VIRUS

Что такое вирус.
Термин «компьютерные вирусы» впервые появился в 1984 г. На 7 конференции по безопасности информации, проходившей в США. Его ввел сотрудник Лехайского университета Ф.Коэк. С тех пор прошло немало времени. Актуальность
проблемы имела свои спады и подъемы, достигая пика после очередной мощной эпидемии или сплетни в компьютерной
прессе. В начале 1989 г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем
месяцам тюрьмы и штрафу в 270 тыс. долл. Суд учел, что вирус не портил данные, а только размножался.
Компьютерным вирусом называется программа, которая может создавать свои копии и внедрять их в файлы, системные области компьютера, сети и т.д. При этом копии сохраняют способность дальнейшего распространения.
Основную массу вирусов пишут люди, которые освоили язык ассемблера, но не могут найти достойного применения своим силам. Самую опасную группу составляют профессиональные вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными программистами. Такие вирусы используют оригинальные алгоритмы, мало кому
известные способы проникновения в системные области. В развитых странах проблема компьютерных вирусов не является
такой острой, так как там в значительно меньшей степени распространено пиратское копирование программного обеспечения. Большинство пользователей знают, что такое вирус и как с ним бороться. В нашей стране все обстоит гораздо серьезнее.
Основным источником приобретения новых программных продуктов является бесконтрольное копирование. Персоналки
часто используются в многоперсональном режиме. Для распространения вируса это самая благодатная среда. Следует отметить быстрый рост числа вирусов российского производства.
Классификация вирусов.
Вирусы можно разделить на классы по следующим признакам:
по среде обитания вируса;
по способу заражения среды обитания;
по деструктивным возможностям.
По среде обитания различают:
файловые
сетевые
загрузочные.
Файловые вирусы являются наиболее распространенным типом. Они составляют 80 % от общего числа вирусов. Этот
класс компьютерных вирусов обладает наибольшей инфицирующей способностью. Объектом поражения являются исполняемые файлы (EXE, COM), драйверы устройств ( SYS, DRV ), и файлы операционной системы(MSDOS.SYS, IO.SYS). Вирус
в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Вирус, находящийся в драйверах и системных файлах, начинает свою работу при каждом обращении к такому файлу или устройству.
Такие вирусы мало распространены.
По способу заражения файловые вирусы делятся на резидентные и нерезидентные. Механизм функционирования нерезидентных вирусов: при запуске зараженной программы управление передается вирусу, он ищет первую незараженную файлжертву в текущем каталоге и дописывает к ней свое тело а затем передает управление запущенной программе. Резидентные
файловые вирусы наиболее опасны. После запуска зараженной программы резидентный вирус остается в памяти машины до
конца сеанса работы. В результате возможно заражение при запуске программ, записи и чтении. Резидентные вирусы обладают более высокой инфицирующей способностью, чем нерезидентные.
Число известных загрузочных вирусов значительно меньше чем файловых. Загрузочные вирусы заражают загрузочный
сектор гибкого и твердого диска. Загрузочные вирусы проникают в компьютер при загрузке с зараженной дискеты. При инфицировании диска вирус переносит оригинальный ВООТ сектор в другой сектор диска, а сам записывается на его место. В
результате при загрузке с зараженного диска вместо настоящего сектора будет выполнен программный код вируса. Все загрузочные вирусы резидентны.
Сетевые вирусы распространяются в компьютерной сети. Проникая в память компьютера, они вычисляют сетевые адреса
других машин и рассылают по этим адресам свои коды.
По деструктивным возможностям вирусы можно разделить на:
безвредные, т.е. не причиняющие никакого ущерба, занимающиеся только размножением;
неопасные, действия которых ограничиваются только графическими или звуковыми эффектами, например,
осыпание букв или проигрывание какой-либо мелодии;
опасные вирусы, которые могут привести к сбоям в работе компьютера;
очень опасные, результатом действия которых может стать потеря программ, уничтожение данных, стирание необходимой для работы компьютера информации, записанной в системных областях памяти.
Основные симптомы вируса:
Увеличилось число файлов на диске;
Появилось сообщение о копировании файлов в то время как не запускалось ни одной команды копирования;
Уменьшилось количество свободной оперативной памяти;
У файла изменился параметр дата/время;
Увеличился размер выполняемой программы;
Программа, которая всегда нормально работала, не загружается из-за нехватки оперативной памяти;
Загрузка программ занимает больше обычного времени;
Программа выполняется дольше обычного;
Лампочка дисковода зажигается тогда, когда к диску не должны происходить обращения;
Система не загружается с винчестера.
Что могут и чего не могут вирусы.
Для того, чтобы компьютер заразился вирусом, нужно, чтобы хотя бы раз выполнилась программа, содержащая вирус.
Поэтому первичное заражение компьютера вирусом происходит, если:
1) на компьютере была выполнена зараженная программа типа СОМ или ЕХЕ;
2) компьютер загружался с зараженной дискеты, содержащей зараженный загрузочный сектор;
3) на компьютере была установлена ОС или зараженный драйвер устройства.
Нет никаких оснований бояться заражения компьютера вирусом, если:
-на компьютер переписываются тексты программ, документов, информационные файлы баз данных или табличных процессоров;
-на незараженном компьютере копируют файлы с одной дискеты на другую;
-на компьютере обрабатываются информационные файлы, содержащиеся на дискетах.
Основные методы защиты:
Для защиты используются:
1) общие средства защиты информации:
а) копирование информации - создание копий файлов;
б) разграничение доступа - предотвращает несанкционированное использование информации, в частности, защиту от
изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
2) профилактические меры, позволяющие уменьшить вероятность заражения вирусом: избегание запуска непроверенных
и неизвестных программ, полученных из сомнительных источников;
3) специализированные программы для защиты от вирусов. За последние 2 года ситуация с вирусами существенно изменилась. Благодаря развитию средств обнаружения и удаления вирусов, а также возросшему уровню знаний глобальных эпидемий не возникает. На сегодняшний день существует много различных антивирусных пакетов . На территории СНГ целесообразно использовать отечественные антивирусные средства, т.к. они ориентированы на борьбу с вирусами, популярными на
отечественной территории.
Все антивирусные программы делятся на несколько видов:
1) программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса
комбинация байтов. При ее обнаружении на экран выводится соответствующее сообщение. Многие детекторы имеют возможность для удаления зараженных файлов.
2) программы- доктора - лечат зараженные программы или диски, выкусывая из зараженных программ тело вируса;
Программы-детекторы и доктора ( Aidstest, Dr.Web) позволяют обнаружить около 1000 вирусов, а всего их более 5000.
Некоторые программы (Norton AntiVirus) могут настраиваться на новые типы вирусов.
3) программы-ревизоры - сначала запоминают сведения о состоянии программ и системных областей дисков, а затем
сравнивают их состояние с исходным. О выявленных несоответствиях сообщается пользователю. Многие пользователи
включают команду запуска программы-ревизора в командный файл.
4)доктора-ревизоры- это программы, которые не только обнаруживают изменения в файлах и системных областях дисков,
но и могут в случае их изменения автоматически вернуть их в исходное состояние. В качестве примера докторов-ревизоров
можно привести комплексную антивирусную программу AVSP фирмы «Диалог-МГУ»
5)программы-фильтры располагаются в ОП компьютера и перехватывают те обращения к ОС, которые используются вирусами для размножения и нанесения вреда и сообщают о них пользователю.