Стандартные антивирусные средства, как правило, не позволяют бороться с закладками, поскольку последние не обладают характерными свойствами вирусов; для их обнаружения и обезвреживания существуют специальные программы.
Классификация вирусов по особенностям алгоритма вируса
По особенностям алгоритма можно выделить следующие категории вирусов:
1. Компаньон – вирусы (от англ, слова commpanion) – это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ, например, – для файла ХСОРY.EХЕ создается файл XCOPY.СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске такого файла ОО8 первым обнаружит и выполнит СОМ-файл, т.е. вирус, который затем запустит и ЕХЕ-файл.
2. Вирусы-черви (от англ, слова worm) – вирусы, которые распространяются в компьютерной сети и, так же как и компаньон – вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.
3. «Паразитические» – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон».
4. «Студенческие» – крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок.
5. Стелс-вирусы (от англ, названия Stealth) – это вирусы-невидимки, которые являются одними из самых сложных вирусов. В них используется ряд средств для маскировки. Представляют собой весьма совершенные программы, которые перехватывают обращенияDOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы. Определить наличие в системе вируса, использующего Stealth-технологию, не имея соответствующего инструментария, практически не можно, поскольку вирус старается маскировать как приращение длины пораженного файла, так и свое тело в нем, «подставляя» вместо себя «здоровую» часть файла.
6. Полиморфик-вирусы (от англ, слова polymorphic) – самошифрующиеся или вирусы-призраки, которые достаточно трудно обнаружить, они не имеют сигнатур, т.е. несодержащие ни одного постоянного участка кода. В этих вирусах используются специальные механизмы, затрудняющие их обнаружение. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Обычно такие вирусы содержат код, позволяющий генерировать программу для шифровки и расшифровки собственного тела. Создаваемые генератором шифровщики (и соответствующие расшифровщики) обычно изменяются во времени. Для зашифрованной части кода вируса обязательно должна существовать подпрограмма расшифровки, или дескриптор (от англ, слова descriptor). В полиморфных вирусах расшифровщик не является постоянным – для каждого инфицированного файла он свой. По этой причине зачастую нельзя «распознать» инфицированный файл по характерной для данного вируса строке (сигнатуре). Вследствие этого некоторые антивирусные средства не «ловят» полиморфные вирусы (наглядный пример такого рода – весьма популярная одно время антивирусная программа Aidstest).
7. «Макро-вирусы» – вирусы этого семейства используют возможности макроязыков встроенных в системы обработки данных (текстовые редакторы, электронные таблицы т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текст вые документы редактора MicrosoftWord.
Классификация вирусов по деструктивным возможностям
По деструктивным возможностям вирусы можно разделить на следующие:
1. неопасные, влияние которых ограничивается уменьшением свободной памяти на диске I графическими, звуковыми и пр. эффектами;
2. опасные вирусы, которые могут привести к серьезным сбоям в работе;
3. очень опасные, которые могут привести к потере программ, уничтожить данные, стеретьнеобходимую для работы компьютера информацию, записанную в системных областях памяти.
Безвредные вирусы, как правило, производят различные визуальные или звуковые эффекты. Диапазон проявлений безвредных вирусов очень широк – от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирусCascade-1701).
Выполняемые вредными вирусами деструктивные функции тоже чрезвычайно разнообразны. В процессе своего распространения некоторые вирусы повреждают или искажают выполняемые программы, дописывая в начало уничтожаемой программы некий код без сохранения исходной последовательности байт. Некоторые вирусы при определенных условиях выполняют форматирование диска, точнее его нулевой дорожки, тем самым, уничтожая важную информацию о хранящихся на диске файлах. Другие через определенные (как правило, случайные) промежутки времени перезапускают компьютер, приводя к потере не сохраненных данных. В последнее время появилось большое количество вирусов, направленных на борьбу с антивирусными программами. Некоторые из них при просмотре каталогов ищут программы, в именах которых имеются фрагменты, характерные для антивирусных программ (ANTI, AIDS, SCAN), и при обнаружении таковых пытаются нанести им какой-либо вред: стереть с диска, изменить код в теле программы и т.д.
Возможные симптомы вирусного поражения
Основные симптомы вирусного поражения следующие:
1. замедление работы некоторых программ;
2. явный захват управления работой различных программ;
3. увеличение размеров файлов (особенно выполняемых);
4. появление не существовавших ранее «странных» файлов;
5. уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы);
6. внезапно возникающие разнообразные видео и звуковые эффекты.
При всех перечисленных выше симптомах, а также при других проявлениях в работе системы (неустойчивая работа, частые «самостоятельные» перезагрузки и прочее) необходимо немедленно произвести проверку системы на наличие вирусов с помощью антивирусной программы. При этом лучше всего использовать программное обеспечение, работу которого можно администрировать, для автоматической блокировки выполнения подозрительных программ и, кроме того, что очень важно, такие программы позволяют автоматически обновлять по Internet антивирусные базы данных.
Стратегия защиты от вирусов
В настоящее время проблема компьютерных вирусов затрагивает практически каждого, кто, так или иначе, связан с компьютерами. Нанося порой незначительный ущерб, вирусы вызывают необоснованный страх у многих пользователей.
Прежде всего, следует отметить, что радикального средства от вирусов не существует. Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Если вы будете придерживаться следующих рекомендаций, то надежно защитите свой компьютер от вирусной «эпидемии»:
1. Установите и постоянно используйте одну или несколько популярных антивирусных программ, а также регулярно обновляйте их версии и сигнатурные базы.
2. Для обеспечения безопасности наиболее ценной информации необходимо регулярно (желательно после каждого ее обновления) создавать резервные копии или архивы и следить за тем, чтобы в них не попал вирус.
3. Необходимо всегда иметь под рукой «аптечку первой помощи», в состав которой входят системная (аварийная) дискета и дискеты с набором необходимых утилит, антивирусных программ и программ резервного копирования.
4. Проверяйте перед использованием все дискеты. Не запускайте непроверенные файлы в том числе полученные по компьютерным сетям.
5. Особое внимание необходимо уделять защите информации от несанкционированного доступа, ограничьте круг лиц, допущенных к работе на конкретном компьютере.
Если, не смотря на все меры предосторожности, вирус все же проникнет в компьютер и надо иметь надежные методы определения его наличия до возникновения побочных вирусных эффектов.
В случае обнаружения вирусной атаки следует немедленно прекратить работу и, перезагрузив компьютер с системной дискеты, проверить жесткий диск антивирусными программами. Если вирус найден в файле, и у вас имеется «чистая» резервная копия этого файла удалите зараженный файл и восстановите его с резервной копии. Важно, чтобы антивирусные программы, используемые для проверки, были самых последних версий.
Антивирусные программы
Ускоренное развитие компьютерных сетей, с одной стороны, и появление все более вирусов с другой привели к тому, что интерес и требования к антивирусным граммам постоянно возрастают. Ряд наиболее известных производителей антивирусного программного обеспечения объединили свои программы в комплекты и системы, обеспечивающие комплексную защиту от вирусов разных типов. В качестве примера можно привести систему McAfeeTotalDefenseSuite, разработанную компанией McAfee, а также антивирусный комплект DSAV(DialogueScienceAnti-Viruskit), созданный российской компанией «ДиалогНаука», антивирусные программы и Aidstestи DoctorWeb, давно завоевавшие популярность на территории бывшего Советского Союза. Однако сегодня среди пользователей разного уровня подготовки наиболее популярными являются два программных комплекса NortonAntiVirusи Антивирус Касперского, которые обеспечивают комплексную защиту компьютеров (и не только от вирусов). Эти пакеты также обеспечивают постоянную поддержку с пользователей, с помощью своевременного обновления базы известных вирусов, против которых разработчики создают «лекарство для их стерилизации». Это очень важно в условиях увеличения числа компьютеров во всем Мире и объединение их в одну большую сеть с помощью Internet, что дает повод для постоянного появления новых вирусов.