- •Лекция № 9 Компьютерные вирусы
- •Тайны вирусов
- •Как передаются вирусы
- •Классы и типы вирусов
- •Новые поколения вирусов
- •Неисполняемые вирусы
- •Троянские кони
- •Другие вредные программы
- •Симптомы вирусного заболевания
- •Практические решения
- •Что следует и чего не следует делать для заЩиты от вирусов
- •Восстановление работоспособности системы после вирусной атаки
Троянские кони
Троянский конь - это программа, выполняющая какую-то недокументированную функцию, задуманную ее разработчиком, о которой даже не подозревают пользователи этой программы (а если бы знали, то наверняка не одобрили бы). Некоторые специалисты считают вирусы той или иной разновидностью троянских коней, особенно, если такой вирус может переходить на другие программы (превращая их, таким образом, также в троянских коней). Другие специалисты полагают, что вирус, который не причиняет никакого преднамеренного ущерба (например, просто размножается), не является троянским конем. Невзирая на эти тонкости, многие пользуются термином "троянский конь" для обозначения только не размножающейся "злокачественной" программы. Таким образом, совокупность троянских коней и совокупность вирусов не пересекаются друг с другом.
Троянский конь может быть просто "черным ходом" к какому-то приложению, о существовании которого вы даже не подозреваете. Примером "доброкачественного" троянского коня являются хорошо известные Easter egg (Пасхальные яйца), которые разработчики помещают в коммерческое программное обеспечение. Easter egg - это небольшие программы, активируемые нажатием некоторой секретной комбинации клавиш. Эти программы могут отображать на экране фамилию автора, выполнять клип, демонстрирующий бригаду разработчиков, или сыграть увертюру "1812-й год".
Вирус может существовать только внутри какой-то другой программы, которая затем автоматически инфицирует другие программы. Троянский конь - это программа, которая делает вид, будто выполняет что-то полезное, а на самом деле занимается вредительством. Троянские кони не инфицируют другие программы; они не путешествуют с одного компьютера на другой, поэтому встречаются значительно реже, чем вирусы. Троянские кони обычно инсталлируются на вашей системе как вполне "законные" программы. Если, например, вы позаимствуете у кого-нибудь "копию" Microsoft Word, то это может действительно быть Microsoft Word , но, кроме этого, он может делать и кое-что другое - например, сохранять скрытую копию каждого создаваемого вами документа. Троянского коня очень непросто обнаружить. Если вы хотите избежать загрузки троянского коня, приобретайте программы только у надежных поставщиков.
Другие вредные программы
Для описания электронной почты, которая саморассылается всем пользователям в момент ее прочтения, системные аналитики из IBM ввели термин бактерия. Самой известной на сегодня бактерией является Chistmas Tree (Новогодняя елка), которая распространялась до тех пор, пока IBM не прекратила деятельность своей глобальной почтовой системы. Другие предпочитают называть это явление трибблом, кроликом или письмом цепочкой.
Бомба с часовым механизмом или логическая бомба представляет собой вирус, инициирующий в определенный день и час или при наступлении определенного события (событий).
Эти программы-вредители, независимо от того, как они называются, могут нанести колоссальный ущерб, если не предпринять соответствующих мер предосторожности.
Симптомы вирусного заболевания
В благоприятной среде вирус может распространяться весьма быстро и нанести немало вреда. Современные ПК, а также их операционные системы и сети, как правило, являются превосходными разносчиками вирусных инфекций из-за их открытости, большого числа пользователей и частых контактов между ними. Например, у вас появляется гораздо больше шансов подхватить вирус, если вы подключены к Internet или к коммерческому информационному провайдеру, чем в том случае, когда вы работаете на автономном ПК.
В инфицированной системе проявляется ряд симптомов, за появлением которых рекомендуется внимательно следить. Первым из таких симптомов появления компьютерного вируса может быть снижение быстродействия системы. Зафиксирован случай, когда вирус настолько заполнил компьютерную сеть своими копиями, что стала невозможной даже рассылка предупреждений потенциальным жертвам этой инфекции.
Прежде чем свершить свое черное дело, вирусы стараются, как можно больше размножиться. Но симптомы вирусной инфекции обычно проявляются еще до того, как будет причинен реальный ущерб. Этой возможностью следует пользоваться для своевременной нейтрализации вируса.
Некоторые разработчики вирусов "встраивают" музыку, сообщения и картинки непосредственно в свои программы. Однако основными симптомами вирусной инфекции являются:
изменения размеров и содержимого файлов;
изменения в векторах прерываний;
переназначение других системных ресурсов (например, загрузочного сектора).
Вирус может изменить вектор прерывания, чтобы его программы выполняли одно из следующих действий:
возвращать фиктивную величину памяти при вызове прерывания Memory Size (объем памяти)
Очищать всю память при выполнении данного прерывания.
Вектор прерывания - это таблица возможных процедур, хранящихся в памяти и выполняемых вашей программой. Эта таблица является "ключом к DOS", поскольку все, что требуется знать программисту, - это различные прерывания для доступа к памяти или устройствам, подключенным к ПК.
Необъяснимое использование памяти или сокращение объема доступной памяти - важный симптом наличия вируса. Квалифицированному специалисту достаточно проверить загрузочный сектор. Однако эти симптомы, наряду с необъяснимой активностью диска (когда диск неожиданно начинает работать) и странным поведением оборудования, могут быть результатом действий, присущих используемому программному обеспечению, дефектов этого программного обеспечения или проблем с оборудованием.
Единственным надежным способом определить наличие вируса является анализ кода в программной и системных областях, но на практике осуществить это не так просто. В вирусных сканерах предусматриваются некоторые возможности (например, просматривается программный и системный код на наличие в нем известных вирусов, а иногда для обнаружения вирусного кода используются даже аналитические методы), но такие подходы не всегда обеспечивают достаточную надежность. Некоторые антивирусные программы отслеживают изменения в длине программы, поэтому квалифицированные разработчики вирусов стараются обеспечить неизменность первоначальной длины инфицированной программы.
Вооружитесь самым современным антивирусным программным обеспечением, не забывая при этом уделить должное внимание своей системе. При запуске компьютера проверяйте, не произошли ли какие-то изменения в памяти или конфигурации.