-
Лекция 5. Вирусы и борьба с ними
К
омпьютерным
вирусом называется программа (некоторая
совокупность выполняемого кода/инструкций),
которая способна создавать свои копии
(не обязательно полностью совпадающие
с оригиналом) и внедрять их в различные
объекты/ресурсы компьютерных систем,
сетей и т.д. без ведома пользователя.
При этом копии сохраняют способность
дальнейшего распространения.
Вирусы можно разделить на классы по следующим признакам:
П
о
особенностям алгоритма можно выделить
следующие группы вирусов:
·
компаньон-вирусы
(companion) - это вирусы, не изменяющие файлы.
Алгоритм раб
оты
этих вирусов состоит в том, что они
создают для EXE-файлов файлы-спутники,
имеющие то же самое имя, но с расширением
.COM, например, для файла XCOPY.EXE создается
файл XCOPY.COM. Вирус записывается в COM-файл
и никак не изменяет EXE-файл. При запуске
такого файла DOS первым обнаружит и
выполнит COM-файл, т.е. вирус, который
затем запустит и EXE-файл.
· вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.
· “паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”.
· “стелс” - вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы.
· “полиморфик» - вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
· “макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.
Основные симптомы вирусного поражения следующие:
· Замедление работы некоторых программ.
· Увеличение размеров файлов (особенно выполняемых).
· Появление не существовавших ранее “странных” файлов.
· Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).
· Внезапно возникающие разнообразные видео и звуковые эффекты.
AVP
В ходе работы AVP сканирует:
· Оперативную память (DOS, XMS, EMS).
· Файлы, включая архивные и упакованные.
· Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).
Основные особенности AVP:
· Детектирование и удаление огромного числа самых разнообразных вирусов, в том числе:
* полиморфных или самошифрующихся вирусов;
* стелс-вирусов или вирусов-невидимок;
* новых вирусов для Windows 3.XX и Windows 95;
* макро-вирусов, заражающих документы Word и таблицы Excel.
· Сканирование внутри упакованных файлов (модуль Unpacking Engine).
· Сканирование внутри архивных файлов (модуль Extracting Engine).
· Сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках.
· Эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ вирусов.
· Поиск в режиме избыточного сканирования.
· Проверка объектов на наличие в них изменений.
· “AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом.
· Удобный пользовательский интерфейс.
· Создание, сохранение и загрузка большого количества различных настроек.
· Механизм проверки целостности антивирусной системы.
· Мощная система помощи.
Перед тем, как начать проверку и/или лечение, Вы можете установить во вкладке “Действия” флажки “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов). При этом Вам станет доступно поле для ввода имени папки. По умолчанию имя папки для зараженных объектов - “Infected”, для подозрительных объектов - “Suspicious”. Если Вы хотите изменить имена этих папок, то введите новое имя в строке ввода, предварительно удалив старое. Находиться эти папки будут в папке, где лежит AVP. Указав в строке ввода кроме имени папок еще и путь, Вы можете изменить расположение этих папок. Тем самым AVP сохранит зараженные и/или подозрительные объекты в указанных Вами папках.
Во вкладке “Область” отметьте нужные диски и/или папки. Для этого два раза щелкните на нужном объекте левой кнопкой мыши или подведите курсор к нужному объекту и нажмите клавишу <Пробел>. Чтобы быстрее отметить диски, во вкладке “Область” нужно поставить соответствующие флажки “Локальные диски”, и/или “Сетевые диски”, и/или “Флоппи дисководы”. Например, если поставить флажок “Локальные диски”, то будут отмечены все локальные диски Вашего компьютера, на котором установлен AVP.
Если Вы хотите добавить в список папку, щелкните по кнопке “Добавить папку”. Перед Вами появится стандартное окно Windows 95, в котором с помощью мыши или клавиатуры, нужно выбрать папку, которую Вы хотите добавить в область для сканирования.
Во вкладке “Объекты” отметьте флажками типы объектов, которые Вы хотите просканировать: “Память”, и/или “Сектора”, и/или “Файлы”, и/или “Упакованные объекты”, и/или “Архивы”.
Если не один из объектов не будет отмечен флажком, а Вы нажмете кнопку “Пуск” для запуска сканирования, AVP выведет на экран окно с сообщением “Не заданы объекты для сканирования. Пожалуйста, отметьте “Файлы” и/или “Сектора” на закладке “Объекты”. В этом случае нажмите кнопку “OK” и выберите на вкладке “
Область” объекты для сканирования.
Во вкладке “Объекты” установите тип файлов, который будет тестироваться. Для надежности лучше проверить все файлы, для этого выберите “мышью” или клавишами управления курсором радиокнопку с надписью “Все файлы”.
При выборе режима во вкладке “Действия” лучше всего выбрать радиокнопку “Запрос на лечение”. В этом случае, при обнаружении очередного инфицированного объекта, на экране будет появляться диалоговое окно “Зараженный объект”, в котором можно задать действия с этим объектом.
Если Вы установите переключатели “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов), то эти объекты будут копироваться в отдельные папки. Это может быть полезным, если Вы предварительно не создали резервные копии.
Во вкладке “Настройки” Вы можете установить дополнительные режимы для поиска вирусов: “Предупреждения” (рекомендуется включить), и/или “Анализатор кода” (рекомендуется включить), и/или “Избыточное сканирование”, а также указать дополнительные опции: “Отчет о чистых объектах”, и/или “Отчет об упакованных объектах”, и/или “Звуковые эффекты”, и/или “Слежение за отчетом”. Отчет о работе AVP можно записать в файл отчета. Имя файла задайте рядом в поле ввода (по умолчанию - имя файла “Report.txt”).
DR.WEB
Антивирусные программы семейства Dr.Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы.
В основном окне программы задаются объекты тестирования и действия, которые необходимо осуществлять над ними. После завершения проверки в главном окне отображаются результаты работы программы или статистика всех проведенных проверок за данный сеанс работы. Кроме этого, из главного окна доступны все дополнительные функции и настройки программы через систему меню и кнопки быстрого доступа.
Для проверки объектов на наличие вирусов необходимо выбрать устройства или их часть (каталоги, файлы), которые будет проверять Dr.Web. Это может быть произведено несколькими способами:
Панель выбора объектов для проверки, находящаяся в центральной части основного окна, отображает древовидную структуру имеющихся в системе устройств хранения информации:
Вы можете выбрать любое устройство левой кнопкой мышки. После выбора устройства его иконка приобретет новый вид:
Для проверки какой-либо отдельной папки (каталога) необходимо открыть структуру папок (каталогов). Для этого нужно щелкнуть левой кнопкой мышки по значку слева от иконки устройства. Откроется дерево папок (каталогов) устройства и теперь можно выбрать одну или несколько папок (каталогов) с помощью щелчка левой кнопки мышки:
/AL - проверка всех файлов на заданном устройстве или в заданном каталоге
/AR[N] - проверка файлов, находящихся внутри архивов. Обеспечивается проверка (без лечения) архивов, созданных архиваторами ARJ, PKZIP, RAR. Дополнительный параметр N блокирует печать имени программы-архиватора после имени архивного файла
/CU[RDMP-] - лечение файлов и системных областей дисков, удаление найденных вирусов. Вы можете указать дополнительные параметры:
"-" - только выводить отчет,
R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"),
D - удалять,
M - перемещать (по умолчанию, в подкаталог INFECTED.!!!),
P - перед действием выводить запрос
/EX - проверка файлов с расширениями, стандартными для исполняемых модулей, документов и таблиц MS Office, (т.е. только с расширениями COM, EXE, SYS, BAT, CMD, DRV, BIN, DLL, OV?, BOO, PRG, VXD, 386, SCR, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VBS, JS*, INF, A??, ZIP, R??, PP?, HLP)
/FM - проверка файлов по внутреннему формату исполняемых модулей.
Независимо от расширения проверяются файлы, имеющие внутреннюю структуру исполняемых программных модулей, а также "макросодержащих" документов MS Word и электронных таблиц MS Excel.