Компьютерный вирус

Компьютерный  вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус.

Вирус находит и "заражает" другие программы, а также выполняет  какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную  память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться  не всегда, а, скажем, при выполнении определенных условий. После того как  вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она  работает также, как обычно. Тем самым  внешне работа зараженной программы  выглядит так же, как и незараженной.

Многие разновидности  вирусов устроены так, что при  запуске зараженной программы вирус  остается резидентно, т.е. до перезагрузки ОС, в памяти компьютера и время  от времени заражает программы и  выполняет вредные действия на компьютере.

Компьютерный вирус  может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в  компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут  содержать вирус, который при  некоторых обстоятельствах может  начать свою работу.

Следует заметить, что  тексты программ и документов, информационные файлы без данных, таблицы табличных  процессоров и другие аналогичные  файлы не могут быть заражены вирусом, он может их только испортить.

Вирус - это программа (как ни абсурдно это звучит, но некоторые до сих пор об этом не знают). И, следовательно, вредить она может лишь программно, но никак не аппаратно - страшные сказки о вирусах, убивающих и сводящих с ума пользователей при помощи вывода на экран смертельной цветовой гаммы, были и остаются всего лишь сказками. Далее - вирус является программой, способной к размножению. Мы совсем не случайно не упомянули о наносимом ущербе - существуют вирусы, которые не занимаются ничем, кроме самораспространения. 
 

Каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные  области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют  заражать и исполнимые файлы.

В последнее время  получили распространение вирусы нового типа - вирусы, имеющие файловую систему  на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла.

Чтобы предотвратить  свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Речь пойдет о двух из них: "невидимых" и самомодифицирующихся вирусах.

"НЕВИДИМЫЕ"  вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения ОС (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

САМОМОДИФИЦИРУЮЩИЕСЯ  вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Все вирусы можно  объединить в следующие основные группы.

Загрузочные вирусы - инфицируют загрузочные секторы жестких дисков и дискет.

Файловые  вирусы - заражают файлы. Эта группа в свою очередь подразделяется на вирусы, инфицирующие исполняемые файлы (сом-, ехе-вирусы); файлы данных (макровирусы); вирусы-спутники, использующие имена других программ; вирусы семейства Dir, использующие информацию о файловой структуре. Причем два последних типа вообще не модифицируют файлы на диске.

Загрузочно-файловые вирусы - способны поражать как код загрузочных секторов, так и код файлов.

Вирусы делятся также на резидентные и нерезидентные - первые при получении управления загружаются в память и могут действовать, в отличие от нерезидентных, не только во время работы зараженного файла.

В последнее время  все большее распространение  получают полиморфные вирусы, шифрующие свое тело и поэтому не имеющие неизменного набора символов, т. е. сигнатуры. Их появление поставило перед разработчиками антивирусов проблему создания совершенно нового алгоритма работы.

Stealth-вирусы фальсифицируют информацию, читаемую с диска, так, что активная программа получает неверные данные. Вирус перехватывает вектор прерывания int 13h и поставляет читающей программе ложную информацию, которая показывает, что на диске "все в порядке". Эта технология используется как в файловых, так и загрузочных вирусах.

Рeтровирусами называются обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их или делая неработоспособными. Поэтому практически все антивирусы в первую очередь пверяют свои собственные размер и контрольную сумму. 

Multipartition-вирусы могут поражать одновременно исполняемые файлы, boot-сектор, MBR, FAT и директории. Если они к тому же обладают пол и моренными свойствами и элементами невидимости, то становится понятно, что такие вирусы - одни из наиболее опасных.

В классификации  вирусов Dr.Solomon's присутствуют также "троянские программы" (Trojans), которые производят вредоносные действия вместо объявленных легальных функций или наряду с ними. Они не способны на самораспространение и передаются только при копировании пользователем.

Интересное явление  представляет собой вышедший из строя вирус - как результат порчи реального вируса либо просто плохого программирования со стороны вирусописателей. Такой вирус практически ничего не делает - или "зависает" при выполнении, или оказывается не в состоянии заражать файлы. Иногда происходит обратный процесс - вирус выполняет непредусмотренные действия, которые ведут к порче информации. Что поделаешь, среди авторов вирусов нередко встречаются слабые программисты.

Всего на сегодняшний день существуют тысячи вирусов, но только в нескольких десятках из них реализованы оригинальные идеи, остальные являются лишь "вариациями на тему". Средства защиты от вирусов подразделяются на такие группы, как детекторы, фаги, ревизоры, сторожа и вакцины.

Детекторы (сканеры). Их задачей является постановка диагноза, лечением же будет заниматься другая антивирусная программа или профессиональный программист - "вирусолог".

Фаги (полифаги). Программы, способные обнаружить и уничтожить вирус (фаги) или несколько вирусов (полифаги). Современные версии полифагов, как правило, обладают возможностью проведения эвристического анализа файлов - они исследуют файлы на предмет наличия кода, характерного для вируса (внедрения части этой программы в другую, шифрования кода и т. п.).

Ревизоры. Этот тип антивирусов контролирует все (по крайней мере, все известные на момент выпуска программы) возможные способы заражения компьютера. Таким образом, можно обнаружить вирус, созданный уже после выхода программы-ревизора.

Сторожа. Резидентные программы, постоянно находящиеся в памяти компьютера и контролирующие все операции (не пользуются особой популярностью главным образом из-за большого количества ложных срабатываний, которые в отдельных случаях способны если не парализовать, то уж наверняка серьезно застопорить работу).

Вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами (в последнее время этот метод применяется все реже - вакцинировать можно только от конкретного вируса, причем некоторые антивирусы такую вакцинацию вполне могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле исчезающе мало).

Как известно, ни один из данных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и  их желательно использовать в связке с другими пакетами. Вообще, выбор  только одного, "лучшего", антивируса крайне ошибочен. 
 
 
 

Советы:

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастить компьютер современными антивирусными программами, например AVP, Aidstest, Doctor Web, и постоянно обновлять их версии;
• перед считыванием с дисков информации, записанной на других компьютерах, всегда проверять эти диски на наличие вирусов, запуская антивирусные программы;
• при переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
• периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков;
• обязательно делать архивные копии на дисках ценной информации;
• использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;
• для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf, либо использовать полный комплект антивируса AVP.

 
 
 
 
 
 
 
 
 
 
 
 
 
 

Содержание:

• Компьютерные вирусы
• Типы вирусов
• Типы антивирусов
• Советы