Компьютерные вирусы и методы защиты от них

Мелешко Е.А., Бабич А.Я., Рахманов Д.Д.

Национальный авиационный университет

Компьютерные вирусы и методы защиты от них.

Начнем с определения, что же всё-таки такое вирус? Компьютерный вирус – это относительно небольшая по объему программа, которая способна внедрятся к другим программам, а затем различным образом вредить компьютеру. Когда мы запускаем такую «зараженную» программу, то сначала она передает управление вирусу. А тот в свою очередь находит и «инфицирует» другие программы, либо портит файлы, засоряет системный реестр и оперативную память. Также всем без исключения вирусам присуща способность к самовоспроизведению, то есть все они тем или иным образом используют код других программ. Это объясняется тем, что вирусу необходимо обеспечить себе передачу управления от программы-жертвы.

Классификация компьютерных вирусов

Все существующие компьютерные вирусы можно условно разделить на такие 3 групы:

- файловые вирусы. Такие вирусы заражают исполняемые файлы, однако это не всегда предполагает модификацию последних.

- загрузочные вирусы. Вирусы, заражающие загрузочные сектора дискет или винчестеров. Они загружаются каждый раз при начальной загрузке операционной системы.

- файлово-загрузочные вирусы. Вирусы совмещающие способности заражать как коды файлов так и загрузочных секторов.

Объекты атак вирусов

- Исполняемые файлы. Это файлы имеющие расширение exe и com, а также файлы загружаемые при выполнении других программ.

- Загрузочная запись жесткого диска и загрузчик операционной системы. Вирусы такого типа начинают работать при загрузке компьютера и прописываются в памяти компьютера. Распространяются они с помощью заражения загрузочных записей дискет.

- Драйвера устройств. Такие вирусы начинают работу только при использовании устройства с зараженным драйвером. Они очень мало распространены.

- Файлы документов, информационные файлы баз данных, таблицы табличных процессоров. Могут быть заражены макровирусами, которые используют возможность вставки в формат многих документов макрокоманд.

Сейчас приобрели распространение вирусы, которые меняют файловую систему на диске. Обычно они прячутся в последнем кластере диска и помечают его в таблице размещения файлов как конец файла. Для всех исполняемых файлов указатели на первый участок файла замещаются ссылкой на участок диска с вирусом, а сам правильный указатель кодируется и прячется в неиспользованной части каталога. Тогда после запуска любой программы в память загружается вирус

Чтобы предотвратить своё обнаружение, некоторые вирусы применяют довольно хитрые приёмы маскировки. Многие резидентные вирусы предотвращают своё обнаружение с помощью перехвата обращения DOS к зараженным файлам и областям диска и выдают их в незараженном виде. Но такой эффект можно наблюдать только на зараженном компьютере - на «чистом» компьютере изменения в файлах и загрузочных областях диска легко отслеживается.

Чтобы компьютер заразился вирусом, необходимо хотя бы один раз запустить программу, содержащую вирус. Значит, начальное заражение компьютера вирусом может произойти в следующих случаях:

- была запущена зараженная программа или зараженный модуль оверлейной программы;

- система загружался с дискеты, на которой находился зараженный загрузочный сектор;

- на машину была установлена зараженная операционная система или зараженный драйвер устройства;

Значит можно сделать вывод, что не нужно бояться заражения компьютера вирусом, в случае, если на компьютер переписываются тексты документов, информационные файлы баз данных или табличных процессоров. Так как файлы не являются программами, а следовательно они не могут быть заражены вирусом. Также считается безопасным копирование файлов с одного носителя на другой при «здоровом» компьютере.

Действия при заражении вирусом

Если появилось подозрение на заражение компьютерной системы вирусом, нужно придерживаться следующих правил:

I. Не стоит торопиться - опрометчивые действия могут привести не только к потере файлов, но и к повторному заражению компьютера.

II. Необходимо немедленно выключить компьютер, чтобы вирус не мог продолжать действовать.

III. Предпринимать все действия по обнаружению вирусов и лечению компьютера следует только запустив систему с защищённого от записи «эталонного» носителя с операционной системой, поскольку запуск лечения с зараженного диска будет сопровождаться новым инфицированием, а следовательно будет бессмысленным.

IV. В случае использования резидентной программы-фильтра наличие вируса в программах можно обнаружить на самом раннем этапе, когда вирус не успел ещё заразить другие программы и испортить какие-либо файлы.

Основные методы защиты от компьютерных вирусов

Антивирусная защита состоит из:

- общие средства защиты информации. Сюда входит копирование информации (создание копий системных областей дисков и файлов), и разграничение доступа (предотвращение несанкционированного использования информации).

- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

- специализированные программы для защиты от вирусов.

Общие средства защиты информации крайне важны для защиты от вирусов, но всё же их одних недостаточно. Должно иметь место применение специализированных программ для защиты от вирусов. Эти программы можно разделить на следующие виды:

Детекторы. Обнаруживают файлы, зараженные известными им вирусами.

Доктора. Очищают зараженные программы, удаляя из них тело вируса, тем самим восстанавливая программу в «здоровом» состоянии.

Ревизоры. Делают «снимки» состояния программ в их нормальном функционировании, а затем сравнивают при каждом новом запуске. При выявлении несоответствий сообщают пользователю.

Доктора-ревизоры. Совмещают в себе свойства ревизоров и докторов. Такие программы, не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.

Фильтры. Постоянно находятся в оперативной памяти компьютера и перехватывают обращения к системе, которые, по их мнению, используются вирусами для воспроизведения и нанесения вреда, и сообщают о них пользователю.

Вакцины. Изменяют программы и диски таким образом, что тот вирус, от которого производится вакцинация, считает их уже зараженными. На работу самих программ вакцинация не влияет.

Программы-доктора и детекторы

Почти всегда для обнаружения вируса, заразившего компьютер, можно найти уже готовые программы-детекторы. Они проверяют, имеется ли в файлах на диске специфическая для данного вируса комбинация байтов. При её обнаружении в каком-либо файле программа выводит соответствующее сообщение. Большинство детекторов имеют режимы лечения или уничтожения зараженных файлов. Но, следует заметить, что программы-детекторы могут находить только те вирусы, информация о которых занесена в их «базу». То есть они бесполезны против новых вирусов, которые им неизвестны. Таким образом, из того, что программа не опознаётся детекторами, ещё не следует вывод, что она здорова - в ней может быть спрятан какой-нибудь новый или модифицированная версия старого вируса.

Программы-ревизоры

Работа таких программ имеет две стадии. Сначала они фиксируют в памяти сведения о состоянии программ и системных областей дисков. Естественно предполагается, что в этот момент программы ещё не заражены. В дальнейшем с помощью всё той же программы можно сравнить состояние программ и системных областей дисков с исходным. В случае несоответствия пользователь будет информирован об этом.

Также можно обеспечить автоматический запуск программы при каждой загрузке операционной системы разместив команду запуска программы-ревизора в соответствующий командный файл.

Программы-фильтры

Эти программы располагаются резидентно в оперативной памяти компьютера и «перехватывают» те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. При каждом запросе не «подозрительного» действия на экран компьютера выводится сообщение о том, какое действие затребовано, и какая программа желает его выполнить. Можно либо разрешить выполнение этого действия, либо запретить его. Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, поскольку многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.