"компьютерные вирусы и борьба с ними". Методы борьбы с вирусами Средства и методы борьбы с компьютерными вирусами

Компьютерный вирус становится опасным только после запуска компьютером вирусной программы. Способность к самовоспроизводству является отличительным свойством живых организмов, но тысячи компьютерных вирусов научились размножаться и распространяться самостоятельно. Они могут самостоятельно заражать сотни компьютеров, реализуя другое свойство живых организмов – стремление к захвату новых территорий.

Для современных вирусов характерен так же и «инстинкт самосохранения» , который проявляется в том, что вирус пытается, прежде всего, повредить потенциально опасные антивирусные программы. В этом случае, работу компьютерных вирусов можно сравнить с главной проблемой конца XX начала XXI века, то есть с вирусом СПИДа. Он поражает в первую очередь иммунную систему организма, тем самым лишая организм возможности бороться за выживание.

Со временем, вирусы научились мимикрировать , то есть «притворяться» безопасными, даже полезными программами. Раньше это свойство считали характерным только для вируса животного мира.

Компьютерные вирусы уязвимы: самые простые и безобидные могут быть легко уничтожены антивирусными программами, в то время как более сильные и высокоорганизованные вирусы вполне могут и обойти защиту и успеть заразить ещё несколько компьютеров.

Естественно, вирусы, которые создаются на базе других, ранее созданных вирусов, более сильные и более приспособленные к новым условиям. И тем труднее найти на них управу. Но наше счастье в том, что в царстве компьютерных вирусов не реализовано несколько других важных свойств живых организмов: в частности, вирусы могут себя копировать, но ещё не научились самостоятельно мутировать. Пока не научились...

Пока у компьютеров отсутствует стремление к самосохранению и система, блокирующая потенциально опасные команды. Но это положение продлится недолго.

У крупнейших компаний есть предложения на создание операционной системы Nitix , которая сравнивается с иммунной системой человеческого организма. В этой системе безопасность поставлена на первое место.

Способ действия заключается в том, что если сети, управляемой системой Nitix , подключается компьютер, несущий вирус, пытающийся загрузить некий опасный код с определённого адреса, то система блокирует его действия. Дальше срабатывает принцип компьютерного иммунитета: система запоминает URL -адрес, с которого была проведена попытка заражения, и передаёт его копию на все машины, подключённые к сети, блокируя в дальнейшем все попытки обращения по этому адресу. То есть происходит изоляция компьютера от сети. Практически так же работает и иммунитет в человеческом организме. После контакта с вирусом в крови остаются антитела, которые мгновенно блокируют повторные попытки заражения. На этом и основан принцип вакцинации людей.

Если у человеческого организма есть хоть какая-то защита, то как же быть с компьютерами? Но не всё так плохо. На данный момент для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые называют антивирусами . Можно различить следующие виды этих программ:

  • Программы-детекторы
  • Программы-доктора или фаги
  • Программы-ревизоры
  • Программы-фильтры
  • Программы-вакцины ли иммунизаторы
  • Программы-сторожа

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующие сообщения. Но у этих программ есть существенный минус – они могут находить только те вирусы, которые известны разработчикам этих программ

Программы-доктора или фаги , а также программы-вакцины не только находят заражённые вирусами файлы, но и «лечат» их, удаляя из файла тело программы-вируса, тем самым, возвращая файлы в исходное состояние. Сначала фаги ищут вирусы в оперативной памяти, уничтожая их, и только потом приступают к «лечению» файлов. Среди фагов выделяются полифаги – программы-доктора предназначенные для поиска и уничтожения большого количества вирусов. Среди них наиболее известны: Doctor Web, Scan, Aidstest, Norton AntiVirus. Но у этих программ тоже есть минус – они быстро устаревают, а, следовательно, постоянно требуют обновления.

Программы-ревизоры (ревизор – значит проверяющий) можно отнести к наиболее надёжным средствам защиты компьютера от вирусов. Они запоминают исходное состояние программ, системных областей диска и компьютера, когда компьютер ещё не был заражён вирусом. Затем программа периодически или по желанию пользователя сравнивает текущее состояние с исходным. Обнаруженные изменения выводятся на монитор. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают Stealth -вирусы , могут очистить версии проверяемой программы от изменений, вносимых вирусом. Наиболее распространённая программа-ревизор – это Adinf .

Программы-фильтры или «сторожа» - небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе ПК, характерных для вирусов. Такими действиями могут быть:

  • Попытки коррекции файлов с расширениями СОМ, ЕХЕ.
  • Изменение атрибутов файла.
  • Прямая запись на диск по абсолютному адресу.
  • Запись в загрузочные сектора диска.

Программы-фильтры весьма полезны, так как они способны обнаружить вирус на самой ранней стадии его существования в ПК. Но они не способны «лечить» файлы. Поэтому для идеального использования и защиты ПК, нужно применять дополнительно и другие программы, способные уничтожить вирус. К недостаткам программ-сторожей относится их назойливость, а также возможны конфликты с другим программным обеспечением.

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Их применяют, если отсутствуют программы, «лечащие» тот или иной вид вируса. В настоящее время программы-вакцины имеют ограниченное применение.

Профилактика заражения компьютерными вирусами

Следует соблюдать следующие правила:

  1. Оснастите свой компьютер современными антивирусными программами и постоянно обновляйте их.
  2. Перед считыванием с носителей информации, записанной на других компьютерах, поверяйте эти носители на наличие вирусов, запуская антивирусные программы.
  3. При переносе на свой компьютер файлов в архивированном виде, поверяйте их сразу же после разархивации на жёстком диске, ограничивая область проверки только вновь записанными файлами.
  4. Периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищённых от записи дискет, предварительно загрузив операционную систему с защитой от записей с системной дискеты
  5. Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации.
  6. Обязательно делайте архивные копии на дискетах информации особенно ценной для Вас.
  7. Не оставляйте в кармане дисковода А дискеты при включении или перезагрузки оперативной системы, чтобы исключить заражение компьютера загрузочными вирусами.
  8. Используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.
  9. Проверяйте e-mail , даже если письмо пришло от хорошо известного вам человека (это обусловлено не тем, что он хочет Вам навредить, а из-за того, что он полный Lamer (бестолковый пользователь), а его комп заражён).

    10. Пользователи, здоровье Ваших компьютеров, сохранность Ваших данных в Ваших руках!

  10. Резервное копирование информации (создание копий файлов и системных областей жестких дисков);
  11. Избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются с компьютерными программами;
  12. Перезагрузка компьютера перед началом работы, в частности, с случае, если за этим компьютером работали другие пользователи;
  13. ограничение доступа к информации, в частности физическая защита носителей информации во время копирования файлов с неё;
  14. Разные антивирусные программы.

Способы противодействия компьютерным вирусам можно разделить на несколько групп:

профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;

методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;

способы обнаружения и удаления неизвестного вируса.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства - Фред Коэн.

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

«ложное срабатывание» (False positive) - детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин - «False negative», т.е. недетектирование вируса в зараженном объекте;

«сканирование по запросу» («on-demand»).- поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler);

«сканирование на-лету» («real-time», «on-the-fly») - постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Copyright МБОУ "Гимназия ¹ 75" г. Казань 2014

Исследование

Цели исследования:

выявить уровень знаний преподавателей и учащихся гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.

Практически каждый человек за свою жизнь много раз слышит слово «вирус» и даже сталкивается с ним на практике. Вирусы поражают организм человека, населяя его и активно размножаясь. Уже много веков человек ищет способы борьбы с вирусами. Однако полностью изжить их не удаётся. Стоит ли пытаться сделать это?

Вирус, как живой организм, принимает участие в круговороте веществ и процессов природы. Полностью истребить его – значит нарушить естественный баланс экологической системы мира. Но всё же человеку и животным он приносит достаточно серьёзные неприятности. Поэтому необходимо научиться сосуществовать с ними рядом и знать способы борьбы с размножением вируса в организме человека.

Доктор Вирус и мистер Хайд

История возникновения вируса

Вирус стал одним их первых жителей планеты Земля. Около трёх-четырёх миллионов лет назад, по мнению учёных, на Земле появились первые микроорганизмы. Ещё в те далёкие времена произошло разделение на животный и растительный мир. Однако считается, что первыми появились организмы, давшие жизнь растениям. Они более просты по своей структуре. Предполагается, что затем появились усложнённые микроорганизмы – одноклеточные животные .

Мнение учёных расходятся насчёт происхождения жизни на планете. Одни считают, что жизнь зародилась во льдах или водоёмах естественным путём, другие придерживаются мнения, что жизнь была принесена на Землю астероидами с других планет. Но достоверно знать, к сожалению, не может никто. Поэтому остаётся только рассматривать теории и выбирать ту, которая кажется наиболее достоверной. Но основной теорией появления вирусов считается мутация бактериальных клеток и усиление защитных функций этих микроорганизмов.

Иммунная система человеческого организма

Исследование вирусов человеком

Знание особенностей строения и жизнедеятельности вируса помогает найти эффективные способы борьбы с ним. Именно обнаружение вирусного организма и микроскопическое исследование его позволило человеку начать научное знакомство с этим удивительным и древним представителем фауны.

Несмотря на длительное существование вируса, человеком он был открыт относительно недавно. В конце XIX века русский учёный Ивановский Д.И., занимаясь изучением табачных растений, обнаружил микроорганизм, который вызывает табачную мозаику. Из публикации учёного видно, что в природе возникновения этого организма и его свойствах он до конца разобраться не смог. Однако он увидел связь между заболеванием растения и воздействием вируса. Он указывал, что они представляют собой «бактерии, проходящие через фильтр Шамберлана» . То есть обычная антибактериальная защита не является для них помехой.

Только через несколько лет после этих исследований голландский ботаник М. Бейеринк дал микроорганизму название «фильтрующийся вирус» . Также были обнаружены вирусы и при изучении причин ящура у крупного рогатого скота. Были проведены аналогии между возбудителями болезней растений и животных. Несколько позже были обнаружены вирусы, вызывающие болезни у человека. Первым открытым вирусом, опасным для него, стал вирус жёлтой лихорадки. Он был открыт в 1901 году. Затем в 1911 году был выявлен вирус саркомы Рауса – онкологического заболевания.

Развитие микробиологии позволило открыть множество других вирусов и изучить их свойства. Это помогло значительно повысить эффективность борьбы с ними. Сегодня учёные настолько много знают о них, что могут даже создавать их искусственно. В частности, был создан первый искусственный вирус (полиомиелита) в 2002 году. Это сделали специалисты Нью-Йоркского университета.

Структура вирусного организма

Как и любой другой представитель биологического сообщества, вирус имеет свою индивидуальную структуру. Она определяет особенности его поведения. Несмотря на различия между вирусными возбудителями разных инфекций, они имеют схожие черты, выделяющие их среди других микроорганизмов.

Примечательно, что вирус имеет гораздо меньшие размеры, чем бактерии. Потому они и способны проходить через антибактериальный фильтр. Размер вируса варьирует от нескольких десятков до трёхсот нанометров. Они недоступны для микроскопического исследования через световое оборудование. Именно это долгое время не позволяло их обнаружить даже при исследовании тканей заражённых организмов.

Место вируса в природном сообществе

В природном балансе вирусы имеют достаточно большое значение. Несмотря на вред для многих живых организмов, вирусы могут приносить и пользу своим хозяевам. Однако такая польза является побочным эффектов вирусной инфекции, но не первостепенной задачей самого микроорганизма.

Особенно в растительном мире известны случаи мирного сосуществования вирусов и . При этом вирусы могут поражать организм одного своего хозяина для облегчения жизни другого, восстанавливая природное равновесие и сохраняя обменную (пищевую) цепочку между представителями флоры и фауны.

Можно выделить несколько примеров такого поведения вирусов:

  • Вирус табачной мозаики поражает не только растения табака, но и плодовую мушку, которая им питается. Таким образом, продлевая жизнь мушки и её плодовитость (принося пользу), вирус вредит растениям;
  • Вирус, поражающий грибок, который размножается в траве возле геотермальных источников, позволяет растению выживать в условиях повышенной температуры. Это выгодно вирусному организму для сохранения хозяина в труднодоступных для истребления местах, где температура достигает 50 градусов по Цельсию;
  • Некоторые вирусы защищают организм хозяина от проникновения и размножения в организме других вирусных агентов. Вирус охраняет свою территорию и в некоторых случаях не приносит значительного вреда хозяину для сохранения места проживания.

Пути передачи вирусов

Кожа человека обладает достаточно сложными защитными механизмами и не позволяет вирусам проникать в организм. Однако она нередко травмируется. В этом случае вирус находит входные ворота для попадания внутрь. Причём вирус может проникнуть как в момент травмы, так и позже в период снижения защитных функций повреждённой кожи. Часто происходит заражение крови при инъекциях нестерильными шприцами или укусах животных-переносчиков.

Вирусы могут поражать весь организм, углубляясь в ткани, а также быть причиной кожных заболеваний, образуя местные опухоли и новообразования. Например, происхождение некоторых видов бородавок имеет вирусную природу. Также известен вирусный контагиозный моллюск, поражающий кожу. Оба эти вируса передаются через микротравмы кожи и становятся причиной заболевания.

Передаваться вирусы могут также от больных животных. Часто причиной становится употребление заражённого мяса или тесный контакт с заражёнными особями. Хотя существуют и вирусы, которые не способны передаваться между видами. Такие микроорганизмы для человека и других животных относительно безопасны. Чаще всего человек заражается, употребляя мясо крупного рогатого скота и домашней птицы. Но известны вирусы, которые разносятся дикими животными, например, голубями. Кроме того, при укусах заражённых млекопитающих передаётся вирус бешенства и другие.

Несмотря на многочисленные возможности заражения вирусными инфекциями, человек научился бороться со многими из них. Поэтому в некоторых случаях удаётся предотвратить развитие эпидемии и приостановить размножение вируса.
Методы борьбы с вирусом и профилактика

Сегодня борьба с вирусами приобретает особую актуальность. В связи с изменениями состава атмосферного воздуха и организма человека, вирусы успешно мутируют в те формы, с которыми человек ещё не умеет бороться. Существует огромное количество противовирусных средств. Но даже медики часто замечают снижение эффективности этих препаратов для преодоления инфекции. Для уничтожения вируса с каждым годом нужны всё большие дозы лекарств или же новые средства. Можно отметить и то, что вирус мутирует и приспосабливается порой гораздо быстрее человека.

Однако прогрессивные технологии позволяют относительно быстро находить средства борьбы с вирусной инфекцией и вакцины против их возникновения. Кстати, вакцинация населения является одним из наиболее эффективных способов предотвращения эпидемий вирусных инфекций. Хотя качество вакцин и безопасность для человека не может быть гарантирована, так как они не так давно изобретены. Часто возникают различные побочные эффекты, аллергии и другие реакции организма.

Некоторые вирусы требуют также хирургического вмешательства для устранения очага инфекции. В частности, представителей контагиозного моллюска или папилломатозные образования (ВПЧ) необходимо удалять хирургическим путём. После удаления проводят иммуномодулирующую терапию, которая направлена на восстановление защитных функций организма. Любой вирус опасен тем, что вызывает подавление иммунной системы, подвергая организм опасности заражения любыми заболеваниями. Особенно этим отличается ВИЧ. Поэтому с ним так сложно бороться и поддерживать жизнеспособность пациента.

Вирусы являются достаточно опасными формами жизни

В связи с возможностью передачи вируса даже по воздуху или через слизистые оболочки следует укреплять свое здоровье и избегать сомнительных контактов. Беспорядочные половые связи и тесное взаимодействие с больным человеком может привести к заражению. При этом человек может даже не знать о том, что имеет заболевание, и вести самый обычный образ жизни. Поэтому лучше всегда быть осторожными в общении, а также заботиться о себе и своих близких.

Обезвреживание вирусов

Не исключено, что после выявления вируса его можно будет удалить и восстановить исходное состояние зараженных файлов и загрузочных записей, свойственное им до «болезни». Этот процесс называется обезвреживанием (дезинфекцией, лечением).

Некоторые вирусы повреждают поражаемые ими файлы и загрузочные записи таким образом, что их успешная дезинфекция невозможна. Не исключено также, что детектор одинаково идентифицирует два различных вируса, поэтому дезинфицирующая программа будет эффективна для одного вируса, но бесполезна для другого.

Дезинфицирующие программы изменяют ваши программы, поэтому они должны быть очень надежными.

Меры профилактики

Рассмотренные выше методы могут применяться с помощью различных способов. Одним из общепринятых методов является использование программ, которые тщательно обследуют диски, пытаясь обнаружить и обезвредить вирусы. Возможно также использование резидентных программ DОS, постоянно проверяющих вашу систему на вирусы. Резидентные программы имеют следующее преимущество: они проверяют все программы на вирусы при каждом их выполнении. Резидентные программы должны быть очень тщательно разработаны, т.к. иначе они будут задерживать загрузку и выполнение программ.

Нерезидентные программы эффективны при необходимости одновременного обследования всей системы на вирусы и их обезвреживания. Они представляют собой средство, дополняющее резидентные программы.

Вы должны помнить о необходимости регулярного выполнения антивирусной программы. К сожалению, как показывает опыт, об этом часто забывают. Пренебрежение профилактическими проверками вашего компьютера увеличивает риск инфицирования не только вашей компьютерной системы, но и распространения вируса на другие компьютеры. И не только через дискеты, вирусы прекрасно распространяются и по локальным сетям.

Чтобы впоследствии избежать головной боли, лучше всего обеспечить автоматическое выполнение антивирусной программы. В этом случае программа будет защищать ваш компьютер, не требуя от вас каких-либо явных действий. Для обеспечения такой защиты можно при запуске системы установить резидентные антивирусные программы, а также использовать нерезидентные программы, выполняемые при запуске или периодически в указанное время.

Как правильно лечить?

Прежде всего, перезагрузите компьютер, нажав кнопку Rеsеt. Такая перезагрузка называется «холодной», в отличие от «теплой», вызываемой комбинацией клавиш Сtrl-Аlt-Dеl. Существуют вирусы, которые спокойненько выживают при «теплой» перезагрузке.

Загрузите компьютер с дискеты, защищенной от записи и с установленными антивирусными программами. Необходимость хранить антивирусный пакет на отдельной защищенной дискете вызвана не только опасностью заражения антивирусных программ вирусом. Частенько вирус специально ищет на жестком диске программу-антивирус и наносит ей повреждения.

Старайтесь почаще обновлять ваши антивирусные программы. Причем как отечественные, так и импортные. Отечественные - потому что у нас пишут вирусы все кому не лень и, чтобы быстро разработать антивирусную программу, надо жить здесь. Импортные - потому что все сильнее сливаются «наше» и «их» информационные пространства, все больше западных вирусов проникает к нам по глобальным компьютерным сетям.

При обнаружении зараженного файла желательно скопировать его на дискету и лишь затем лечить антивирусом. Это делается для того, чтобы в случае некорректного лечения файла, что, к сожалению, случается, попытаться полечить файл другим антивирусом.

Если вам понадобилась программа из ваших старых архивов или резервных копий, не поленитесь проверить ее. Не рискуйте. Лучше преувеличить опасность, чем недооценить ее.

Классификация вирусов по деструктивным возможностям

По деструктивным возможностям вирусы можно разделить на следующие:

  • 1. Базовые, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).
  • 2. Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графически и пр. эффектами.
  • 3. Опасные вирусы, которые могут привести к серьезным ошибкам и сбоям в работе.
  • 4. Очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Безвредные вирусы, как правило, производят различные визуальные или звуковые эффекты. Диапазон проявления безвредных вирусов очень широк - от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирус Саsсаdе-1701).

Выполняемые вредными вирусами деструктивные функции тоже чрезвычайно разнообразны. В процессе своего распространения некоторые вирусы повреждают или искажают некоторые выполняемые программы, дописывая в начало уничтожаемой программы некий код без сохранения исходной последовательности байт. Некоторые вирусы при определенных условиях выполняют форматирование диска, точнее его нулевой дорожки, тем самым уничтожая важную информацию о хранящихся на диске файлах. Другие через определенные (как правило, случайные) промежутки времени перезагружают компьютер, приводя к потере несохраненных данных. В последнее время появилось огромное количество вирусов, направленных на борьбу с антивирусными программами. Некоторые из них при просмотре каталогов ищут программы, в именах которых имеются фрагменты, характерные для антивирусных программ (АNTI, АIDS, SСАN), и при обнаружении таковых пытаются нанести им какой-либо вред: стереть с диска, изменить код в теле программы и др.

Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки СMОS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIОS, а также BООT-вирусы, активизирующиеся еще до запуска антивируса, в начальной стадии загрузки DОS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Аidstеst, Dосtоr Wеb, MiсrоSоft АntiVirus. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. При этом проверяется состояние BООT-сектора, таблицы FАT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

К последней группе относятся самые неэффективные антивирусы вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

  • - обнаружение вирусов в КС;
  • - блокирование работы программ-вирусов;
  • - устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их

внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отмстить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

  • - удаление вирусов;
  • - восстановление (при необходимости) файлов, областей памяти.

Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении нс сохраняют информацию, на место которой они помещаются в память, а также если вредные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно- программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, которые разделяют на методы обнаружения и удаления вирусов.

Из методов обнаружения вирусов выделяют:

  • - сканирование;
  • - обнаружение изменений;
  • - звристический анализ;
  • - использование резидентных сторожей;
  • - вакцинирование программ;
  • - аппаратно-программная защита от вирусов.

Сканирование - один из самых простых методов обнаружения

вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.

Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.

Самой известной программой-сканером в России является Aid- stest Дмитрия Лозинского.

Метод обнаружения изменений базируется на использовании программ-рсвизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-рсвизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдаст сведения о предположительном наличии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, объемы установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор Adinf, разработанная Д.Ю. Мостовым, работает с диском непосредственно по секторам через BIOS. Это не позволяет использовать «стелс»-вирусам возможность перехвата прерываний и «подставки» для контроля нужной вирусу области памяти.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Про1раммы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.

Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации и файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ. Технологический процесс применения резидентных сторожей осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдаст сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки «подозрительных» программ, а также для контроля всех поступающих извне файлов (со сменных дисков, в сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей. Примером резидентного сторожа может служить программа Vsafe, входящая в состав MS DOS.

Под вакцинацией программ понимается создание специального модуля для контроля се целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стелс»-вирусов.

Блокирование работы программ-вирусов осуществляется применением аппаратно-программных антивирусных средств. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

При выполнении запретных действий любой программой контроллер выдаст соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

  • - работают постоянно;
  • - обнаруживают все вирусы, независимо от механизма их действия;
  • - блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один - зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.

Примером агшаратно-про1раммной защиты от вирусов может служить комплекс Sheriff.

В процессе удаления последствий заражения вирусами осуществляется удаление вирусов, а также восстановление файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов антивирусными программами.

Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания.

Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход - уничтожить файл и восстановить его вручную.

Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить в ОС.

Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной.

Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус One Half перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске. Для этого необходимо знать механизм действия вируса.

Для борьбы с вирусами существуют программы, которые можно классифицировать по основным группам: мониторы, детекторы, доктора, ревизоры и вакцины.

Программы-мониторы (иначе называемые программы-фильтры) располагаются резидентно в оперативной памяти компьютера, перехватывают и сообщают пользователю об обращениях операционной системы, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относят возможность обнаружения неизвестных вирусов. Это актуально при наличии самомодифицирующихся вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера.

Недостатками программ являются:

а) невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS;

б) частая выдача запросов на выполнение операции.

Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При её обнаружении выводится соответствующее сообщение. Однако если программа не опознаётся детекторами как заражённая, то возможно в ней находится новый вирус или модифицированная версия старого, неизвестного программе-детектору.

Программы-доктора восстанавливают заражённые программы путём удаления из них тела вирусов. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояния загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

Программы-вакцины модифицируют программы и диски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже заражёнными.

Существующие антивирусные программы в основном относятся к классу гибридных программ (детекторы-доктора, доктора-ревизоры и др.)

При заражении или при подозрении на заражение компьютера вирусом необходимо:

1. Оценить ситуацию и не предпринимать действий, приводящих к потере информации. Если вы не обладаете достаточными знаниями и опытом, лучше обратиться к специалистам.

2. Перезагрузить ОС компьютера. При этом использовать специальную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жёсткого диска компьютера.


3. Запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.

К антивирусным программам, получившим распространение в России, странах СНГ и за рубежом, относят программы фирм Symantec (Norton Anti-virus), Network Associates (Doctor Solomon) и отечественных фирм – Лабо-ратории Касперского (AntiViral Toolkit Pro) и ДиалогНаука (ADinf, Dr.Web).

Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер , резидентный сторож AVP Монитор, программу администрирования установленных компонент AVP Центр Управления и ряда других.

AVP Сканер , помимо традиционной проверки выполняемых файлов и фай-лов документов, обрабатывает базы данных электронной почты форматов MS Outlook, Exchange и текстовых почтовых форматов Netscape Navigator, SMTP/POP3 server и др. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищённых паролями). Обна-руживает и удаляет макровирусы, полиморфные, стелс, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счёт использования эвристи-ческих анализаторов. Такие анализаторы моделируют работу процессора и вы-полняют анализ действий диагностируемого файла. В зависимости от этих Дей-ствий и принимается решение о наличии вируса.

AVP Монитор – контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.

AVP Центр Управления – сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.