Компьютерные вирусы
Компьютерные вирусы
Музыкально- математическая гимназия №2
Экзаменационный реферат по информатике
Компьютерные вирусы
Выполнил: ученик 9 класса “Б”
Кочетков Максим
Преподаватель: Вайнштейн А.С.
Самара 1999
СОДЕРЖАНИЕ
КОМПЬЮТЕРНЫЙ ВИРУС
1.1. Что такое компьютерный вирус…………………………………...3
1.2. Как проявляют себя вирусы………………………………………..3
1. ТИПЫ ВИРУСОВ
2.1.Вирусы – спутники………………………………………………….4
2.2.Файловые вирусы…………………………………………………...5
2.3.Загрузочные вирусы………………………………………………...5
2.4.Вирусы, сочетающие в себе свойства файловых и загрузочных
вирусов……………………….……………………………………….5
2.5.Вирусы DIR ………….……………………………………...….…....5
2.6.Макровирусы…………………………………………….…………..5
2. МЕХАНИЗМ ЗАЩИТЫ ВИРУСОВ ОТ ОБНАРУЖЕНИЯ
3.1.Стелс-вирусы………………………………………….……….…….6
3.2.Вирусы-призраки……………………………………………….…...6
3. ЧТО МОЖЕТ И ЧЕГО НЕ МОЖЕТ КОМПЬЮТЕРНЫЙ ВИРУС
4.1.Файлы, подвергающиеся заражению………………………..……..6
4.2.Случаи, когда можно заразить свой компьютер…………..………7
4. КАК НЕ ЗАРАЗИТЬСЯ КОМПЬЮТЕРНЫМ ВИРУСОМ
5.1.Профилактические меры…………………………………….……...8
5.2.Профилактика заражения вирусом компьютеров группового
пользования ……………………………………………………………..9
5. ЧТО ДЕЛАТЬ, ЕСЛИ ЗАРАЖЕНИЕ УЖЕ ПРОИЗОШЛО
6.1.Стандартные действия при заражении вирусом………………….10
6.2.Нестандартные ситуации…………………………………………..11
6. Виды программ для защиты от вирусов.
7.1. Программы-ревизоры……………………………………………...12
7.2. Программы-детекторы и доктора…………………………………12
7.3.Программы-фильтры……………………………………………….13
ЗАКЛЮЧЕНИЕ……………………………………………………….…..13
ПРИЛОЖЕНИЕ 1………………………………………………………....14
ПРИЛОЖЕНИЕ 2…………………………………………………….……16
СЛОВАРЬ ТЕРМИНОВ………………………………………………….19
СПИСОК ЛИТЕРАТУРЫ………………………………..……………..23
1.КОМПЬЮТЕРНЫЙ ВИРУС
С проблемой компьютерных вирусов и их возможностей
связано, наверное, наибольшее число легенд и преувеличений. Многие
люди, а иногда и целые организации панически бояться заражения своих
машин. На самом деле все не так страшно. Чтобы не заразить свои
компьютеры, достаточно соблюдать лишь небольшое число элементарных
правил, но соблюдать их неукоснительно.
1.1. Что такое компьютерный вирус
В общем случае компьютерный вирус – это небольшая
программа, которая приписывает себя в конец исполняемых файлов,
«драйверов»,или «поселяется» в загрузочном секторе диска. При запуске
зараженных программ и драйверов вначале происходит выполнение вируса, а
уже потом управление передается самой программе. Если же вирус
«поселился» в загрузочном секторе, то его активизация происходит в момент
загрузки операционной системы с такого диска. В тот момент, когда
управление принадлежит вирусу, обычно выполняются различные неприятные для
пользователя, но необходимые для продолжения жизни данного вируса действия.
Это нахождение и заражение других программ, порча данных и т.д. Вирус может
также остаться в памяти резидентно и продолжать вредить до перезагрузки
компьютера. После окончания работы вируса управление передается зараженной
программе, которая обычно работает «как ни в чем не бывало», маскируя тем
самым наличие в системе вируса. К сожалению, очень часто вирус
обнаруживается слишком поздно, когда большинство программ уже заражено. В
этих случаях потери от зловредных действий вируса могут быть очень велики.
В последнее время появились так называемые макровирусы. Они
передаются вместе с документами, в которых предусмотрено выполнение
макрокоманд (например, документы текстового редактора Word), отсюда и их
название. Макровирусы представляют собой макрокоманды, которые предписывают
переносить тело вируса в другие документы. и, по возможности, совершать
различные вредные действия. Наибольшее распространение в настоящее время
получили макровирусы, заражающие документы текстового редактора Word
6.0/7.0 для Windows и табличного редактора Excel 5.0/7.0 для Windows.
1.2. Как проявляют себя вирусы
Проявление вирусов весьма различны:
- Сильное замедление работы компьютера.
- Неожиданное появление на экране посторонних фраз.
- Появление различных видеоэффектов (например, перевертывание
экрана).
- Пропадание информации с экрана (один из хранителей экрана под
названием Worms в Norton Commander 5.0 очень точно имитирует
работу известного вируса - «поедание» информации своеобразной
гусеницей).
- Генерация различных звуков.
- Некоторые программы перестают работать, а другие ведут себя очень
странно.
- На дисках появляется большое количество испорченных файлов данных,
текстовых файлов.
- Разом рушится вся файловая система на одном из дисков.
- Операционная система неожиданно перестает видеть винчестер.
- Произвольно изменяется длина отдельных файлов.
- Неожиданные проблемы с 32-х битным доступом к диску и файлам в
Windows 3.11 или Windows 95.
Разные вирусы могут вести себя по-разному. Некоторые
только размножаются, не совершая вредных действий, другие же
сразу после заражения совершают множество очень неприятных
действий. Есть такие, которые вначале ведут себя незаметно, а по
прошествии какого-то времени вдруг разом портят все данные (скажем,
форматируется винчестер). А бывают вирусы, которые стараются ввести
себя как можно более незаметно, но понемногу и постепенно портят
данные на жестком диске компьютера.
Таким образом, если не предпринимать мер защиты от вируса,
то последствия заражения компьютера могут быть очень серьезными.
Например, в1989г, вирусом, написанным американским студентом
Моррисом, были заражены и выведены из строя тысячи
компьютеров, в том числе принадлежащих министерству обороны США.
Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270
тыс.дол. Наказание могло быть и более строгим, но суд учел, что вирус не
портил данные. а только размножался.
Для того чтобы программа-вирус была незаметной, она должна
быть небольшой. Поэтому, как правило, вирусы пишутся на языке
ассемблера. Некоторые авторы таких программ создали их из озорства,
некоторые - из стремления «насолить» кому-либо или из ненависти
ко всему роду человеческому. В любом случае созданная
программа-вирус может (потенциально) распространиться на всех
компьютерах, совместимых с тем, для которого она была написана, и причинить
очень большие разрушения.
Следует заметить, что написание вируса – не такая уж сложная задача,
вполне доступная изучающему программирование студенту. Поэтому
еженедельно в мире появляются все новые и новые вирусы. И многие из них
сделаны в нашей стране и в других недостаточно цивилизованных
странах: Болгарии, Пакистане и т.д.
2.ТИПЫ ВИРУСОВ
Вирусы различаются между собой как по способу проникновения в
систему, так и по способу функционирования. Рассмотрим основные классы
вирусов.
2.1.Вирусы – спутники.
Наиболее примитивный тип вирусов. Для каждого файла с расширением
.ехе создают тот же файл с тем же именем,. но с расширением .сом,
содержащий тело вируса. При запуске файла операционная система
вначале ищет .сом файлы, а потом .exe файлы. Поэтому вначале
управление получает вирус, а затем уже он сам вызывает
необходимый .exe файл.
2.2.Файловые вирусы.
Поражают файлы с расширением .com, .exe, реже .sys или оверлейные
модули .exe файлов. Эти вирусы дописывают свое тело в начало, середину
или конец файла и изменяют его таким образом, чтобы первыми
получить управление. Некоторые из этих вирусов не заботятся о сохранении
заражаемого файла. В результате чего он оказывается неработоспособным; и
что самое печальное, такой файл нельзя восстановить. Часть этих вирусов
после запуска остается в памяти резидентно.
2.3.Загрузочные вирусы.
Поражают загрузочные сектора дисков. Инфицирование новых дисков
происходит в тот момент, когда в зараженный компьютер вставляют новую
дискету и начинают с ней работать. Часто вирус не помещается целиком в
загрузочной записи, туда пишется только его начало, а продолжение тела
вируса сохраняется в другом месте диска. После запуска остаются в памяти
резидентно.
2.4.Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов.
Такие вирусы могут поражать как файлы, так и загрузочные сектора
дисков.
2.5.Вирусы DIR.
Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют
файловую систему диска очень хитрым образом. В таблице размещения файлов
(FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на
тело вируса. Адреса же начала файлов в закодированном виде помещаются в
неиспользуемые элементы директории. В результате, как только вы запускаете
любую программу, управление автоматически получает вирус. Он остается в
памяти резидентно и при работе восстанавливает правильные ссылки на начала
файлов. Если диск, зараженный вирусом DIR, попадает на чистый компьютер,
считать с него данные, естественно, оказывается невозможным (читается
только один кластер). При попытке протестировать файловую структуру –
скажем, Norton Disk Doctor – на экран выдается сообщение об огромном
количестве ошибок, но стоит запустить хоть одну программу с зараженного
диска, как файловая система тут же «восстанавливается». На самом же деле
происходит инфицирование еще одного компьютера.
2.6.Макровирусы.
Весьма оригинальный класс вирусов (хотя вирусами в полном смысле
этого слова их даже нельзя назвать), заражающий документы, в которых
предусмотрено выполнение макрокоманд. При открытии таких документов вначале
исполняются макрокоманды (специальные программы высокого уровня),
содержащиеся в этом документе, - макровирус как раз и представляет собой
такую макрокоманду. Таким образом, как только будет открыт зараженный
документ, вирус получит управление и совершит все вредные действия (в
частности, найдет и заразит еще не зараженные документы).
3.МЕХАНИЗМ ЗАЩИТЫ ВИРУСОВ ОТ ОБНАРУЖЕНИЯ
Как правило, вирусы легко обнаруживаются по особым участкам кода тела
вируса. Правда, в последнее время широкое распространение получили два
новых типа вирусов – вирусы-невидимки (или стелс-вирусы) и
самомодифицирующиеся вирусы (вирусы-призраки), которые очень трудно
обнаружить.
3.1.Стелс-вирусы
Стелс-вирусы. (от английского steflth) реализуют очень хитрый
механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в
памяти резидентно и при обращении к зараженным файлам и областям диска
подменяют информацию так, что «заказчик» получает ее в незараженном,
исходном виде. Достигается это перехватыванием обращений DOS и установкой
своих векторов прерываний. Увидеть такой вирус можно либо на незараженном
компьютере (например, загрузившись с заведомо чистой дискеты), либо в том
случае, когда программа не пользуется средствами DOS, а напрямую обращается
к диску.
3.2.Вирусы-призраки
Вирусы-призраки маскируются с помощью другого механизма. Эти вирусы
постоянно модифицируют себя таким образом, что не содержат одинаковых
фрагментов. Такие вирусы хранят свое тело в закодированном виде и постоянно
меняют параметры этой кодировки. Стартовая же часть, занимающаяся
декодированием непосредственно самого тела, может генерироваться весьма
сложным способом. При переносе вируса данного типа с компьютера на
компьютер код вируса изменяется таким образом, что уже не имеет ничего
общего со своим предыдущим вариантом. А часть вирусов может
самомодифицироваться и в пределах одного компьютера. Обнаружение таких
вирусов весьма затруднено, хотя часть антивирусных программ пытается
находить их по участкам кода, характерным для стартовой части.
4.ЧТО МОЖЕТ И ЧЕГО НЕ МОЖЕТ КОМПЬЮТЕРНЫЙ ВИРУС
4.1.Файлы, подвергающиеся заражению.
Компьютерный вирус может заразить огромное число файлов. Перечислим
эти файлы. В первую очередь это исполняемые файлы с расширением .com и
.exe, затем – драйверы устройств с расширениями .sys и тем же .exe,
динамические библиотеки (расширение .dll) и, наконец, оверлейные модули
исполняемых файлов (как правило, имеют расширение .ovl).
Существуют вирусы, заражающие пакетные .bat файлы, но эти вирусы
крайне примитивны и поступают очень просто: они вставляют в пакетные файлы
команды своего вызова. Поймать такие вирусы не представляет труда.
Также могут быть подвергнуты заражению файлы документов и шаблонов
редакторов, в которых при открытии документа предусмотрено выполнение
макрокоманд. В частности, это .doc и .dot файлы текстового редактора Word,
.xls и .xlt файлы табличного редактора Excel.
Ни при каких условиях не могут быть подвергнуты заражению текстовые
(.txt) и графические файлы (.tif, .gif, .bmp, и т.п.), файлы данных и
информационные файлы.
4.2.Случаи, когда можно заразить свой компьютер
Заразиться компьютерным вирусом можно только в очень ограниченном
количестве случаев. Это:
- Запуск на компьютере исполняемой программы, зараженной вирусом.
- Загрузка компьютера с дискеты, содержащей загрузочный вирус.
- Подключение к системе зараженного драйвера.
- Открытие документа, зараженного макровирусом.
- Установка на компьютере зараженной операционной системы.
Компьютер не может быть заражен, если:
- На него переписывались текстовые и графические файлы, файлы данных
и информационные файлы (за исключением файлов, предусматривающих
выполнение макрокоманд).
- На нем производилось копирование с одной дискеты на другую при
условии, что ни один файл с дискет не запускался.
- На компьютере производится обработка принесенных извне текстовых и
графических файлов, файлов данных и информационных файлов (за
исключением файлов, предусматривающих выполнение макрокоманд).
Примечание: Переписывание на компьютер зараженного вирусом файла еще не
означает заражения его вирусом. Чтобы заражение произошло, нужно либо
запустить зараженную программу, либо подключить зараженный драйвер, либо
открыть зараженный документ (либо, естественно, загрузиться с зараженной
дискеты).
Иначе говоря, заразить свой компьютер можно только в том случае, если
запустить на нем непроверенные программы и (или) программные продукты,
установить непроверенные драйверы и (или) операционные системы, загрузиться
с непроверенной системной дискеты или открыть непроверенные документы,
подверженные заражению макровирусами.
Не стоит приписывать все сбои в работе оборудования или программ
действию компьютерного вируса. Вирус – это обычная программа, причем
небольшого размера, и она не может совершать никаких сверхъестественных
действий. Так, ни одна программа не в состоянии сжечь процессор, не под
силу это и вирусу. Единственное, на что способны вирусы, - это вызвать
временную неработоспособность компьютера (обычно устраняемую выключением и
включением питания).
5.КАК НЕ ЗАРАЗИТЬСЯ КОМПЬЮТЕРНЫМ ВИРУСОМ
Правила, которые необходимо соблюдать
Эти правила нужно соблюдать всегда. Нарушив их всего один раз, вы
рискуете заразить свой компьютер, а гораздо проще предотвратить
заболевание, чем заниматься потом его лечением.
5.1.Профилактические меры
Все важные программы и данные необходимо иметь вне компьютера:
например, сохранять их на дискетах. Это позволит в случае порчи вирусом или
из-за сбоев в работе оборудования быстро восстановить потерянную
информацию.
Результаты своей текущей работы рекомендуется сохранять на дискетах не
реже раза в неделю, тогда потери от вирусов и сбоев в работе оборудования
будут не так велики.
Любые программы и драйверы, которые вы собираетесь использовать на
компьютере перед первым запуском, обязательно необходимо проверить на
наличие вирусов программами-детекторами (эти программы позволяют проверить
файлы на инфицированность их вирусом),. скажем, AIDSTEST или (а еще лучше
и) Dr.Web. Эти программы постоянно обновляются (в них добавляется
обнаружение новых вирусов), поэтому рекомендуется всегда иметь самые
последние версии. Кроме того, Dr.Web имеет в своем составе эвристический
анализатор, позволяющий обнаруживать подозрительные участки кода,
характерные для самомодифицирующихся вирусов. Обе программы имеют простой
интерфейс на русском языке, к тому же к ним прилагается весьма подробное
описание (также на русском языке), поэтому работа с ними здесь не
рассматривается.
Все документы (файлы документов и шаблонов Word, Excel и т.д.),
предполагающие выполнение макрокоманд, необходимо проверить на наличие
макровирусов. Сделать это можно. Например, с помощью все того же Dr.Web.
Если программы поступили к вам в заархивированном виде, то перед
проверкой архив необходимо развернуть. Но до проверки не надо запускать
какие-либо программы из этого архива.
Если вы устанавливаете не одиночную программу, а большой программный
продукт, то необходимо проверить все файлы с дистрибутива до установки, а
сразу после установки произвести повторную проверку, по возможности
предварительно загрузившись с дискеты.
Рекомендуется загружаться только со своих, причем заведомо
незараженных дискет. Строго говоря, лучше иметь для этих целей специальную
дискету, а все остальные диски форматировать без переноса операционной
системы.
Чтобы случайно не загрузиться с дискеты, оставленной в дисководе А:,
рекомендуется в SETUP отключить загрузку с диска А:.
Если по каким-либо причинам вы хотите загрузиться с чужой дискеты, то перед
загрузкой проверьте ее на наличие вирусов.
При постоянном переносе на ваш компьютер новых файлов рекомендуется
установить одну из программ-ревизоров, скажем пакет Adinf (эти программы
отслеживают изменения в системе – изменения на дисках, распределение
памяти, включение и отключение драйверов – и при подозрительных действиях
предупреждают пользователя). Это в какой-то степени застрахует вас от
появления новых вирусов. Сразу после установки новой программы (особенно
неизвестного происхождения) необходимо также на некоторое время установить
одну из программ-фильтров (программ, отслеживающих текущие операции с
диском и памятью и сообщающих о тех из них, которые могут быть вызваны
вирусом). Если в течение нескольких дней никаких подозрительных действий не
обнаружится, то программу-фильтр можно отключить.
5.2.Профилактика заражения вирусом компьютеров группового
пользования
Обеспечить защиту компьютеров группового пользования гораздо сложнее.
Для таких компьютеров есть несколько дополнительных рекомендаций.
Предотвратить ситуацию, когда разные группы пользователей приносят на
компьютер различные программы, как показывает практика, невозможно. Можно
не сомневаться, что кто-то обязательно принесет вирус. Рекомендуется
поступить следующим образом: разрешить приносить любые программы, в том
числе и игры, но при одном условии – все эти программы проверяет на наличие
вирусов и устанавливает на компьютеры системный администратор данной
организации. Если это условие нарушено, то виновного ждут штрафные санкции.
Этот метод действует весьма эффективно, надо только следить, чтобы игры
были не в ущерб работе (чего, как правило, и не бывает).
Другой выход – разграничение доступа. На компьютере создается
системный логический диск и диски для каждой группы пользователей.
Разбиение происходит с помощью одного из существующих менеджеров диска, и
диски защищаются паролем. В обычном режиме для чтение доступен только
системный диск и диск данной группы пользователей, а для записи – только
диск данной группы пользователей. Все остальные диски попросту недоступны.
Системный администратор знает все пароли и может получить доступ к любому
диску. Этот метод позволяет достаточно эффективно бороться с заражением,
но, к сожалению, часть вирусов обходит и такую защиту.
В случае коллективного пользования можно рекомендовать еще один способ
– отключить дисководы. Правда, на практике его можно реализовать только в
том случае, когда компьютеры объединены в сеть. Дисководы остаются
подключенными только на сервере, за которым постоянно сидит системный
администратор, контролирующий все принесенные файлы.
6.ЧТО ДЕЛАТЬ, ЕСЛИ ЗАРАЖЕНИЕ УЖЕ ПРОИЗОШЛО
Рассмотрим теперь действия при заражении компьютера. Предположим,
несмотря на все ваши старания, компьютерному вирусу удалось проникнуть
к вам в систему.
6.1.Стандартные действия при заражении вирусом
Вы должны:
1. Сразу же выключить питание, чтобы вирус перестал распространяться
дальше. Единственное, что можно сделать до выключения питания, -
это сохранить результаты текущей работы. Не следует использовать
горячую перезагрузку (Ctrl + Alt + Del ), т.к. некоторые вирусы
при этом сохраняют свою активность.
2. Войти в SETUP и включить загрузку с диска А. Заодно рекомендуется
проверить правильность всех установок, включая параметры жестких
дисков. Если произошли какие-либо изменения, то необходимо
восстановить старые значения.
3. Ни в коем случае не запускать ни одной новой программы, находящейся
на жестком диске.
4. Необходимо загрузиться с дискеты (она должна быть защищена от
записи) и запустить по очереди программы-детекторы, находящиеся на
дискете. Если одна из программ обнаружит загрузочный вирус, то его
можно тут же удалить, аналогично надо поступить и при наличии
вируса DIR. Учтите, что вирусов может быть много.
5. Если программа-детектор обнаружит файловый вирус, то возможны два
варианта действий. Если у вас установлена программа-ревизор с
лечащим модулем, то восстановление файлов лучше делать с ее
помощью. Если такой программы нет, то необходимо воспользоваться
для лечения одним из детекторов. Испорченные файлы (если, конечно,
они не текстовые или не файлы данных) необходимо удалить.
6. После того как все вирусы удалены, необходимо заново перенести
операционную систему на жесткий диск (с помощью команды SYS).
7. Необходимо проверить целостность файловой системы на винчестере (с
помощью CHKDSK) и исправить все повреждения. Если таких повреждений
очень много, то перед исправлением файловой структуры необходимо
попытаться скопировать наиболее важные файлы на дискеты.
8. Необходимо еще раз проверить жесткий диск на наличие вирусов, если
таковых не оказалось, то можно перезагрузиться с винчестера. После
перезагрузки винчестера необходимо оценить потери от действий
вируса. Если повреждений очень много, то проще заново
переформатировать винчестер (при необходимости сохранив самые
важные файлы).
9. Необходимо восстановить все необходимые файлы и программы с помощью
архива – и для страховки, еще раз загрузившись с дискеты,
протестировать винчестер. Если снова будет обнаружен вирус, то вам
не повезло, ваш архив также заражен вирусом. В этом случае вы
должны протестировать весь ваш архив.
10. Если все в порядке, то необходимо проверить все дискеты, которые
могли оказаться зараженными вирусом и при необходимости пролечить
их. Не забудьте только отключить загрузку с диска A:.
11. После того, как вирус дезактивирован, вы можете продолжать свою
работу. Рекомендуется только подключить на некоторое время одну из
программ-фильтров.
6.2.Нестандартные ситуации
Во время вирусной атаки может возникнуть ряд нестандартных ситуаций.
Например.
Если у вас установлен менеджер диска, то при загрузке с дискеты часть
дисков может быть недоступна. Тогда необходимо пролечить вначале все
доступные на данный момент диски, затем загрузиться с жесткого системного
диска и пролечить все оставшиеся логические диски.
Если при загрузке с дискеты выясняется, что система просто «не видит»
ваш винчестер, то скорее всего вирус повредил таблицу разбиения жесткого
диска. В этом случае необходимо еще раз проверить установки SETUP
и попытаться восстановить разбиение с помощью Norton Disk Doctor (или,
если вы хорошо представляете себе свои действия, с помощью Norton Disk
Edit). Если это не поможет, то, вся информация с винчестера
потеряна, остается только воспользоваться программой EDISK.
Если вы столкнулись с неизвестным вирусом, то дело обстоит несколько
сложнее. Во-первых, вы можете воспользоваться программой-ревизором, если
она у вас установлена. Вполне возможно, что она поможет обезвредить
ваш вирус. Если ее нет или она не помогла, то остается только заново
перенести на диск операционную систему, а затем удалить с него
все исполняемые и пакетные файлы, драйверы и оверлейные файлы, после
чего восстановить их из архива. Можно также воспользоваться услугами
антивирусной скорой помощи.
И в заключение одно замечание. Не стоит приписывать все
ваши неприятности действиям вируса. Говорить же о действии неизвестного
вируса, а тем более прибегать к радикальным мерам следует только
тогда, когда не остается никаких сомнений. Стоит вначале попытаться
восстановить файлы, и, только если это не удается, удалить их.
Ситуация, сложившаяся сейчас в области вирусной безопасности, весьма
стабильна. Различные организации (исключая, конечно, институтские учебные
центры, на которых пробуют свои силы юные авторы вирусов) подвергаются
вирусным атакам весьма редко, - не говоря уже об индивидуальных
пользователях.
7.Виды программ для защиты от вирусов.
7.1Программы-ревизоры
Программы-ревизоры являются самым надежным средством
защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры
это единственное средство, позволяющее следить за целостностью системных
файлов и изменениями в используемых каталогах. Следует отметить, что
получаемая с помощью ревизоров информация существенно облегчает
ориентировку в лабиринте каталогов и "нововведениях" среди трансляторов и
используемых утилит. Поэтому их нельзя рассматривать только в контексте
защиты от вирусов - в настоящее время они должны являться рабочим
инструментом каждого уважающего свой труд программиста.
Существуют два основных типа программ-ревизоров: пакетные и
резидентные.
Программ-ревизоры имеют две стадии работы. Сначала они запоминают
сведения о состоянии программ и системных областей дисков. После этого с
помощью программы-ревизора можно в любой момент сравнить состояние программ
и системных областей дисков с исходными. О выявленных несоответствиях
сообщается пользователю.
Доктора-ревизоры.
В последнее время появились очень полезные гибриды ревизоров и
докторов – программы, которые не только обнаруживают изменения в файлах, но
и могут в случае изменений автоматически вернуть их в исходное состояние.
Такие программы могут быть гораздо более универсальными, чем программы-
доктора, поскольку при лечении они используют заранее сохраненную
информацию о состояни файлов и областей диска. Это позволяет им вылечивать
файлы даже от тех вирусов, которые не были созданы на момент написания
программы.
Конечно, доктора-ревизоры – это не панацея. Они могут
лечить неот всех вирусов, а только от тех, которые используют известные на
момент написания программы, механизмы заражения файлов.
7.2. Программы-детекторы и доктора.
В большинстве случаев для обнаружения вируса, заразившего ваш
компьютер, можно найти уже разработанные программы-детекторы. Эти программы
проверяют, имеются ли в файлах на указанном пользователем диске
специфические для данного вируса комбинация байтов. При ее обнаружении в
каком либо файле на экране выводится соответствующее сообщение. Многие
детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует
подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы,
которые ей «известны».
Лечение от вирусов.
Большинство программ-детекторов имеют также и функцию «доктора», т.е.
они пытаются вернуть зараженные файлы и области диска в их исходное
состояние. Те файлы, которые не удалось восстановить, как правило, делаются
неработоспособными или удаляются.
Большинство программ-докторов умеют «лечить» только от некоторого
фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые
программы могут обучаться не только способам обнаружения, но и способам
лечения новых вирусов. К таким программам относится AVSP фирмы «Диалог-
МГУ». Другой перспективный подход – восстановление файлов на основе заранее
сохраненной информации об их состоянии.
7.3.Программы-фильтры
Одной из причин, из-за которых стало возможным такое явление, как
компьютерный вирус, является отсутствие в операционной системе MS-DOS
эффективных средств для защиты информации от несанкционированного доступа.
Из-за отсутствия средств защиты компьютерные вирусы могут незаметно и
безнаказанно изменять программы, портить таблицы размещения файлов и т.д.
В связи с этим различными фирмами и программистами разработаны
программы- фильтры, или резедентные программы для защиты от вируса, которые
в определенной степени восполняют указанный недостаток DOS.
Эти программы располагаются резедентно в оперативной памяти
компьютера и «перехватывают» те сообщения к операционной системе, которые
используются вирусами для размножения и нанесения вреда.
ЗАКЛЮЧЕНИЕ
В настоящее время для существует несколько десятков тысяч
компьютерных вирусов и их число продолжает расти. Поэтому следует, с
одной стороны, ожидать постепенного проникновения в Россию новых, более
опасных и изощренно написанных вирусов, включая стелс-вирусы, и с другой
- потока сравнительно простых, а зачастую и безграмотно написанных
вирусов в результате "вирусного взрыва" внутри самой страны. Не следует
думать, что эволюция вирусов пойдет только в направлении их усложнения.
Опыт показал, что сложность стелс-вирусов существенно снижает их
жизнеспособность. Как отмечал С.Н.Паркинсон в одном из своих знаменитых
законов, "рост означает усложнение, а усложнение - разложение". По-
видимому, эволюция компьютерных вирусов будет идти сразу в нескольких
направлениях, лишь одним из которых являются стелс-вирусы.
Хотя общее количество вирусов велико, лежащие в их основе идеи
сравнительно малочисленны и не так просто поддаются расширению. Поэтому
основной тенденцией, наблюдаемой в настоящее время, является не столько
появление новых типов вирусов, сколько комбинирование уже известных
идей. Такие "гибриды", как правило, оказываются опаснее базисных видов.
Еще чаще наблюдается тенденция к минимальной модификации одного из
получивших широкое распространение вирусов, что приводит к образованию
вокруг "базисного" вируса группы штаммов, причем их количество в некоторых
случаях превышает десяток
ПРИЛОЖЕНИЕ 1
Описание некоторых компьютерных вирусов
Есть ли спасение от вируса «Чернобыль»?
Вирус этот не новый: впервые он был обнаружен почти год назад. CIN
(«Чернобыль»)
Активизируется 26 числа каждого месяца. А в 13-ю годовщину трагедии на АЭС
всплеск был особенно силен. Вирус переносится в файлах с расширением «exe»,
работающих в программах Microsoft Windows. Заражение может произойти при
установке программ с пиратского компакт-диска (а таковых у нас 94
процента), при перекачке файлов по сети Интернет и по электронной почте.
Сейчас CIN у нас – самый распространенный вирус. Утешает одно: «Чернобыль»
успешно ликвидируют большинство современных антивирусных программ.
Однако если уж он проникает в систему, то последствия разрушительны.
Он способен в лучшем случае стереть все, что есть в памяти персонального
компьютера, а в худшем – полностью вывести его из строя.
По прогнозам экспертов, вспышка этого цикличного вируса 26 апреля
2000 года будет столь же сильной.
Специалисты говорят, что «заболевший» компьютеры можно оживить,
заменив микросхему Flash-BIOS. Однако на некоторых моделях она не может
быть отделена от материнской платы, и в этом случае придется покупать новую
материнскую плату.
. Вирус Cookie Monster - Печеньевое чудовище
Данная легенда основана на демонстрационном вирусе,
действительно существовавшем на компьютерах с микропроцессором 8080 или
Apple II. Или, возможно, вирус полностью уничтожен и относится к
"ископаемым" вирусам. Название данного вируса связано с персонажем
популярной в США детской телевизионной программы SESAME STREET. Проявление
этого вируса связано с выдачей на экран сообщения
I WANT COOKIE
(Хочу печенья)
Только ввод с клавиатуры слова COOKIE позволяет
продолжить работу с программой. Вводом тайного пароля "OREO" можно
"усыпить" вирус на несколько недель. В некоторых вариантах легенды вирус
стирает файлы при неправильном ответе или слишком длительной задержке с
ответом.
Отечественный аналог данного мифа под названием Чуча (якобы выдающий
сообщение "Хочу чучу") опубликован в [Павлов89]
Исторические сведения. Слухи о данном вирусе дошли до
Киева в конце 1988 г., т.е. до появления в Киеве настоящих
компьютерных вирусов. Вирус упоминается в ряде зарубежных публикаций.
. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
Сетевые вирусы более точно называть не вирусами, а
репликаторами, поскольку они не заражают выполняемые программы, а просто
распространяются по сети от одной ЭВМ к другой. Буквальный перевод
соответствующего англоязычного термина Worm - червяк представляется
менее удачным, чем предлагаемый термин репликатор. В свою очередь,
репликатор, подобно кассетной боеголовке, может переносить с собой
троянских коней и обычные вирусы. К счастью, два наиболее известных случая
создания таких вирусов не связаны с вандализмом.
. Вирус Christmas Tree (Рождественская елка)
Рассматриваемый вирус написан студентом университета
ClausthalZellerfeld (Германия), который в конце декабря 1987 г. запустил
его в университетской сети. Название вируса связано с тем, что он рисовал
на экране дисплея новогоднюю елку и затем рассылал себя по всем адресам,
найденным на зараженном компьютере, используя механизм электронной
почты. Вирус был написан на языке управления заданиями REXX операционной
системы VM/CMS. Фактически это один из немногих вирусов, написанных на
языке управления заданиями, и это свидетельствует о мощности и гибкости
REXX -- несомненно лучшего из множества языков управления заданиями для
компьютеров системы 360/370
ПРИЛОЖЕНИЕ 2
АНТИВИРУСНЫЕ ПРОГРАММЫ
AVP Inspector™
Что такое AVP Inspector™
AVP Inspector™ – это антивирусная программа-ревизор диска, работающая под
управлением операционной системы Microsoft Windows 95/98® или Microsoft
Windows NT®.
AVP Inspector следит за изменениями содержимого файлов и директорий. Она
может использоваться в качестве вспомогательной антивирусной программы или
для контроля над изменениями на диске.
Программа значительно уменьшает время проверки дисков антивирусным сканером
AVP, так как после окончания проверки дисков на изменения, AVPI может
передать на проверку сканеру AVP только новые и измененные файлы.
Ее работа основана на сохранении основных данных о диске в таблице,
содержащей образы Master-Boot и Boot секторов, список номеров сбойных
кластеров, схему дерева каталогов и информацию обо всех контролируемых
файлах.
Кроме того, AVP Inspector запоминает и при каждом запуске проверяет, не
изменился ли доступный DOS объем оперативной памяти (что бывает при
заражении большинством загрузочных вирусов), количество установленных
винчестеров. При всех этих проверках программа просматривает диск по
секторам непосредственно через IOS и не использует стандартные методы
(прерывания INT 21h и INT 13h), что позволяет успешно обнаруживать активные
маскирующиеся вирусы, находящиеся в памяти и взявшие на себя обработку этих
жизненно важных (для компьютера) прерываний.
Основные особенности AVP Inspector
Основными особенностями AVP Inspector являются:
· Работа в среде Microsoft Windows 95, Microsoft Windows 98 или
Microsoft Windows NT;
· Возможность разбора файловых систем (FAT12, FAT16, VFAT32, NTFS) без
использования обращений к функциям операционной системы, работающих с
файлами;
· Возможность проверки сетевых дисков;
· Обращение к дискам напрямую через драйвер IOS (супервизор ввода-
вывода) в обход DOS-резидентов (в частности Boot вирусов, перехвативших 13h
прерывание при загрузке компьютера);
· Истинная 32-х разрядность, многозадачная работа, графический
интерфейс;
· Доступ к компрессионным дискам в обход DOS;
· Восстановление загрузочных секторов;
· Ведение базы данных о предыдущих проверках;
· Анализ измененных файлов на схожее изменение длины;
· Работа с OLE2 документами (документы Word, Excel и Access);
· Возможность восстановления исполняемых файлов DOS, Windows 95/98/NT,
которая обеспечивается лечащим модулем AVPI Cure Module;
· Возможность обнаружения активных Stelth-вирусов.
· Контроль за изменениями в системном реестре.
Принципы работы ревизора AVP Inspector™
Антивирусные ревизоры имеют единый принцип работы, основанный на подсчете
CRC-сумм для дисковых секторов и файлов, сохранении их в некоторой базе
данных (таблице) и последующем сравнении реальных (новых) CRC-сумм с их
оригинальными значениями, хранящимися в базе данных. В базе данных также
хранится дополнительная информация о файлах - их длины, время создания и
последней модификации, атрибуты и данные, необходимые для восстановления
измененных (зараженных) файлов. В базе данных также хранятся полные образы
загрузочных секторов диска (Master-Boot и Boot), список номеров сбойных
кластеров, схема дерева подкаталогов и прочая информация обо всех
контролируемых объектах.
Помимо этого, AVP Inspector™ запоминает и затем при каждом запуске
проверяет информацию об операционной системе и установленном аппаратном
обеспечении: объем оперативной памяти (контроль на заражение загрузочным
вирусом), количество установленных жестких дисков и некоторые ключи
системного реестра. При проверках AVP Inspector обращается к секторам
диска напрямую непосредственно через IOS и не использует стандартные методы
(прерывания INT 21h и INT 13h). Данная особенность работы AVP Inspector
позволяет ему успешно обнаруживать и ликвидировать так называемые стелс-
вирусы (вирусы-невидимки).
ОСОБЕННОСТИ РАБОТЫ AVP Inspector в MS Windows NT
В связи с архитектурными особенностями Microsort Windows NT®, AVP
Inspector™ не производит следующие проверки:
· Отладочных регистров
· Проверка размера доступной DOS памяти
AntiViral Toolkit Pro для Windows 95/98/NT
AntiViral Toolkit Pro для Windows 95/98/NT представляет собой мощную
интегрированную антивирусную систему, которая включает в себя два
программных модуля:
· антивирусный сканер AVP,
· антивирусный резидентный монитор AVP Monitor.
AVP для Windows 95/98/NT является полностью 32-х разрядным приложением,
оптимизированным для работы в операционных системах Microsoft Windows
95/98/NT и использующим все возможности, которые эти системы предоставляют.
Резидентный монитор AVP Monitor, постоянно находясь в оперативной памяти, в
фоновом режиме осуществляет контроль над операциями обращения к файлам и
секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет его
на наличие вируса. Таким образом, AVP Monitor позволяет обнаружить и
удалить вирус до момента реального заражения системы.
Программы имеют удобный пользовательский интерфейс, характерный для среды
Windows 95/98/NT, большое количество настроек, выбираемых пользователем, а
также самую большую антивирусную базу данных, количество данных о вирусах в
которой постоянно растет.
Встроенная в AVP для Windows 95/98/NT функция "живые апдейты" позволяет
автоматически обновлять антивирусные базы. В зависимости от выбранных
пользователем опций, обновление может быть произведено либо через Интернет
(непосредственно с того http- либо ftp-сервера, на котором всегда находятся
самые последние базы), либо из каталога на Вашем компьютере.
Словарь терминов
Атрибуты файла
Содержит характеристики файла: системный файл, скрытый файл, файл только
для чтения (read-only) и т.д.
Заголовок EXE-файла
Часть EXE-файла, содержащая управляющую информацию. Располагается в начале
EXE-файла и содержит информацию для системного загрузчика: длину
загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер
Единица разбиения логического диска. Состоит из одного или нескольких
подряд расположенных логических секторов диска. Длина кластера на флоппи-
дисках обычно равна 1 или 2 секторам, на винчестере – до 64 секторов.
Логический диск
Единица разбиения диска. Состоит из подряд расположенных физических
секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого
каталога и области данных. Секторы, входящие в область данных, группируются
в кластеры. Логическим дискам ставятся в соответствие заглавные символы
(A:, B:, D: и т.д.). В пределах логического диска возможна логическая
адресация к секторам.
Монитор (программа-монитор, блокировщик)
Резидентно находящаяся в оперативной памяти утилита, которая позволяет
выявлять "подозрительные" действия пользовательских программ: изменение и
переименование выполняемых программ (COM- и EXE-файлов), запись на диск по
абсолютному адресу, форматирование диска и т.д. При обнаружении
"подозрительной" функции программа-монитор либо выдает на экран сообщение,
либо блокирует выполнение перехваченной функции, либо совершает другие
специальные действия.
Прерывание
Сигнал, по которому процессор прерывает выполнение текущей
последовательности команд и передает управление на программу – обработчик
прерывания. Адрес программы-обработчика вычисляется по таблице векторов
прерываний. Прерывание может быть инициировано либо программами
пользователя при работе с дисками, экраном, принтером и т.д. (программные
прерывания) либо внешними устройствами: клавиатурой, таймером (аппаратные
прерывания).
Призрак (вирусы-"призраки")
Вирусы, предпринимающие специальные меры для затруднения их поиска и
анализа. Не имеют сигнатур, т.е. не содержат ни одного постоянного участка
кода. В большинстве случаев два образца одного и того же вируса-"призрака"
не будут иметь ни одного совпадения. Это достигается шифрованием основного
тела вируса и модификациями программы-расшифровщика.
Псевдосбойный кластер
Каждый кластер логического диска помечается в FAT как свободный, занятый
или сбойный. Сбойным (плохим) считается кластер, который содержит один или
несколько дефектных секторов. Такой кластер не используется DOS и невидим
для нее. Псевдосбойным называется нормальный кластер (т.е. не имеющий
дефектных секторов), но помеченный в FAT как сбойный. Выделить
псевдосбойный кластер из, на самом деле, сбойных секторов можно несколько
раз прочитав содержимое секторов кластера. Если при этом не произошло
ошибки, то кластер псевдосбойный. Нормальные кластеры (т.е. не имеющие
дефектных секторов) помечаются как сбойные некоторыми вирусами, которые
могут затем использовать пространство таких кластеров в своих целях.
Резидентный (TSR – Terminate and Stay Resident)
Запускаемые на выполнение программы делятся на резидентные и нерезидентные.
Резидентная программа по окончании оставляет свой код или часть кода в
оперативной памяти, при этом DOS резервирует необходимый для ее работы
участок памяти. Затем резидентная программа работает параллельно другим
программам, некоторые из резидентных программ могут быть выгружены из
памяти. Нерезидентная программа при завершении не оставляет в памяти своего
кода, а занимаемая ею память освобождается.
Сектор
Минимальная единица разбиения диска (т.е. минимальная адресуемая часть
диска). Разбиение диска на секторы происходит при его форматировании.
Различают физические (абсолютные) и логические секторы диска. Один и тот же
сектор может рассматриваться как физический при обращении к нему функциями
BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина
сектора обычно равна 512 байтам.
Стелс (Stealth)
"Стелс"-вирусы (вирусы-невидимки) представляют собой программы, которые
перехватывают обращения DOS к пораженным файлам или секторам дисков и
"подставляют" вместо себя незараженные участки информации. Кроме этого
такие вирусы при обращении к файлам используют достаточно оригинальные
алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. К
"стелс"-вирусам относятся вирусы "V-4096", "Fish#6", "Brain" и некоторые
другие.
Файл
Единица организации логического диска. Файлы содержат информацию,
содержащую какой-либо конкретный объект: программу, часть базы данных,
тексты, прочие данные. К характеристикам файла относятся его длина (объем
содержащейся в файле информации), атрибуты, время и дата последней
модификации.
Backup
Резервные копии программного обеспечения, баз данных, рабочих файлов и т.д.
Создаются для восстановления информации в случае ее потери, например при
сбое компьютера или при заражении вирусом.
BIOS (Basic Input-Output System)
Базовая система ввода-вывода. Часть программного обеспечения, входящего в
состав компьютера. Отвечает за тестирование и начальную загрузку системы.
Также поддерживает стандартный интерфейс с внешними устройствами (экраном,
дисками, принтером и т.д.). Хранится в ПЗУ.
Boot-сектор (загрузочный сектор)
Первый сектор логического диска (на флоппи-дисках совпадает с первым
физическим сектором). Содержит программу-загрузчик, отвечающую за запуск
операционной системы.
DOS (Disk Operating System)
Операционная система. Загружается с диска и отвечает за интерфейс
пользователя и программного обеспечения с логическими элементами дисков,
оборудованием и т.д.
FAT (File Allocation Table)
Таблица распределения файлов. Состоит из последовательных секторов
логического диска и содержит таблицу расположения файлов на этом диске.
Размещается в секторах, следующих за Boot-сектором. Дополнительно
информирует о свободных и сбойных секторах логического диска.
MBR (Master Boot Record)
Первый физический сектор диска. Обычно содержит небольшую программу-
загрузчик и таблицу разбиения диска (Disk Partition Table). Программа-
загрузчик анализирует Disk Partition Table, выделяет в ней активный
логический диск, загружает в память Boot-сектор этого диска и передает на
него управление.
MCB (Memory Control Block)
Единица (блок) системной памяти. Выделяется, изменяется и освобождается DOS
при запуске программ или при соответствующих запросах. В памяти блоки
памяти организованы в виде списка, состоящего из M-блоков и
заканчивающегося Z-блоком.
PSP (Program Segment Prefix)
Префикс программного сегмента. Расположен в начале участка памяти,
выделяемого DOS под запускаемую программу. Создается операционной системой
и содержит информацию о некоторых векторах прерываний, адресах системных
полей и т.д.
TSR
см. Резидентный
COM-файл
Двоичный выполняемый файл, располагаемый при старте в одном сегменте и
работающий в пределах этого сегмента. Программы, содержащиеся в COM-файлах
(COM-программы) могут использовать и другие сегменты, но эти действия
требуют специальных вычислений внутри самих программ. Поэтому все ссылки в
COM-программах внутрисегментные и не требуют привязки к сегментному адресу.
EXE-файл
Двоичный выполняемый файл, который может занимать в оперативной памяти один
или несколько сегментов. При обращении к какому-либо сегменту EXE-программе
требуется знать сегментный адрес этого сегмента. Для этого при загрузке в
память DOS привязывает (настраивает) EXE-файл к адресам памяти, т.е.
помещает в необходимые ячейки соответствующие сегментные адреса. Настройка
EXE-файла происходит по таблице настройки адресов. Таблица настройки
адресов (ТНА) расположена в заголовке EXE-файла и содержит адреса, по
которым происходит привязка EXE-программы к сегментным адресам памяти.
OVL-файл
Файл, содержащий выполняемые двоичные коды, используемые основной
программой по мере необходимости. Часто оформлен в виде COM- или EXE-файла.
SYS-файл
Файл, содержащий системный драйвер. Загружается в память при инициализации
DOS после загрузки системы. Для запуска SYS-файла необходимо поместить
соответствующую команду в файл CONFIG.SYS и перезагрузить компьютер.
СПИСОК ЛИТЕРАТУРЫ
1.В.Э.Фигурнов. IBM PC для пользователя
2.А.Микляев. Настольная книга пользователя
3.Internet сайды (Диалог-наука).