалисты по ремонту вычислительной техники очень редко следят за чистотой используемых ими программных продуктов.

      В результате все большее число  программистов подключается к проблеме компьютерных вирусов. Большинству  их них приходится изучать эту  проблему с нуля – исследовать  образцы вирусов, анализировать  их свойства и методы поражения системы. 

      Список  литературы  

1. Андреев С.В. Практическая информатика. Часть 1. М.: МГИУ, 2001.
2. Гиляревский Р.С. Основы информатики. Курс лекций Р.С.Гиляревский. М.:  Издательство «экзамен», 2004. 320 с.
3. Информатика. Базовый курс, 2-е изд. Под редакцией С.В.Симоновича.СПб.: Питер,2006. 640 с.
4. Касперский Е. Компьютерные вирусы.  М.: Издательство «ЭДЭЛЬ», 2008 г.
5. Каймин В.А. Информатика. Учебник. М.: Инфра-М, 2007. – 232 с.
6. Могилев А.В. Информатика. Учебное пособие для студентов педагогических вузов. А.В. Могилев, Н.И. Пак, Е.К.Хеннер. -3-е издание, переработанное и дополненное. М.: Издательский центр «Академия», 2004. 848 с.
7. Острейковский В.А. Информатика. М.: Высшая школа, 2001.