Тема. Компьютерные вирусы

1. Классификация компьютерных вирусов

1.1. Файловые вирусы

1.2. Загрузочные вирусы

2. Методы и средства борьбы с вирусами

3. Профилактика заражения вирусами

«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения в компьютерных системах. Вирусам свойственно изменение и уничтожение ПО или данных, хранящихся в вычислительных системах. Помимо этого, в процессе распространения вирусы могут себя модифицировать.

На сегодняшний день в мире насчитывается свыше 40 тысяч зарегистрированных компьютерных вирусов.

Компьютерные вирусы (КВ) классифицируются по следующим признакам:

Ê по среде обитания;

Ê по способу заражения;

Ê по степени опасности деструктивных (вредительских) воздействий;

Ê по алгоритму функционирования.

По среде обитания вирусы делятся на:

F сетевые;

F файловые;

F загрузочные;

F комбинированные.

Сетевые вирусы распространены как элементы компьютерных сетей.

Файловые – размещаются в исполняемых файлах.

Загрузочные – в загрузочных секторах внешних ЗУ (boot-секторах).

Комбинированные – размещаются в нескольких средах обитания. Такие вирусы размещаются как в загрузочных секторах на магнитных дисках, так и в теле загрузочных файлов.

По способу заражения среды обитания КВ делятся на:

F резидентные;

F нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из сети, загрузочного сектора, файла в оперативную память ЭВМ.

Нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, считается нерезидентным. Вредительские действия КВ зависят от целей и квалификации их создателей.

По степени опасности для информационных ресурсов пользователя КВ подразделяются на: безвредные; опасные; очень опасные .

Безвредные – не приносящие ущерб ресурсам компьютерных систем. Результатом действия таких вирусов является вывод на экран невинных текстов, картинок, исполнение музыкальных фрагментов и т.п. Но при всей безобидности такие вирусы приводят к расходу ресурсов системы, снижая эффективность ее функционирования. Помимо этого, при модернизации операционной системы или аппаратных средств вирусы, созданные ранее, могут привести к нарушениям штатного алгоритма работы системы.

Опасные – вызывающие существенное снижение эффективности компьютерной системы, но не приводящие к нарушению целостности и конфиденциальности информации. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи.

Очень опасные – вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, блокирование доступа к информации, отказ аппаратных средств. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, шифруют данные и т.д.

Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных ЗУ.

В последнее время наблюдается воздействие на психику человека-оператора ЭВМ с помощью подбора видеоизображения с определенной частотой (каждый 25-й кадр). Такие встроенные кадры наносят серьезный ущерб психике человека.

Согласно особенностям алгоритма функционирования вирусы можно разделить на два класса:

1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, которые, в свою очередь, делятся на две группы:

· вирусы-«спутники» (companion);

· вирусы-«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия – в создании копий исполняемых файлов.

Например. В MS DOS такие вирусы создают копии для файлов с расширением.EZE. Копия остается с тем же именем, а расширение изменяется на.COM. При запуске с общим именем операционная система загружает первым файл с расширением.COM , являющийся программой-вирусом. Файл-вирус запускает затем файл с расширением.EZE.

Вирусы-«черви» не изменяют файлов и не записываются в загрузочные секторы дисков. Они попадают в рабочую станцию по сети и рассылаются далее по другим абонентам сети. Одни вирусы-«черви» создают рабочие копии вируса на диске, другие – размещаются только в оперативной памяти ЭВМ.

2) вирусы, изменяющие среду обитания при распространении, делятся на:

• студенческие;
• «стелс» - вирусы (вирусы-невидимки);
• полиморфные.

Студенческие – нерезидентные, содержат ошибки, которые легко обнаружить и удалить.

«Стелс» - вирус – резидентный, маскируется под программы ОС, может перемещаться в памяти, активизируется при возникновении прерываний, выполняет определенные действия, в том числе и по маскировке, и только затем управление передаётся на программы ОС, обрабатывающие эти прерывания. Вирусы-невидимки способны противодействовать резидентным антивирусным средствам.

Полиморфные – не имеют постоянных опознавательных групп – сигнатур (двоичная последовательность или последовательность символов), однозначно идентифицирующих зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов с тем, чтобы избежать многократного заражения одних и тех же объектов, которые могут повысить вероятность обнаружения вируса.

«Стелс» - вирусы и полиморфные создаются квалифицированными специалистами, которые хорошо знают работу аппаратных средств и операционной системы и владеют навыками с машиноориентированными системами программирования.

Удобство работы с известными вирусами предоставляют каталоги вирусов, где содержатся сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие деструктивной функции и ошибки.

Файловые вирусы – могут внедряться только в исполняемые файлы: командные файлы (состоящие из команд ОС), саморазархивирующиеся файлы, пользовательские и системные программы, документы (таблицы), имеющие макрокоманды. Вирус может внедряться в файлы следующих типов: командные (BAT), загружаемые драйверы (SYS), программы в машинных кодах (EZE, COM), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS).

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.

Заголовок вируса

В начало файла вирус внедряется одним из трех способов:

1. начало файла переписывается в конец, а вирус занимает освободившееся место;

2. считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла;

3. вирус записывается в начало файла без сохранения содержимого, что приводит к неработоспособности файла.

В середину файла вирус внедряется следующими способами: файл «раздвигается» и в освободившееся место записывается вирус; а также вирус внедряется в середину файла без сохранения участка файла, на место которого поместился вирус. Например, вирус “ Mutant ” применяет метод сжатия отдельных участков файла, при этом первоначальная длина файла после внедрения вируса не изменяется.

Внедрение вируса в конец файла наиболее распространено. Как и в случае внедрения вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса.

Особое место среди файловых вирусов занимают макровирусы, представляющие собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др. (редакторы MS Word, MS Office, MS Excel, использующие макроязыки Word Basic, Visual Basic).

Загрузочные вирусы заражают загрузочные (Boot) сектора гибких дисков и Boot – сектора или Master Boot Record (MBR) жестких дисков.

Заголовок вируса Тело вируса

Загрузочные вирусы являются резидентными. Заражение происходит при загрузке ОС с дисков. Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в ОП, заражает загрузочные сектора всех гибких дисков, а не только системные диски. Если диск был заражен, то этого достаточно для заражения ЭВМ. Чаще всего это происходит при перезагрузке ОС после «зависания» или отказов ЭВМ.

Методы и средства борьбы с вирусами

Антивирусные средства применяются для решения таких задач, как:

F обнаружение вирусов в компьютерных системах;

F блокирование работы программ-вирусов;

F устранение последствий программ-вирусов.

При обнаружении вируса необходимо сразу прекратить работу программы –вируса, чтобы минимизировать ущерб от его воздействия. Следует заметить, что не существует антивирусных средств, которые гарантировали бы обнаружение всех возможных вирусов. Для борьбы с вирусами используются программные, аппаратно-программные средства, которые применяются в определенной последовательности и комбинации. Существуют методы обнаружения и методы удаления вирусов.

К методам обнаружения вирусов относятся:

ü сканирование – самый простой метод обнаружения ошибок. Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Самой известной программой-вирусом в России является Aidstest Дмитрия Лозинского;

ü обнаружение изменений – осуществляется программами-ревизорами, которые определяют и запоминают характеристики всех областей на дисках, где обычно размещаются вирусы. Программы-ревизоры запоминают в специальных файлах области главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, контролируют объем установленной оперативной памяти и т.д.

Достоинство – возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Программы-ревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор Adinf , разработанная Д.Ю.Мостовым, работает с диском непосредственно по секторам через BIOS.

Недостаток – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы обнаруживаются только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы подвергнуты частым изменениям.

ü эвристический анализ – для обнаружения вирусов используется не так давно. Сущность эвристического анализа – в проверке возможных сред обитания вирусов и выявлении в них команд таких, как команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. При их обнаружении эвристические анализаторы выдают сообщение о возможном заражении. Такой анализатор имеется в антивирусной программе Doktor Web .

ü использование резидентных сторожей - основан на применении программ, постоянно находящихся в ОП ЭВМ. При выполнении какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентным сторожем пользователю выдается сообщение. Недостаток – выдача большого процента ложных тревог, что отрицательно сказывается на работе пользователя. Примером данного метода является программа Vsafe , входящая в состав MS DOS.

ü вакцинирование программ – это создание специального модуля для контроля ее целостности. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и выдает об этом сообщение. Данный метод обнаруживает все вирусы, за исключением «стелс»-вирусов.

ü аппаратно-программная защита – самая надежная защита от вирусов. Для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускаются. Следовательно, установить защиту можно на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

Преимущества аппаратно-программных антивирусных средств перед программными следующие:

e работают постоянно;

e обнаруживают все вирусы, независимо от механизма их действия;

e блокируют запрещенные действия, вызванные работой вируса или неквалифицированным пользователем.

Недостаток – зависимость от аппаратных средств ПЭВМ, так как их изменение ведет к необходимости замены контроллера.

Примером аппаратно-программной защиты является комплекс Sheriff .

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

Обнаружение вирусов в КС;

Блокирование работы программ-вирусов;

Устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных действий вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

Удаление вирусов;

Восстановление (при необходимости) файлов, областей памяти.

Восстановление системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу деструктивных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, подразделяемые на:

Методы обнаружения вирусов;

Методы удаления вирусов.

Методы обнаружения вирусов:

- сканирование (осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называют полифагами). Пример – Aidstest Дмитрия Лозинского;

- обнаружение изменений (базируется на использовании программ-ревизоров, которые определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков, по результата которых программа выдает сообщение о предположительном наличии вирусов. Недостатки метода – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными; вирусы будут обнаружены только после размножения в системе);

- эвристический анализ (позволяет определить неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе. Сущность метода – проверка возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов (команды создания резидентных модулей в ОП, команды прямого обращения к дискам, минуя ОС);

- использование резидентных сторожей (основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ: при выполнении каких-либо подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Недостаток – значительный процент ложных тревог, что мешает работе и вызывает раздражение пользователя);

- вакцинирование программ (создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в т.ч. и незнакомые, за исключением «стелс»-вирусов);

- аппаратно-программная защита от вирусов (самый надежный метод защиты. В настоящее время используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Можно устанавливать защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.).

Достоинства программно-аппаратных средств перед программными:

Работают постоянно;

Обнаруживают все вирусы, независимо от механизма их действия;

Блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один – зависимость от аппаратных средств ПЭВМ, изменение которых ведет к необходимости замены контроллера.

Методы удаления последствий заражения вирусами:

Существует два метода удаления последствий воздействия вирусов антивирусными программами:

первый – предполагает восстановление системы после воздействия известных вирусов (разработчики программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания);

второй – позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами (для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход – уничтожить файл и восстановить его вручную).

Компьютерный вирус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Как правило, целью вируса является нарушение работы программно-аппаратных комплексов: удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей или же приведение в негодность аппаратных комплексов компьютера и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют некоторые другие ресурсы системы.

В обиходе «вирусами» называют всё вредоносное ПО, хотя на самом деле это лишь один его вид.

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае1970 года.

Термин «компьютерный вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер и, вероятно, это и было то, что впервые было правильно обозначено как вирус.

Вредоносное ПО может образовывать цепочки: например, с помощью эксплойта (1) на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя

История

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты —CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins ). В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTECT — первыйрезидентный антивирус.

Первые вирусные эпидемии относятся к 1986—1989 годам: Brain.A (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton AntiVirus.

В 1992 году появились первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Officeполучили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 — Win95.Boza, а в декабре того же года — первый резидентный вирус для неё — Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы.

Обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft — более 16 млн систем), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно.

В начале на основе троянских программ, а с развитием технологий p2p-сетей — и самостоятельно — набирает обороты самый современный вид вирусов — черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008—2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

Типы вирусов

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

Через интернет, локальные сети и съемные носители.

Вирусы распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

Каналы распространения

• . Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
• . Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играютмобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
• . Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
• . Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
• . Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого:скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
• . Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. . Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Признаки заражения

• . автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
• . блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
• . появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows);
• . появление в ветках реестра, отвечающих за автозапуск, новых записей;
• . запрет на изменение настроек компьютера в учётной записи администратора;
• . невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
• . появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
• . перезапуск компьютера во время старта какой-либо программы;
• . случайное и/или беспорядочное отключение компьютера;
• . случайное аварийное завершение программ.
• . подача непредусмотренных звуковых сигналов;
• . неожиданное открытие и закрытие лотка CD-ROM-устройства;
• . произвольный запуск на компьютере каких-либо программ;
• . появление предупреждений о самопроизвольной попытке какой-либо программы компьютера выйти в Интернет .

При проявлении описанных признаков с большой степенью вероятности можно предположить, что компьютер поражен вирусом. Кроме того, есть характерные признаки поражения вирусом через электронную почту :

• . друзьям или знакомым приходят сообщения от вас, которые вы не отправляли;
• . в почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов, иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Имеются косвенные признаки заражения компьютер а:

• . частые зависания и сбои в работе компьютера;
• . медленная работа компьютера при запуске программ;
• . невозможность загрузки операционной системы ;
• . исчезновение файлов и каталогов или искажение их содержимого;
• . частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
• . Интернет-браузер ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных признаков вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку компьютера установленной на нем антивирусной программой

Однако следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.

Жизнь - борьба

Абсолютной защиты от вредоносных программ не существует: от «эксплойтов нулевого дня» наподобие Sasser или Conficker не застрахован никто. Но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:

• . использовать операционные системы, не дающие изменять важные файлы без ведома пользователя;
• . своевременно устанавливать обновления;
  • если существует режим автоматического обновления, включить его;
  • для проприетарного ПО: использовать лицензионные копии. Обновления для двоичных файлов иногда конфликтуют со взломщиками;
• . помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающеепроактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, ещё не внесенные в антивирусные базы). Однако, его использование требует от пользователя большого опыта и знаний;
• . постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки. Но это не защитит персональные данные от вредоносных (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, ransomware [шифрующий файлы] , шпионского ПО) и потенциально-нежелательных программ (Adware, Hoax ), имеющих доступ к файлам пользователя, к которым ограниченная учетная запись имеет разрешение на запись и чтение (например, домашний каталог — подкаталоги /home в GNU/Linux, Documents and settings в Windows XP, папка «Пользователи» в Windows 7,8,8.1,10), к любым папкам, в которые разрешена запись и чтение файлов, или интерфейсу пользователя (как делают пользовательские программы для создания снимков экрана или изменения раскладки клавиатуры);
• . ограничить физический доступ к компьютеру посторонних лиц;
• . использовать внешние носители информации только от проверенных источников на рабочем компьютере;
• . не открывать компьютерные файлы, полученные от ненадёжных источников, на рабочем компьютере;
• . использовать межсетевой экран (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;
• . использовать второй компьютер (не для работы) для запуска программ из малонадежных источников, на котором нет ценной информации, представляющей интерес для третьих лиц;
• . делать резервное копирование важной информации на внешние носители и отключать их от компьютера (вредоносное ПО может шифровать или ещё как-нибудь портить найденные им файлы).

Следует придерживаться некоторых мер предосторожности, в частности:

1. . Не работать под привилегированными учётными записями без крайней необходимости. (Учётная запись администратора в Windows)
2. . Не запускать незнакомые программы из сомнительных источников.
3. . Стараться блокировать возможность несанкционированного изменения системных файлов.
4. . Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. . Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. . Пользоваться только доверенными дистрибутивами.
7. . Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.
8. . Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Антивирусы

Антивирус Касперского — это программа предназначена для обычных пользователей и очень простая в использования для продвинутых пользователей. Максимальная независимая испытательная лаборатория дала им очень высокий рейтинг. Данная антивирусная программа обладает удобным пользовательским интерфейсом и охватывает все этапы онлайн и офлайн защиты для компьютера или ноутбука. Почасовое обновление базы данных если есть подключение к интернету.

Norton Antivirus является одним из самых возрастных и популярных антивирусных программ для компьютерной безопасности. Их последняя версия позволяет отображать беспроводную домашнюю сеть и гарантирует безопасные сетевые соединения Wi-Fi в режиме реального времени. Они обеспечивают ежедневное обновления вирусной базы, но очень плохую поддержку P2P File Sharing и реестра Startup защиты компьютера.

AVG является одним из старейших и широко используемых антивирусных программ безопасности. Они предлагают удобный и понятный пользовательский интерфейс для обычных пользователей, где заранее пользователи могут использовать их заготовленные функции. Это позволяет осуществить мульти защиту в поисковых системах.

McAfee является одной из первых антивирусных программ которая была введена в ранний период. У них есть 2 слоя защиты системы, такие как ScriptStopper и WormStopper, но они имеют низкую поддержку P2P совместного использования файлов, Instant Messenger (чат) и реестр Startup сканирования.

Dr.Web ( Доктор Веб ) — общее название семейства программного антивирусного ПО для различных платформ (Windows, OS X, Linux, мобильные платформы) и линейки программно-аппаратных решений (Dr.Web Office Shield), а также решений для обеспечения безопасности всех узлов корпоративной сети (Dr.Web Enterprise Suite). Разрабатывается компанией «Доктор Веб».

Продукты предоставляют защиту от вирусов, троянского, шпионского и рекламного ПО, червей, руткитов, хакерских утилит, программ-шуток, а также неизвестных угроз с помощью различных технологий реального времени и превентивной защиты.

ESET NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года. Название изначально расшифровывалось как «Nemocnica na Okraji Disku» («Больница на краю диска», перефраз названия популярного тогда в Чехословакии телесериала «Больница на окраине города»).

NOD32 — это комплексное антивирусное решение для защиты в реальном времени. ESET NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, фишинг-атаки. В ESET NOD32 используется патентованная технология ThreatSense, предназначенная для выявления новых возникающих угроз в реальном времени путём анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.

Microsoft Security Essentials (MSE) — бесплатный пакет антивирусных приложений от компании Microsoft, предназначенный обеспечивать борьбу с различными вирусами, шпионскими программами, руткитами и троянскими программами. Данное программное обеспечение работает только на компьютерах, где установлена копия Windows Vista,Windows 7), прошедшая валидацию. Антивирус Microsoft Security Essentials пришёл на замену Windows Live OneCare (коммерческая антивирусная программа от Microsoft)/

Ложные антивирусы или как его еще называют - лже-антивирусы, сегодня являются одним из активно набирающих популярность способов интернет-мошенничества. Суть его заключается в том, чтобы заставить пользователя заплатить деньги за программу, которая якобы удалит с компьютера очень опасные вирусы и защитит в дальнейшем ПК пользователя от различных угроз. И все бы ничего, если бы программа, которую предлагалось купить не была бы "пустышкой". На западе такой вид программного обеспечения называют Rogue Anti-Virus (или rogueware) - ложное ПО.

Ложный антивирус - это программа, которая маскируется под настоящий антивирус. При этом, заплатив за нее деньги, пользователь в лучшем случае получает абсолютно бесполезную утилиту, в худшем - самый настоящий настоящий вирус или троян, который крадет у него данные кредитных карт и прочую конфиденциальную информацию. Устанавливая лже-антирус на ПК, вы по сути добровольно заражаете свой компьютер.

Типичные представители ложных антивирусов известны под именами: Online Antivirus XP-Vista 2009, XP Antivirus 2009, Vista Antivirus 2008, Doctor Antivirus, Virus Remover 2009, Personal Antivirus, Malware Doctor и другими.

Случилось. Нежелательный кусок вредоносного программного обеспечения проник и запущен на вашем компьютере.

Что же делать в случае заражения компьютера вредоносным ПО? Предоставляем на ваш выбор множество полезных инструментов для самостоятельной борьбы с вредоносными программами.

Хотя каждая из этих угроз имеет свои собственные определения, часто используемые одинаковые термины взаимозаменяемые но могут означать разные вещи для разных ситуаций.

вредоносные программы это все то что мешает нормально работать и безопасно пользоваться интернетом

С таким количеством вредоносных программ и множеством различных системных настроек, мы не можем охватить каждый конкретный случай. Но мы можем дать вам несколько общих направлений, чтобы помочь вам найти нужную вам помощь.

Что делать в первую очередь, если вирус попал на компьютер

Первый шаг заключается в том, что бы выявить какая у вас есть проблема. Когда вредоносная программа внедряется, вы иногда получаете сообщение об ошибке, иногда и этого не происходит.

Поэтому следите за произошедшими изменениями, такими как замедление в работе системы, веб-браузер, открывающий бесконечные всплывающие окна или его заторможенность, и и вызывают сбой.

У большинства машин есть какая-то , даже если это просто инструмент Защитника Windows, встроенный в Windows 10.

Windows защитник предлагает квалифицированную базовую защиту от вредоносных программ для пользователей Windows 10.

Меню пуск ⯮ Параметры ⯮ Обновление и безопасность ⯮ Защитник Windows ⯮ Открыть центр безопасности Защитника Windows

Дополнительное программное обеспечение безопасности для macOS не так важно, потому что интегрированные средства защиты очень эффективны, но это не значит умный бит вредоносной программы не может получить доступ в системные файлы.

Установленный инструмент безопасности необходимо обязательно обновлять. Появились подозрения что вас атаковали, выполните тщательное сканирование системы. Не знаете, как это сделать? Само приложение должно иметь инструкции для запуска полного сканирования. Это всегда первый шаг в борьбе с вредоносными программами и вирусами.

Если ваш антивирусный инструмент не видит ничего плохого, а проблемы остались, или не может справиться с тем, что он нашел. Значит придется применять другие меры по борьбе в заразой проникшей на компьютер.

Поиск способов борьбы с конкретными угрозами

Если на вашем компьютере отображаются определенные симптомы, например, сообщение с определенным кодом ошибки или угрожающее , запустите веб-поиск для получения дополнительной информации на своем телефоне или другом компьютере

Наш совет искать помощь в Интернете может показаться, наивным. Но это часто лучший способ справиться с самыми новейшими угрозами. По данным антивирусных служб, ежедневно появляется не менее 300 новых кибер угроз.

Чтобы избавиться от ошибки, которая перегрузила встроенные антивирусные защиты вашего компьютера, вы должны следовать обновленным инструкциям. В противном случае вы можете непреднамеренно ухудшить ситуацию.

Как только в интернете появятся новые угрозы, компании по безопасности быстро публикуют исправления и инструменты борьбы с вредоносным ПО. Вот почему важно поддерживать связь с новейшими технологическими новостями.

Если ваша существующая антивирусная программа не может на данном этапе обнаружить вредоносный код, проверьте онлайн, что компании выпустили специальные инструменты для решения новой проблемы, с которой вы столкнулись.

В зависимости от того, что покажут ваши исследования и антивирусные проверки, подумайте о том, чтобы отключить компьютер от Интернета, чтобы остановить распространение вредоносного ПО и защитить файлы от повреждения.

Применение узко специальных инструментов по требованию

На этом этапе вы уже проверили свой компьютер на наличие вредоносных программ, используя обычное программное обеспечение для обеспечения безопасности, и провели некоторое исследование того, что надо делать.

Но если у вас все еще осталась проблема или ваши поисковые запросы не принесли ответа, вы можете применить сканеры вредоносных программ, онлайн.

Эти программы не требуют особых знаний для установки, и могут выступать в качестве полезных помощников для ваших существующих антивирусных приложений.

Список ссылок на скачивание бесплатных вирусных сканеров для домашнего использования

Бесплатные сканеры или ознакомительные версии антивирусных программ.

1. - это диагностический инструмент, предназначенный для поиска и удаления вредоносных программ с компьютеров Windows.
2. - пакет безопасности все-в-одном включают в себя много дополнительных инструментов и функций, в том числе защиту от вирусов.
3. - используются передовые технологии, такие как машинное обучение, чтобы защитить вас от фишинга и других типов мошеннического контента. - Bitdefender Virus Scanner легко обнаруживает вредоносное ПО на MacOS
4. - бесплатный сканер вирусов Kaspersky Security Scan
5. антивирусных продуктов Avira
6. от шпионских программ. (Malwarebytes for Windows, Malwarebytes for Mac, Malwarebytes for Android)

Существуют и другие антивирусные сканеры, которые могут применяться для дополнительной проверки операционной системы, они тоже будут устранять проблемы и предоставлять вашим средствам безопасности помощь.

Но возможно что их код, внедренный в вашу систему, может привести сбою в работе имеющихся средств обеспечения безопасности, и они не будут работать должным образом.

В случае если вирус заблокировал доступ к Интернету, вы должны использовать другой компьютер для загрузки одной из этих программ по требованию на USB-накопитель, а затем запустить сканирование вирусов на зараженной машине.

✔ ✔ Если после проверки антивирусными программами и всеми подряд предложенными антивирусными сканерами ошибки или сбои продолжают иметь место, значит это может быть связано с другими факторами - от плохо установленного обновления до отказавшего жесткого диска. ✔ ✔

Удалить и сбросить

Как только вы исчерпали решения для обеспечения безопасности, у вас все еще есть пара других вариантов.

⯮ Просмотр установленных приложений и расширений браузера и удаление любых, которые вы не знаете или больше не нуждаетесь.

Проблема с этим методом заключается в том, что вы можете случайно удалить часть программного обеспечения, которая окажется жизненно важной. Рекомендуем найти в Интернете дополнительную информацию по приложению и надстройке которую вы хотите удалить.

⯮ Более радикальный, но чрезвычайно эффективный способ действий - вычистить компьютер, переустановить операционную систему и начать все с нуля.

Сброс и переустановка операционной системы может уничтожить любую вредоносную программу.

Переустановка операционной системы и возвращение компьютера к заводским условиям, сейчас стала намного проще, чем раньше.

Это оно! Благодаря сочетанию методов удаления, существующего (встроенного) программного обеспечения, сканеров по требованию и даже переустановке системы, вы должны теперь эффективно устранить все проблемы, возникшие на вашем компьютере. Это на 90% снизит ваши затраты по ИТ-ремонту.

Только проведя все эти мероприятия и не добившись успеха, вы с чистой совестью можете идти в ремонтную мастерскую, что бы исправить то что по силам только дипломированным специалистам.

Предотвращение будущих проблем.

Проактивная защита вашего компьютера от вредоносного ПО - это целая история, но здесь краткое изложение основ.

Будьте осторожны с открытием ссылок и вложений, а также с файлами которым вы разрешаете загружаться на своем компьютере.

Помните, что большинство вирусов и вредоносных программ найдут свой путь к вашему компьютеру через вашу электронную почту или веб-браузер, поэтому используете здравый смысл и будьте осторожны с тем, что вы открываете и загружаете.

Установите надежный антивирус, которому вы можете доверять. Для Windows 10 включенная программа Защитника Windows является надежным инструментом безопасности, даже если вы ничего не добавляете.

Хотя количество зловредных программ, ориентированных на компьютеры Apple растет, они остаются все еще более безопасными, чем машины Windows.

Не забывайте что macOS в основном защищен от вирусов, если вы устанавливаете программы только через App Store и внимательно следите за подключениям странных USB-накопителей, которые вы нашли на улице.

Убедитесь, что ваше программное обеспечение всегда исправлено и обновлено.

Большинство браузеров и операционных систем будут автоматически обновляться в фоновом режиме, но вы можете проверить наличие ожидающих исправлений в Windows, открыв Меню пуск ⯮ Параметры ⯮ Обновление и безопасность ⯮ Проверка наличия обновлений.

На компьютере MacOS просто откройте App Store и перейдите на вкладку «Обновления», чтобы узнать, доступно ли что то, что вы еще не загрузили.

Всегда будьте начеку, ведь вредоносные программы это постоянно обновляемые угрозы.

1. Введение……………………………………………………………………..2

2. Методы борьбы с вирусами …………………………………………….3

3. Классификация антивирусов……...……………………………………4

4. Какой антивирус лучше…………………………………………………..6

5. Методика использования антивирусных программ………………8

6. Обнаружение отдельных групп вирусов………………………...…12

7. Откуда берутся вирусы…………………………………………………15

8. Несколько практических советов…………………………………….17

9. Анализ алгоритма вируса………………………………………………22

10. Заключение…………………………………………...………….….…25

11. Введение

Среди набора программ, используемого большинством пользователей персональных компьютеров каждый день, антивирусные программы традиционно занимают особое место. Эти "лекарства" компьютерного мира для программ и данных в реальном мире можно сравнить, пожалуй, либо с аспирином, либо с контрацептиком. Причем всё "в одном флаконе". В реальной жизни - невозможная смесь. Но современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

Требования к антивирусным программам достаточно противоречивы. С одной стороны, пользователи хотят иметь надежную, мощную антивирусную защиту. С другой стороны, они хотят, чтобы эта защита не требовала от пользователя много времени и сил. И это вполне естественные требования.

При этом нельзя ни на мгновение отставать от общего развития компьютерного мира. Каждый год приносит новые технологии, в том числе, и в мире компьютерных вирусов. Так, в 1995 году появился первый макровирус, заражающий документы MS Word. В 1996 появились первые Win32-вирусы для Windows 95. В 1997 г. вирусы впервые стали использовать для распространения сообщения электронной почты и появились первые вирусы, работающие в защищенном режиме процессоров Intel (впервые этот режим появился в i286). В 1998 г. был создан первый вирус, нарушающий работу аппаратной части компьютеров. Это был Win95.CIH, который "сработал" 26 апреля 1999 г. на миллионах компьютеров по всему миру. В России этот вирус стал известен под именем "Чернобыль". В самом конце 1998 г. появился первый вирус для Windows NT.

В 1999 г. получили массовое распространение e-mail-черви (вирусные программы-черви, которые используют для распространения сообщения электронной почты). Эпидемия вируса Win95.Spanska.10000 ("Нарру99") началась 1 января 1999 г. и продолжается до сих пор. Другой e-mail червь Melissa в марте 1999 г. парализовал работу нескольких тысяч почтовых серверов в Европе и Америке. По масштабу мартовскую эпидемию Meliss-ы можно сравнить с легендарным "червем Морриса", который в ноябре 1988 г. парализовал работу нескольких крупных компьютерных сетей в Америке.

Также в 1999 г. стали очень популярны троянские программы, дающие удаленный доступ к инфицированному компьютеру через Интернет и позволяющие воровать информацию, например, пароли. Троянские системы семейств Back Orifice, NetBus, Trojan Stealth можно свободно найти в Интернете, чем и пользуются злоумышленники.

Все эти "новинки" заставляют постоянно совершенствовать антивирусные программы. В известной степени борьба с компьютерными вирусами очень похожа на извечную борьбу брони и снаряда. И в ближайшем будущем эта борьба вряд ли прекратится. Но ничего страшного в этом нет. Пользователю важно лишь не забывать об угрозе компьютерных вирусов, и принимать для защиты от них меры, не требующие в принципе больших усилий или специальных знаний. Достаточно проводить регулярное резервное копирование важных данных и пользоваться современными антивирусными программами.

Методы борьбы с вирусами

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства - Фред Коэн.

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

· «Ложное срабатывание» (False positive) - детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин - «False negative», т.е. недетектирование вируса в зараженном объекте.

· «Сканирование по запросу» («on-demand») - поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler).

· «Сканирование на-лету» («real-time», «on-the-fly») - постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Классификация Антивирусов

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории - «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поисх и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.

CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Блокировщики

Антивирусные блокировщики - это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (мне, например, неизвестно ни об одном блокировщике для Windows95/NT - нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера («железа»). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает «ложное срабатывание» защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример - печально известная строка «MsDos», предохраняющая от ископаемого вируса «Jerusalem»). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальним, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие - 60 секунд. Однако несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Какой антивирус лучше?

Какой антивирус самый лучший? Ответ будет - «любой», если на вашем компьютере вирусы не водятся и вы не пользуетесь вирусо-опасными источниками информации. Если же вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word или обмениваетесь таблицами Excel, то вам все-таки следует использовать какой-либо антивирус. Какой именно - решайте сами, однако есть несколько позиций, по которым различные антивирусы можно сравнить между собой.

Качество антивирусной программы определяется, на мой взгляд, по следующим позициям, приведенным в порядке убывания их важности:

1. Надежность и удобство работы - отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров (см. ниже), как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы.

3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий с возможностью администрирования сети.

4. Скорость работы и прочие полезные особенности, функции, «припарки» и «вкусности».

Надежность работы антивируса является наиболее важным критерием, поскольку даже «абсолютный антивирус» может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца - «повиснет» и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным - большинство пользователей просто проигнорирует сообщения антивируса и нажмут либо случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать такой антивирус или даже удалит его с диска.

Качество детектирования вирусов стоит следующим пунктом по вполне естественной причине. Антивирусные программы потому и называются антивирусными, что их прямая обязанность - ловить и лечить вирусы. Любой самый «навороченный» по своим возможностям антивирус бесполезен, если он не в состоянии ловить вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо полиморфного вируса, то при заражении системы этим вирусом такой антивирус обнаружит только часть (допустим 99%) зараженных на диске файлов. Необнаруженными останется всего 1%, но когда вирус снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате жаражено на диске будет уже 1.99%. И так далее, пока все файлы на диске не будут заражены при полном молчании антивируса.

Поэтому качество детектирования вирусов является вторым по важности критерием «лучшести» антивирусной программы, более важным, чем «многоплатформенность», наличие разнообразного сервиса и т.д. Однако если при этом антивирус с высоким качеством детектирования вирусов вызывает большое количество «ложных срабатываний», то его «уровень полезности» резко падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым «ложным срабатываниям», перестает обращать внимание на сообщения антивируса и в результате пропускает сообщение о реальном вирусе.

«Многоплатформенность» антивируса является следующим пунктом в списке, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. «Неродные» же антивирусы часто оказываются неработоспособными, а иногда даже разрушительными. Например, вирус «OneHalf» поразил компьютер с установленными на нем Windows95 или WindowsNT. Если для расшифрования диска (данный вирус шифрует сектора диска) воспользоваться DOS-антивирусом, то результат может оказаться плачевным: информация на диске окажется безнадежно испорченной, поскольку Windows 95/NT не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов. Антивирус же, являющийся Windows-программой, справляется с этой задачей без проблем.

Возможность проверки файлов «на лету» также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100%-й гарантией от заражения вирусом, если, конечно, антивирус в состоянии детектировать этот вирус. Очень полезными являются антивирусы, способные постоянно следить за «здоровьем» серверов - Novell NetWare, Windows NT, а в последнее время, после массового распространения макро-вирусов, и за почтовыми серверами, сканируя входящую/исходящую почту. Если же в серверном варианте антивируса присутствуют возможность антивирусного администрирования сети, то его ценность еще более возрастает.

Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется нескольно часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой - медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.

Наличие всяческих дополнительных функций и возможностей стоит в списке качеств антивируса на последнем месте, поскольку очень часто эти функции никак не сказываются на уровне «полезности» антивируса. Однако эти дополнительные функции значительно упрощают жизнь пользователя и, может быть, даже подталкивают его запускать антивирус почаще.

Методика использования антивирусных программ

Следите за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Если к программам поставляются апдейты, то проверьте их на «свежесть». Обычно выход новых версий антивирусов анонсируется, поэтому достаточно посетить соответствующие WWW/ftp/BBS.

«Национальность» антивирусов в большинстстве случаев не имеет значения, поскольку на сегодняшний день процесс эмиграции вируса в другие страны и иммиграции антивирусных программ ограничивается только скоростью Internet, поэтому как вирусы, так и антивирусы не признают границ.

Если на компьютере обнаружен вирус, то самое главное - не паниковать (тем, для кого «встреча» с вирусом - вполне обыденное явление, такая рекомендация может показаться смешной). Паника никогда не доводила до добра: непродуманные действия могут привести к печальным последствиям.

Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, то нет причин для беспокойства: убейте этот файл (или удалите вирус любимой антивирусной программой) и спокойно работайте дальше. В случае обнаружения вируса сразу в нескольких файлах на диске или в загрузочном секторе, то проблема становится более сложной, но все равно разрешимой - антивирусники не зря едят свой хлеб.

Следует еще раз обратить внимание на термин «ложное срабатывание». Если в каком-либо ОДНОМ файле, который достаточно долго «живет» на компьютере, какой-либо один антивирус обнаружил вирус, то это скорее всего ложное срабатывание. Если такой файл запускался несколько раз, а вирус так и не переполз в другие файлы, то это крайне странно. Попробуйте проверить файл другими антивирусами. Если они хранят молчание, отправьте этот файл в лабораторию фирмы-производителя антивируса, обнаружившего в нем вирус.

Если же на компьютере действительно найден вирус, то надо сделать следующее:

1. В случае обнаружения файлового вируса, если компьютер подключен к сети, необходимо отключить его от сети и проинформировать системного администратора. Если вирус еще не проник в сеть, это защитит сервер и другие рабочие станции от проникновения вируса. Если же вирус уже поразил сервер, то отключение от сети не позволит ему вновь проникнуть на компьютер после его лечения. Подключение к сети возможно лишь после того, как будут вылечены все сервера и рабочие станции.

При обнаружени загрузочного вируса отключать компьютер от сети не следует: вирусы этого типа по сети не распространяются (естественно, кроме файлово-загрузочных вирусов).

Если произошло заражение макро-вирусом вместо, отключения от сети достаточно на период лечения убедиться в том, что соответствующий редактор (Word/Excel) неактивен ни на одном компьютере.

2. Если обнаружен файловый или загрузочный вирус, следует убедиться в том, что вирус либо нерезидентный, либо резидентная часть вируса обезврежена: при запуске некоторые (но не все) антивирусы автоматически обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти необходимо для того, чтобы остановить его распространение. При сканировании файлов антивирусы открывают их, многие из резидентных вирусов перехватывают это событие и заражают открываемые файлы. В результате большая часть файлов окажется зараженной, поскольку вирус не удален из памяти. То же может произойти и в случае загрузочных вирусов - все проверяемые дискеты могут оказаться зараженными.

Если используемый антивирус не удаляет вирусы из памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от записи системной дискеты. Перезагрузка должна быть «холодной» (клавиша Reset или выключение/включение компьютера), так как некоторые вирусы «выживают» при теплой перезагрузке. Некоторые вирусы используют приемы, позволяющие им «выжить» и при холодной перезагрузке (см., например, вирус «Ugly»), поэтому также следует проверить в настройках BIOS пункт «последовательность загрузки A: C:», чтобы гарантировать загрузку DOS с системной дискеты, а не с зараженного винчестера.

Помимо резидентности/нерезидентности полезно ознакомиться и с другими характеристиками вируса: типами заражаемых вирусом файлов, проявлениями и прочее. Единственный известный мне источник подробной информации данного рода практически обо всех известных вирусах - «Энциклопедия вирусов AVP».

3. При помощи антивирусной программы нужно восстановить зараженные файлы и затем проверить их работоспособность. Перед лечением или одновременно с ним - создать резерсные копии зараженных файлов и распечатать или сохранить где-либо список зараженных файлов (log-файл антивируса). Это необходимо для того, чтобы восстановить файлы, если лечение окажется неуспешным из-за ошибки в лечащем модуле антивируса либо по причине неспособности антивируса лечить данный вирус. В этом случае придется прибегнуть к помощи какого-либо другого антивируса.

Гораздо надежнее, конечно, восстановить зараженные файлы из backup-копии (если она есть), однако все равно потребуются услуги антивируса - вдруг не все копии вируса окажутся уничтожены, или если файлы в backup-копии также заражены.

Следует отметить, что качество восстановления файлов многими антивирусными программами оставляет желать лучшего. Многие популярные антивирусы частенько необратимо портят файлы вместо их лечения. Поэтому если потеря файлов нежелательна, то выполнять перечисленные выше пункты следует в полном объеме.

В случае загрузочного вируса необходимо проверить все дискеты независимо от того, загрузочные они (т.е. содержат файлы DOS) или нет. Даже совершенно пустая дискета может стать источником распространения вируса - достаточно забыть ее в дисководе и перезагрузить компьютер (если, конечно же, в BIOS Setup загрузочным диском отмечен флоппи-диск)

Помимо перечисленных выше пунктов необходимо обращать особое внимание на чистоту модулей, сжатых утилитами типа LZEXE, PKLITE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE. Если случайно упаковать файл, зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.

Штаммы вируса могут проникнуть и в backup-копии программного обеспечения при обновлении этих копий. Причем архивы и backup-копии являются основными поставщиками давно известных вирусов. Вирус может годами «сидеть» в дистрибутивной копии какого-либо программного продукта и неожиданно проявиться при установке программ на новом компьютере.

Никто не гарантирует полного уничтожения всех копий компьютерного вируса, так как файловый вирус может поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от COM или EXE. Загрузочный вирус может остаться на какой-либо дискете и внезапно проявиться при случайной попытке перезагрузиться с нее. Поэтому целесообразно некоторое время после удаления вируса постоянно пользоваться резидентным антивирусным сканером (не говоря уже о том, что желательно пользоваться им постоянно)

В этом разделе рассматриваются ситуации, с которыми может столкнуться пользователь в том случае, если он подозревает, что его компьютер поражен вирусом, но ни одна из известных ему антивирусных программ не дала положительного результата. Где и как искать вирус? Какие при этом необходимы инструментальные средства, какими методами следует пользоваться и каким правилам следовать?

Самое первое правило - не паниковать. Ни к чему хорошему это не приведет. Вы - не первый и не последний, чей компьютер оказался зараженным, к тому же не каждый сбой компьютера является проявлением вируса. Поэтому почаще вспоминайте поговорку - «Не так страшен черт, как его малюют». К тому же поражение вирусом не самое плохое, что может случиться с компьютером.

Если нет уверенности в собственных силах - обратитесь к системному программисту, который поможет локализовать и удалить вирус (если это действительно вирус) или найти другую причину «странного» поведения компьютера.

Не следует звонить в антивирусные фирмы с вопросом: «Наверное, у меня в компьютере вирус. Что мне делать?». Помочь вам не смогут, поскольку для удаления вируса требуется несколько больше информации. Для того чтобы антивирусная фирма могла оказать реальную помощь, на ее адрес следует выслать образец вируса - зараженный файл в случае файлового вируса или зараженную дискету (или ее файл-образ) в случае загрузочного вируса. Каким образом обнаруживаются зараженные файлы/диски, будет рассказано ниже.

Не забывайте перед использованием антивирусных программ и утилит загрузить компьютер с резервной копии DOS, расположенной на заведомо чистой от вирусов и защищенной от записи дискете, и в дальнейшем использовать программы только с дискет. Это необходимо для того, чтобы застраховаться от резидентного вируса, так как он может блокировать работу программ или использовать их работу для инфицирования проверяемых файлов/дисков. Более того, существует большое количество вирусов, уничтожающих данные на диске, если они «подозревают», что их код может быть обнаружен. Конечно же, это требование никак не относится к макро-вирусам и к дискам, размеченным одним из новых форматов (NTFS, HPFS), - после загрузки DOS такой винчестер окажется недоступным для DOS-программ.

Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из «стелс»-вирусов. В этом случае необходимо загрузить DOS с заведомо чистой от вирусов дискеты, содержащей резервную копию DOS, и действовать, как и при поражении нерезидентным вирусом. Однако иногда это нежелательно, а в ряде случаев невозможно (известны, например, случаи покупки новых компьютеров, зараженных вирусом). Тогда придется обнаружить и нейтрализовать резидентную часть вируса, выполненную по технологии «стелс». Возникает вопрос: где в памяти и как искать вирус или его резидентную часть? Существует несколько способов инфицирования памяти.

Обнаружение резидентного Windows-вируса является крайне сложной задачей. Вирус, находясь в среде Windows как приложение или VxD-двайвер, практически невидим, поскольку одновременно активны несколько десятков приложений и VxD, и вирус по внешним признакам от них ничем не отличается. Для того, чтобы обнаружить программу-вирус в списках активных приложений и VxD, необходимо досконально разбираться во «внутренностях» Windows и иметь полное представление о драйверах и приложениях, установленных на данном компьютере.

Поэтому единственный приемлемый способ поймать резидентный Windows-вирус - загрузить DOS и проверить запускаемые файлы Windows методами, описанными выше.

Обнаружение отдельных групп вирусов

Обнаружение загрузочного вируса

В загрузочных секторах дисков расположены, как правило, небольшие программы, назначение которых состоит в определении размеров и границ логических дисков (для MBR винчестера) или загрузке операционной системы (для boot-сектора).

Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк (например, вирус «Stoned» содержит строки: «Your PC is now Stoned!», «LEGALISE MARIJUANA!»). Некоторые вирусы, поражающие boot-секторы дисков, наоборот, определяются по отсутствию строк, которые обязательно должны присутствовать в boot-секторе. К таким строкам относятся имена системных файлов (например, строка «IO SYSMSDOS SYS») и строки сообщений об ошибках. Отсутствие или изменение строки-заголовка boot-сектора (строка, содержащая номер версии DOS или название фирмы-производителя программного обеспечения, например, «MSDOS5.0» или «MSWIN4.0») также может служить сигналом о заражении вирусом, если на компьютере не установлена Windows95/NT - эти системы по неизвестной мне причине записывают в заголовок загрузочных секторов дискет случайные строки текста.

Стандартный загрузчик MS-DOS, расположенный в MBR, занимает меньше половины сектора, и многие вирусы, поражающие MBR винчестера, довольно просто заметить по увеличению длины кода, расположенного в секторе MBR.

Однако существуют вирусы, которые внедряются в загрузчик без изменения его текстовых строк и с минимальными изменениями кода загрузчика. Для того чтобы обнаружить такой вирус, в большинстве случаев достаточно отформатировать дискету на заведомо незараженном компьютере, сохранить в виде файла ее boot-сектор, затем некоторое время использовать ее на зараженном компьютере (записать/прочитать несколько файлов), а после этого на незараженном компьютере сравнить ее boot-сектор с оригинальным. Если в коде загрузочного сектора произошли изменения - вирус пойман.

Существуют также вирусы, использующие более сложные приемы заражения, например, изменяющие при инфицировании MBR всего 3 байта Disk Partition Table, соответствующие адресу активного загрузочного сектора. Для идентификации такого вируса придется провести более детальное исследование кодов загрузочного сектора вплоть до полного анализа алгоритма работы его кода.

Приведенные рассуждения основываются на том, что стандартные загрузчики (программы, записываемые операционной системой в загрузочные сектора) реализуют стандартные алгоритмы загрузки операционной системы и оформляются в соответствии с ее стандартами. Если же диски отформатированы утилитами, не входящими в состав DOS (например, Disk Manager), то для обнаружения в них вируса следует проанализировать алгоритм работы и оформление загрузчиков, создаваемых такой утилитой.

Обнаружение файлового вируса

Как отмечалось, вирусы делятся на резидентные и нерезидентные. Встречавшиеся до сих пор резидентные вирусы отличались гораздо большим коварством и изощренностью, чем нерезидентные. Поэтому для начала рассмотрим простейший случай - поражение компьютера неизвестным нерезидентным вирусом. Такой вирус активизируется при запуске какой-либо зараженной программы, совершает все, что ему положено, передает управление программе-носителю и в дальнейшем (в отличие от резидентных вирусов) не будет мешать ее работе. Для обнаружения такого вируса необходимо сравнить длины файлов на винчестере и в дистрибутивных копиях (упоминание о важности хранения таких копий уже стало банальностью). Если это не поможет, то следует побайтно сравнить дистрибутивные копии с используемыми программами. В настоящее время разработано достаточно много утилит такого сравнения файлов, самая простейшая из них (утилита COMP) содержится в DOS.

Можно также просмотреть дамп выполняемых файлов. В некоторых случаях можно сразу обнаружить присутствие вируса по наличию в его коде текстовых строк. Многие вирусы, например, содержат строки: «.COM», «*.COM», «.EXE», «*.EXE», «*.*», «MZ», «COMMAND» и т.д. Эти строки часто встречаются в начале или в конце зараженных файлов.

Существует и еще один способ визуального определения зараженного вирусом DOS-файла. Он основан на том, что выполняемые файлы, исходный текст которых написан на языке высокого уровня, имеют вполне определенную структуру. В случае Borland или Microsoft C/C++ сегмент кода программы находится в начале файла, а сразу за ним - сегмент данных, причем в начале этого сегмента стоит строка-копирайт фирмы-изготовителя компилятора. Если в дампе такого файла за сегментом данных следует еще один участок кода, то вполне вероятно, что файл заражен вирусом.

То же справедливо и для большинства вирусов, заражающих файлы Windows и OS/2. В выполняемых файлах этих ОС стандартным является размещение сегментов в следующем порядке: сегмент(ы) кода, за которыми следуют сегменты данных. Если за сегментом данных идет еще один сегмент кода, это также может служить сигналом о присутствии вируса.

Пользователям, знакомым с языком Ассемблер, можно попробовать разобраться в кодах подозрительных программ. Для быстрого просмотра лучше всего подходит HIEW (Hacker"s View) или AVPUTIL. Для более подробного изучения потребуется дизассемблер - Sourcer или IDA.

Рекомендуется запустить одну из резидентных антивирусных программ-блокировщиков и следить за ее сообщениями о «подозрительных» действиях программ (запись в COM- или EXE-файлы, запись на диск по абсолютному адресу и т.п.). Существуют блокировщики, которые не только перехватывают такие действия, но и сообщают адрес, откуда поступил «подозрительный» вызов (к таким блокировщикам относится AVPTSR). Обнаружив подобное сообщение, следует выяснить, от какой программы оно пришло, и проанализировать ее коды при помощи резидентного дизассемблера (например, AVPUTIL.COM). При анализе кодов программ, резидентно находящихся в памяти, большую помощь часто оказывает трассирование прерываний 13h и 21h.

Следует отметить, что резидентные DOS-блокировщики часто оказываются бессильны, если работа ведется в DOS-окне под Windows95/NT, поскольку Windows95/NT позволяют вирусу работать «в обход» блокировщика (как, впрочем, и всех остальных резидентных программ). DOS-длокировщики также неспособны остановить распространение Windows-вирусов.

Рассмотренные выше методы обнаружения файловых и загрузочных вирусов подходят для большинства как резидентных, так и нерезидентных вирусов. Однако эти методы не срабатывают, если вирус выполнен по технологии «стелс», что делает бесполезным использование большинства резидентных блокировщиков, утилит сравнения файлов и чтения секторов.

Обнаружение макро-вируса

Характерными проявлениями макро-вирусов являются:

· Word: невозможность конвертирования зараженного документа Word в другой формат.

· Word: зараженные файлы имеют формат Template (шаблон), поскольку при заражении Word-вирусы конвертируют файлы из формата Word Document в Template.

· только Word 6: невозможность записи документа в другой каталог/на другой диск по команде «Save As».

· Excel/Word: в STARTUP-каталоге присутствуют «чужие» файлы.

· Excel версий 5 и 7: наличие в Книге (Book) лишних и скрытых Листов (Sheets).

Для проверки системы на предмет наличия вируса можно использовать пункт меню Tools/Macro. Если обнаружены «чужие макросы», то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые запрещают работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зараженной.

Многие вирусы имеют ошибки или некорректно работают в различных версиях Word/Excel, в результате чего Word/Excel выдают сообщения об ошибке, например:

WordBasic Err = номер ошибки

Если такое сообщение появляется при редактировании нового документа или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить признаком заражения системы.

Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным образом меняют пункты меню Tools/Options - разрешают или запрещают функции «Prompt to Save Normal Template», «Allow Fast Save», «Virus Protection». Некоторые вирусы устанавливают на файлы пароль при их заражении. Большое количество вирусов создает новые секции и/или опции в файле конфигурации Windows (WIN.INI).

Естественно, что к проявлениям вируса относятся такие очевидные факты, как появление сообщений или диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение небольшого числа правил, которое позволяет значительно снизить вероятность заражения вирусом и потери каких-либо данных.

Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети

Откуда берутся вирусы?

Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office97. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д.

Предположим, что пользователь ведет переписку с пятью адресатами, каждый из которых также переписывается с пятью адресатами. После посылки зараженного письма все пять компьютеров, получившие его, оказываются зараженными. Затем с каждого вновь зараженного компьютера отправляется еще пять писем. Одно уходит назад на уже зараженный компьютер, а четыре - новым адресатам.

Таким образом, на втором уровне рассылки заражено уже 1+5+20=26 компьютеров. Если адресаты сети обмениваются письмами раз в день, то к концу рабочей недели (за 5 дней) зараженными окажутся как минимум 1+5+20+80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней зараженными оказываются более ста тысяч компьютеров! Причем каждый день их количество будет учетверяться.

Описанный случай распространения вируса является наиболее часто регистрируемым антивирусными компаниями. Нередки случаи, когда зараженный файл-документ или таблица Excel по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.

Электронные конференции, файл-серверы ftp и BBS

Файл-серверы «общего пользования» и электронные конференции также служат одним из основных источников распространения вирусов. Практически каждую неделю приходит сообщение о том, что какой-либо пользователь заразил свой компьютер вирусом, который был снят с BBS, ftp-сервера или из какой-либо электронной конференции.

При этом часто зараженные файлы «закладываются» автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов).

В случае массовой рассылки вируса по файл-серверам ftp/BBS пораженными практически одновременно могут оказаться тысячи компьютеров, однако в большинстве случаев «закладываются» DOS- или Windows-вирусы, скорость распространения которых в современных условиях значительно ниже, чем макро-вирусов. По этой причине подобные инциденты практически никогда не кончаются массовыми эпидемиями, чего нельзя сказать про макро-вирусы.

Локальные сети

Третий путь «быстрого заражения» - локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере (в случае Novell NetWare - LOGIN.COM)

На следующий день пользователи при входе в сеть запускают зараженные файлы

Вместо служебного файла LOGIN.COM может также выступать различное программное обеспечение, установленное на сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в фирме, и т.д.

Пиратское программное обеспечение

Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных «зон риска». Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов.

Персональные компьютеры «общего пользования»

Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную «заразу» получат и дискеты всех остальных студентов, работающих на этом компьютере.

То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус попадает в компьютерную сеть фирмы папы или мамы.

Ремонтные службы

Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники - тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности. Однажды забыв закрыть защиту от записи на одном из своих флоппи-дисков, такой «маэстро» довольно быстро разнесет заразу по машинам своей клиентуры и скорее всего потеряет ее (клиентуру).

Несколько практических советов

Правило первое

Крайне осторожно относитесь к программам и документам Word/Excel, которые получаете из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте их на наличие вирусов.

Используйте специализированные антивирусы - для проверки «на-лету» всех файлов, приходящих по электронной почте (и по Internet в целом). К сожалению, на сегодняшний день мне неизвестны антивирусы, которые достаточно надежно ловят вирусы в приходящих из Internet файлах, но не исключено, что такие антивирусы появятся в ближайшем будущем.

Правило второе - защита локальных сетей

Для уменьшения риска заразить файл на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей; установку атрибутов «только на чтение» или даже «только на запуск» для всех выполняемых файлов (к сожалению, это не всегда оказывается возможным) и т.д.

Используйте специализированные антивирусы, проверяющие «на лету» файлы, к которым идет обращение. Если это по какой-либо причине невозможно, регулярно проверяйте сервер обычными антивирусными программами.

Значительно уменьшается риск заражения компьютерной сети при использовании бездисковых рабочих станций.

Желательно также перед тем, как запустить новое программное обеспечение, попробовать его на тестовом компьютере, не подключенном к общей сети.

Правило третье

Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать пиратские копии. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов.

Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах.

Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спасает (например, на WWW-сервере Microsoft довольно долгое время находился документ, зараженный макро-вирусом «Wazzu»). По-видимому, единственными надежными с точки зрения защиты от вирусов являются BBS/ftp/WWW антивирусных фирм-разработчиков.

Правило четвертое

Старайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.

Если даже ни один антивирус не среагировал на файл, который был снят с BBS или электронной конференции - не торопитесь его запускать. Подождите неделю, если этот файл вдруг окажется заражен новым неизвестным вирусом, то скорее всего кто-либо «наступит на грабли» раньше вас и своевременно сообщит об этом.

Желательно также, чтобы при работе с новым программным обеспечением в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.

Все это приводи к необходимости ограничения круга лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению «многопользовательские» персональные компьютеры.

Правило пятое

Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или «троянской» программы.

Правило шестое

Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа. Такие резервные копии носят название backup-копий. Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусом агрессивных свойств или при сбое компьютера.

При наличии стримера или какого-либо другого внешнего носителя большого объема имеет смысл делать backup всего содержимого винчестера. Но поскольку времени на создание подобной копии требуется значительно больше, чем на сохранение только рабочих файлов, имеет смысл делать такие копии реже.

Прочие правила

Если нет нужды каждый день грузить систему с дискеты, поставьте в BIOS Setup порядок загрузки «сначала - С:, потом - A:». Это надежно защитит компьютер от загрузочных вирусов.

Не обольщайтесь встроенной в BIOS защитой от вирусов, многие вирусы «обходят» ее при помощи различных приемов.

То же верно для систем антивирусной защиты, встроенных в Word и Office97. Они также могут быть отключены вирусом (или самим пользователем, поскольку эти системы могут сильно мешать в работе).

Проблема защиты от макро-вирусов

Поскольку проблема макро-вирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее.

Существует несколько приемов и встроенных в Word/Excel функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0a). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel.

Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не-вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает - некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.

Существуют другие методы противодействия вирусам, например функция DisableAutoMacros, однако она не запрещает выполнение прочих макросов и блокирует только те вирусы, которые для своего распространения используют один из авто-макросов.

Запуск Word с опцией /M (или с нажатой клавишей Shift) отключает только один макрос AutoExec и таким образом также не может служить надежной защитой от вируса.

Восстановление пораженных объекто в

В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через некоторое время (обычно - несколько дней или недель) получить лекарство-«апдейт» против вируса. Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно.

Восстановление файлов-документов и таблиц

Для обезвреживания Word и Excel достаточно сохранить всю необходимую информацию в формате не-документов и не-таблиц - наиболее подходящим является текстовый RTF-формат, содержащий практически всю информацию из первоначальных документов и не содержащий макросов. Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT у Word и все документы/таблицы в StartUp-каталогах Word/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицы из RTF-файлов.

В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений. Однако этот метод имеет ряд недостатков. Основной из них - трудоемкость конвертирования документов и таблиц в RTF-формат, если их число велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel-файле. Второй недостаток - потеря невирусных макросов, используемых при работе. Поэтому перед запуском описанной процедуры следует сохранить их исходный текст, а после обезвреживания вируса - восстановить необходимые макросы в первоначальном виде.

Восстановление загрузочных секторов

Восстановление секторов в большинстве случаев является довольно простой операцией и проделывается при помощи DOS"овской команды SYS (загрузочные сектора дискет и логических дисков винчестера) или командой FDISK/MBR (Master Boot Record винчестера). Можно, конечно же, воспользоваться утилитой FORMAT, однако практически во всех случаях команды SYS вполне достаточно.

Следует иметь в виду, что лечение секторов необходимо производить только при условии отсутствия вируса в оперативной памяти. Если копия вируса в памяти не обезврежена, то вполне вероятно, что вирус повторно заразит дискету или винчестер после того, как код вируса будет удален (даже если воспользоваться утилитой FORMAT).

Будьте также крайне осторожны при использовании FDISK/MBR. Эта команда заново переписывает код программы-загрузчика системы и не изменяет таблицу разбиения диска (Disk Partition Table). FDISK/MBR является 100% лекарством для большинства загрузочных вирусов, однако, если вирус шифрует Disk Partition Table или использует нестандартные способы заражения, FDISK/MBR может привести к полной потере информации на диске. Поэтому перед запуском FDISK/MBR убедитесь в корректности Disk Partition Table. Для этого требуется загрузиться с незараженной DOS-дискеты и проверить корректность этой таблицы (наиболее удобная программа для этой цели - Norton Disk Editor).

Если же восстановление секторов при помощи SYS/FDISK невозможно, то следует разобраться в алгоритме работы вируса, обнаружить на диске первоначальный boot/MBR-сектор и перенести его на законное место (для этого подходят Norton Disk Editor или AVPUTIL). При этом надо постоянно иметь в виду, что при перезаписи системных загрузчиков необходимо соблюдать особую осторожность, поскольку результатом неправильного исправления сектора MBR или boot-сектора может быть потеря всей информации на диске (дисках).

Восстановление файлов

В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести «руками» без необходимых знаний - форматов выполняемых файлов, языка ассемблера и т.д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус (можно также воспользоваться возможностями редактора антивирусных баз из комплекта AVP версий 2.x).

При лечении файлов следует учитывать следующие правила:

· необходимо протестировать и вылечить все выполняемые файлы (COM, EXE, SYS, OVL) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т.е. файлы read-only, системные и скрытые);

· необходимо учесть возможность многократного поражения файла вирусом («бутерброд» из вирусов).

Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.

Дезактивация оперативной памяти

Процедура дезактивации памяти, как и лечение зараженных файлов, требует некоторых знаний об операционной системе и обязательного знания азыка Ассемблер.

При лечении оперативной памяти необходимо обнаружить коды вируса и изменить их таким образом, чтобы вирус в дальнейшем не мешал работе антивирусной программы - «отключить» подпрограммы заражения и стелс. Для этого требуется полный анализ кода вируса, так как процедуры заражения и стелс могут располагаться в различных участках вируса, дублировать друг друга и получать управление при различных условиях.

В большинстве случаев для дезактивации памяти достаточно «обрубить» прерывания, перехватываемые вирусом: INT 21h в случае файловых вирусов и INT 13h в случае загрузочных (существуют, конечно же, вирусы, перехватывающие другие прерывания или несколько прерываний).

При дезактивации TSR-копии вируса необходимо помнить, что вирус может предпринимать специальные меры для восстановления своих кодов (например, некоторые вирусы семейства «Yankee» восстанавливают их при помощи методов помехо-защищенного кодирования), и в этом случае придется нейтрализовать и механизм самовосстановления вируса. Некоторые вирусы, кроме того, подсчитывают CRC своей резидентной копии и перезагружают компьютер или стирают сектора диска, если CRC не совпадает с оригинальным значением. В этом случае необходимо «обезвредить» также и процедуру подсчета CRC.

Анализ алгоритма вируса

На мой взгляд, наиболее удобным для хранения и анализа вируса объектом является файл, содержащий его (вируса) тело. Как показывает практика, для анализа файлового вируса удобнее иметь несколько зараженных файлов различной, но не очень большой, длины. При этом желательно иметь зараженные файлы всех типов (COM, EXE, SYS, BAT, NewEXE), поражаемых вирусом. Если необходимо проанализировать часть оперативной памяти, то при помощи некоторых утилит (например, AVPUTIL.COM) довольно просто выделить участок, где расположен вирус, и скопировать его на диск. Если же требуется анализ сектора MBR или boot-сектора, то скопировать их в файлы можно при помощи популярных «Нортоновских утилит» или AVPUTIL. Для хранения загрузочного вируса наиболее удобным является файл-образ зараженного диска. Для его получения необходимо отформатировать дискету, заразить ее вирусом, скопировать образ дискеты (все сектора, начиная с нулевого и кончая последним) в файл и при необходимости скомпрессировать его (эту процедуру можно проделать при помощи «Нортоновских утилит», программ TELEDISK или DISKDUPE).

Зараженные файлы или файл-образ зараженной дискеты лучше передать разработчикам антивирусных программ по электронной почте или, в крайнем случае, на дискете по обычной почте. Однако если это займет много времени, которое, как известно, не ждет, то пользователям, достаточно уверенным в себе, можно попробовать и самостоятельно разобраться в вирусе и написать собственный антивирус.

При анализе алгоритма вируса предстоит выяснить:

· способ(ы) размножения вируса;

· характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках;

· метод лечения оперативной памяти и зараженных файлов (секторов).

При решении этих задач не обойтись без дизассемблера или отладчика (например, отладчиков AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблеров Sourcer или IDA).

И отладчики, и дизассемблеры имеют и положительные и отрицательные черты - каждый выбирает то, что он считает более удобным. Несложные короткие вирусы быстро «вскрываются» стандартным отладчиком DEBUG, при анализе объемных и высокосложных полиморфик-стелс-вирусов не обойтись без дизассемблера. Если необходимо быстро обнаружить метод восстановления пораженных файлов, достаточно пройтись отладчиком по началу вируса до того места, где он восстанавливает загруженную программу перед тем, как передать ей управление (фактически именно этот алгоритм чаще всего используется при лечении вируса). Если же требуется получить детальную картину работы вируса или хорошо документированный листинг, то кроме дизассемблеров Sourcer или IDA с их возможностями восстанавливать перекрестные ссылки, здесь вряд ли что поможет. К тому же следует учитывать, что, во-первых, некоторые вирусы достаточно успешно блокируют попытки протрассировать их коды, а во-вторых, при работе с отладчиком существует ненулевая вероятность того, что вирус вырвется из-под контроля.

При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.

При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор (если, конечно, вирус сохраняет его).

Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса и вычислить возможные адреса точек входа в перехватываемые вирусом прерывания. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии: записывается ли вирус по фиксированным адресам в системные области DOS и BIOS, уменьшает ли размер памяти, выделенной под DOS (слово по адресу ), создает ли для себя специальный MCB-блок либо использует какой-то другой способ.

Существуют особые случаи, когда анализ вируса может оказаться очень сложной для пользователя задачей, например при анализе полиморфик-вируса. В этом случае лучше обратиться к специалисту по анализу кодов программ.

Для анализа макро-вирусов необходимо получить текст их макросов. Для нешифрованных не-стелс вирусов это достигается при помощи меню Tools/Macro. Если же вирус шифрует свои макросы или использует стелс-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако они являются утилитами «внутреннего пользования» и не распространяются за пределы фирм.

На сегодняшний день известна единственная shareware-программа для просмотра макросов - Perforin. Однако эта утилита пока не поддерживает файлы Office97.

Заключение

Вирусы – были и остаются серьёзной проблемой в компьютерном мире, но все проблемы, которые были ими созданы были решены и антивирусы помогают избежать повтора таких “критических ситуаций”. Борьбой с вирусами занимается множество специалистов в сотнях компаний, и они успешно решают проблему вирусов. Так что если вы используете у себя на компьютере антивирус и своевременно обновляете его базы, то 95% что проблемы вирусов у вас не возникнет вообще.