Компьютерные вирусы

  Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

  Макро-вирусы заражают файлы-документы и электронные  таблицы нескольких популярных редакторов.

  Сетевые вирусы используют для своего распространения  протоколы или команды компьютерных сетей и электронной почты.

  Существует  большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные  сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые длокументы, но и рассылает свои копии по электронной почте.

  Заражаемая  ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты  которой подвержены заражению) является вторым уровнем деления вирусов  на классы. Каждый файловый или сетевой  вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

  Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов  выделяются следующие пункты:

• резидентность;
• использование стелс-алгоритмов;
• самошифрование и полиморфичность;
• использование нестандартных приемов.

  РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

  Резидентными  можно считать макро-вирусы, посколько  они постоянно присутствуют в  памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет  на себя редактор, а понятие «перезагрузка  операционной системы» трактуется как выход из редактора.

  В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых  операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

  Использование СТЕЛС-алгоритмов позволяет вирусам  полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».

  САМОШИФРОВАНИЕ  и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов  для того, чтобы максимально усложнить  процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые  вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

  Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как  можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить от обнаружения свою резидентную  копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

  По  ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

• безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
• очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некотоорых типов винчестеров.

  Но  даже если в алгоритме вируса не найдено ветвей, наносящих ущерб  системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус «DenZuk» довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие «COM или EXE» не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее. Загрузочные вирусы; Макро-вирусы; Полиморфик-вирусы; Прочие «вредные программы»; Резидентные вирусы; Сетевые вирусы; Стелс-вирусы; Файловые вирусы; IRC-черви.

  5. Методы борьбы  с вирусами.

  5.1. Методы обнаружения  и удаления компьютерных вирусов

  Способы противодействия компьютерным вирусам  можно разделить на несколько  групп: профилактика вирусного заражения  и уменьшение предполагаемого ущерба от такого заражения; методика использования  антивирусных программ, в том числе  обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

• Анализ алгоритма вируса
• Антивирусные программы
• Восстановление пораженных объектов
• Обнаружение неизвестного вируса

  Профилактика  заражения компьютера 

  5.2. Антивирусные программы

  Dr. Web

• модульная структура;
• регулярное обновление вирусных баз;
• понятный и удобный интерфейс;
• эффективный сканер;
• постоянный мониторинг;
• стабильно высокие результаты тестирования;
• микроскопический размер инсталляционного файла;
• тонкая интеграция с оболочкой Windows.

    Norton AntiVirus

• Антивирусное сканирование. Предусмотрен режим добавления заказных заданий, позволяющих выполнять сканирование произвольных дисков, папок, файлов в любых сочетаниях.
• Антивирусный мониторинг в фоновом режиме. Обеспечивает высокую степень безопасности вашего компьютера, так как антивирусное сканирование файлов происходит непрерывно при любых операциях с ними. Блокируются такие действия, как попытка отформатировать жесткий диск, изменить таблицу разделов или загрузочную запись. При любом обращении к дискете происходит сканирование ее загрузочной записи.
• Стартовое сканирование.
• Аварийный комплект дискет.
• Карантин.
• Работа с отчетом. Отчет может иметь большой объем, поэтому для работы с ним применяется фильтр, с помощью которого можно скрыть лишние сведения, оставив лишь те, которые необходимы.
• Обновление антивирусной базы данных. Для обновления продуктов, входящих в состав пакета Norton SystemWorks 2000 используются интегрированные средства Live-Update и UveAdvisor. 
• Работа по расписанию.
• Настройка Norton AntiVirus 2000.
• Антивирусный тест

Kaspersky AntiVirus Personal Pro.

  НАЗНАЧЕНИЕ: Антивирус Касперского предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционной системы Windows®.

  Антивирус Касперского® выполняет следующие  функции:

• Защита от вирусов и вредоносных программ Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
• Постоянная защита компьютера
• Проверка компьютера по требованию.
• Восстановление работоспособности после вирусной атаки. 
• Проверка и лечение входящей/исходящей почты .
• Обновление антивирусных баз и программных модулей.
• Карантин - помещение объектов, возможно зараженных вирусами или их модификациями, в специальное безопасное хранилище, где вы можете их лечить, удалять, восстанавливать в исходный каталог, а также отправлять экспертам Лаборатории Касперского на исследование. Файлы на карантине хранятся в специальном формате и не представляют опасности.
• Формирование отчета - фиксирование всех результатов работы Антивируса Касперского® Personal в отчете. Отчет о результатах проверки включает общую статистику по проверенным объектам, хранит настройки, с которыми была выполнена та или иная задача.
• Рекомендации по настройке программы.
• Служба технической поддержки. Сразу после его запуска вступают в силу рекомендуемые экспертами настройки антивирусной защиты.

Panda Titanium Antivirus 2004

• Антивирус последнего поколения. Выявляет и уничтожает десятки тысяч известных вирусов всех типов (полиморфные, загрузочные, файловые, макро и т.д.), а также троянцев, червей, вредоносные коды ActiveX и Java-апплеты.
• Немедленные и автоматические обновления против новых вирусов происходят как минимум один раз в день.
• Всеобъемлющая защита против наиболее опасных угроз, исходящих из сети Интернет.
• Свежие бюллетени о новых Интернет угрозах.
• Простота использования: установил и забыл. Вы надежно защищены, и при этом даже не замечаете работу антивируса.
• Техническая поддержка на русском языке.
• Самодиагностика: программа проводит самодиагностику, чтобы гарантировать бесперебойную и продуктивную работу.
• Максимальная скорость при минимальном использовании ресурсов во время проверки Вашего компьютера.

NOD32

• компактный и очень быстрый антивирус;
• сканирует, обеспечивает мониторинг файлов и входящей почты;
• имеет автоапдейт вирусных баз и программных модулей, встроенный планировщик заданий, карантин;
• работает в локальной сети, может отправлять уведомления по электронной почте;
• минимальная загрузка системы и устойчивость работы на ядре NT;
• высокая скорость сканирования;
• простота и комфортность интерфейса;
• все настройки легко и просто делаются с помощью Центра управления, где отображается и вся необходимая информация.

McAfee VirusScan

• контроль за Internet-пейджерами;
• сканирование e-mail на предмет вирусов;
• обязательный резидентный монитор;
• эвристический анализатор;
• для искоренения потенциально опасных скриптов и почтовых "червей" предназначены штатные функции - ScriptStopper и WormStopper;
• анализ количества писем и интенсивности их рассылки;
• с помощью утилиты Rescue Disk создается загрузочный диск с DOS-версией антивируса, необходимой в случае отказа Windows;
• анализ уровня защищенности ПК и установка дополнительных компонентов - файрвол McAfee Personal Firewall Plus, утилиты для блокирования спама - SpamKiller и защиты персональной информации Privacy Expert.
• опция World Virus Map постоянно сообщает вам о возможных эпидемиях и местах обитания вирусов.