Прежде всего, хочу отметить, что компьютерный вирус - небольшая, как правило, по размерам
программка, которая может заражать другие программы/файлы и выполнять различные действия
на зараженном компьютере. Файл, внутри которого находится вирус, называется зараженным.
Принцип действия вирусов
Положим, вирус приписал себы к определенной программе. Когда эта программа начнет работу,
сначала получает управление вирус и выполняет заранее предписанные ему действия
(например заражает другие файлы или портит файловую систему), после чего управление передается
той программе, в которой он находится. Таким образом распространение вируса трудно
обнаружить, если не применять соответсвуюшие меры.
При запуске зараженной программы многие вирусы остаются резидентно (до ребута системы) в
памяти компьютера и время от времени выполняют свои вредные действия.
Вирус может заразить и другие файлы таким образом, что они тоже будут содержать
этот вирус. То есть вирус внедряется в эти файлы и изменяет их так, чтобы они содержали
вирус, который при определенных обстоятельствах проявит свою активность.
Маскировка вирусов
Распространение вируса на зараженной машине - дело времени, однако процесс происходит
не постоянно. Некоторые вирусы, попав в систему просто "засыпают", маскируясь под обычные
программы, не вызываюшие к себе внимания, а при наступления заранее обозначенной
даты или условий активизируются и начинают вредить.
- Hiddden viruses
Некоторые файловые и загрузочные резидентные вирусы перехватывают сообщения ОС и прикладных
программ к зараженным файлам и областям диска и выдают их в исходном незараженном виде.
Таким образом они маскируют свое распространение.
- Self-modified viruses
Этот класс вирусов использует очень интересную технику маскировки, что позволяет обойти
программы-детекторы, тем самым затрудняя нахождение вирусов, а также делает более трудной
процедуру их идентификации. не секрет, что многие вирусы хранят большую часть своего тела
в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в принципе
их работы. Вирусы данного класса часто меняют параметры кодировки и стартовую часть,
служащую для раскодирования остальных команд вируса. Таким образом в теле
вирсов данного классы нет ниодной постоянной цепочки байтов, что делает вирус
неподдающимся идентификации.
Что может вирус
На самом деле вирусы могут многое.
Вот несколько примеров их возможностей:
- Заражает программы/файлы/документы и портит их
- Портит таблицу размещения файлов на диске
- Засоряет оперативную память
- Испортить или изменить любой файл на диске
Признаки, показывающие наличие вируса на компьютере
Как уже было упомянуто выше, действия грамотно составленного вируса трудно заметить
до того, как последствия его действий не станут критическими. На своем "зараженном" компьютере
человек начинает время от времени замечать появление всяческих аномалий, явно вызванных
не его, пользователя, неправильным обращением с системой, а чем-то иным:
- существенное замедление работы компьютера
- появление испорченных файлов
- некоторые программы перестают работать или начинают работать неправильно
- появление посторонних системных сообщений и мессаг
Физическое распространение вируса
Зараженные программы могут быть перенесены с зараженного компьютера на здоровый, тем самым
заражая и его. Поэтому будьте внимательны при запуске программ с отданных вам товарищами
дисков и дискет. Это потенциально опасные вещи, про что не стоит забывать.
Классификация вирусов
Как там в песне поется: "Вирусы бывают разные: черные, белые, красные...".
- некоторые вирусы ведут себя незаметно, постепенно стирая данные на жестком диске
и заражая файлы
- другие же, напротив, стараются как можно быстрее испортить как можно больше данных
и файловую систему
- есть вирусы, заражающие исполняемые файлы
- есть, заражающие и файлы, и загрузочные области дисков
- есть вирусы, заражающие драйверы устройств (встречаются крайне редко)
- DIR-вирусы: имеют файловыю систему на диске. Они прячут свое тело, как правило, в
последний клайстер диска и помечают его в таблице размещения файлов (FAT) как конец файла.
Защита от компьютерных вирусов
Основные методы защиты от компьютерных вирусов:
- Общие средства защиты от физической порчи дисков
- Разграничение доступа, позволяющее защитить заражение или изменение программ и данных,
от неправильных действий пользователя.
- Установка специализированных программ-детекторов, работа которых заключается в обнаружении
и уничтожении вирусов
- Регулярные обновления антивирусных баз
- Профилактические меры, позволяющие вовремя идентифицировать зараженный объект и устранить его
- Регулярное копирование критической информации на CDRW носители
Специальзированное ПО для борьбы с вирусами
Здесь как нельзя лучше подойдут AVP (AntiViral ToolKit Pro) и Dr.Web.
Данные антивирусные пакеты анализируют файлы на диске на наличие специфичесхих для
разных вирусов комбинаций байтов. Если таковые находятся, то программа идентифицируется
как зараженная, о чем немедленно сообщается пользователю выскакивающим сообщением,
после чего предлагаются возможные дальнейшие действия над зараженной программой:
лучше, конечно, если ее удается вылечить сразу, в противном случае, можно поставить эту
программу на "карантин" для более подробного обследования, в крайнем случае можно
удалить зараженный файл.
AVP, к примеру, может обучаться не только
способам обнаружения, но и способам лечения новых вирусов.
Большинство антивирусов имеют функцию "доктора", т.е. они пытаются вернуть
зараженные файлы или области диска в их исходное состояние.
Дело в том, что многие антивирусы могут обнаружить только те вирусы, которые ей "известны".
Другие же она будет обходить стороной. Таким образом, если это не вирус массовой рассылки,
сконструированный специально для вашей системы, то он, скорее всего, не будет замечен
детектором.
С другой стороны, современные средства обнаружения и уничтожения вирусов, помимо стандартной
базы вирусов, оснащены функцией настройки на новые типы вирусов. То есть в
алгаритме нового вируса ищется код, который так или иначе может выступать вирусом, иногда
даже им не являясь.
Действия при заражении вирусом
1. Не суетиться и не пытаться сразу искать вирус вручную
2. Немедленно выключить компьютер, дабы прекратить разрушительные действия вируса
3. Загрузиться с защищенной от записи дискеты с ОС и выполнить действия по обнаружению и
устранению/лечению вируса.
4. Далее загрузиться в нормальном режиме и продолжать работу
(правда, желательно еще раз прогнать диск антивирусом)
Подводим итоги
Естественно, что невозможно разработать программу, которая могла бы обнаружить
любой заранее неизвестный вирус, ведь новый вирус (если это не есть переделка уже существующего)
тем и уникален, что сконструирован он по новому алгаритму.
Таким образом, если программа не распознается антивирусом как зараженная, еще не значит,
что она чистая - в ней могут сидеть как новый вирус, так и модифицированная
версия старого вируса, не поддающегося идентификации.
Регулярное обновление антивирусных баз, профилактические проверки, средства физической защиты
данных и резервное копирование - есть то необходимое, о чем не надо забывать активному
PC-пользователю.
{dr}{NerVe} [KODSWEB]
!!! Статья является собственностью команды KODSWEB !!!
!!! Любое распространение без нашего разрешения строго запрешено !!!
