- •Компьютерные вирусы
- •Основные виды вирусов
- •По среде обитания
- •По способу заражения среды
- •По степени воздействия
- •По особенностям алгоритма
- •Антивирусные программы
- •Профилактика от вирусов
- •Защита программных продуктов
- •Программные системы защиты от несанкционированного копирования
- •Правовые методы защиты программных продуктов и баз данных
По способу заражения среды
По способу заражения вирусы делятся на:
резидентные;
нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия
По величине вредных воздействий вирусы можно разделить на:
неопасные;
опасные;
очень опасные.
Влияние неопасных вирусов ограничивается уменьшением свободной оперативной памяти и памяти на дисках, графическими, звуковыми и другими внешними эффектами.
Опасные вирусы могут привести к сбоям и зависаниям при работе компьютера.
Активизация очень опасных вирусов может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и т.д.
По особенностям алгоритма
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Наиболее распространенные вирусы:
паразитические;
вирусы-репликаторы;
невидимки;
мутанты;
троянские.
Паразитические вирусы изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Вирусы-репликаторы, называемые червями, распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Вирусы-невидимки, называемые стелс-вирусами, очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.
Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
Квазивирусные или троянские программы, которые хотя и не способны к самораспространению, но очень опасны, так как маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Антивирусные программы
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые называются антивирусными.
Различаю следующие виды антивирусных программ:
программы-детекторы;
программы-доктора или фаги;
программы-ревизоры;
программы-фильтры;
программы-блокировщики;
программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких программ является то, что они могут находить только те вирусы, которые известны разработчикам этих программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и лечат их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к лечению файлов.
Самыми популярными и действенными антивирусными программами являются полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Принцип работы полифагов основан на проверке файлов и секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.
Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
Для поиска новых вирусов используются алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте. Если «подозрительная» последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.
Наиболее известны Aidstest, Scan, Norton AntiVirus, Doctor Web, AntiViral Toolkit Pro.
Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами (например, AVP Monitor).
К достоинствам полифагов относится их универсальность. К недостаткам – большие размеры применяемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. Принцип работы программ-ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличать изменения версии проверяемой программы от изменений, внесенных вирусом.
При следующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных не совпадает с реальными значениями, то ревизоры сообщают о том, что файл был изменен или заражен вирусом.
Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями com и exe, изменение атрибутов файла, прямая запись на диск по абсолютному адресу, запись в загрузочные сектора диска, загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость», а также возможные конфликты с другим программным обеспечением. Vsafe в составе пакета утилит MS-DOS.
Антивирусные блокировщики – это программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.
Наибольшее распространение получили антивирусные блокировщики, «зашитые» в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер окажется защищенным от заражения загрузочными вирусами.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.
Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, лечащие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.