ХАРАКТЕРИСТИКА КОМП'ЮТЕРНИХ ВІРУСІВ
Сутність і прояв комп'ютерних вірусів
Масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди береженої в комп'ютері інформації. Проникнувши в один комп'ютер, комп'ютерний вірус здатний поширитися на інші комп'ютери.
Комп'ютерним вірусом називається спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі на комп'ютері.
Причини появи і розповсюдження комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту і протидії з боку операційної системи персонального комп'ютера.
Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.
Основними шляхами проникнення вірусів в комп'ютер є знімні диски (гнучкі і лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження комп'ютера з дискети, що містить вірус. Таке зараження може бути і випадковим, наприклад, якщо дискету не витягнув з дисковода А: і перезавантажили комп'ютер, при цьому дискета може і не бути системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.
Заражений диск - це диск, в завантажувальному секторі якого знаходиться програма - вірус.
Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення ЕХЕ, СОМ, SYS або ВАТ. Вкрай рідко заражаються текстові та графічні файли.
Заражена програма - це програма, яка містить впроваджену в неї програму-вірус.
При зараженні комп'ютера вірусом дуже важливо вчасно його виявити. Для цього слід знати про основні ознаки прояву вірусів. До них можна віднести наступні:
- припинення роботи або неправильна робота раніше успішно функціонуючих програм;
- повільна робота комп'ютера;
- неможливість завантаження операційної системи;
- зникнення файлів і каталогів або перекручування їхнього вмісту;
- зміна дати і часу модифікації файлів;
- зміна розмірів файлів;
- несподіване значне збільшення кількості файлів на диску;
- істотне зменшення розміру вільної оперативної пам'яті;
- висновок на екран непередбачених повідомлень або зображень;
- подача непередбачених звукових сигналів;
- часті зависання і збої в роботі комп'ютера.
Слід зауважити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками (рис. 11.10):
Мал. 11.10. Класифікація комп'ютерних вірусів:
а - по природному середовищі; б - за способом зараження;
в - за ступенем впливу; г - за особливостями алгоритмів
Залежно від місця існування віруси можна розділити на мережеві, файлові, завантажувальні і файлово-завантажувальні. Мережеві віруси поширюються по різних комп'ютерних мережах. Файлові віруси впроваджуються головним чином у виконувані модулі, тобто в файли, які мають розширення СОМ і ЕХЕ. Файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження. Завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record). Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
За способом зараження віруси діляться на резидентні і нерезидентні. Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків і т.п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.
За ступенем впливу віруси можна розділити на наступні види:
- безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах;
- небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера;
- дуже небезпечні, вплив яких може привести до втрати програм, унічтоженіюданних, стирання інформації в системних областях диска.
За особливостями алгоритму віруси важко класифікувати через великі розмаїття. Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені. Можна відзначити віруси-станції, звані хробаками, які поширюються по комп'ютерних мережах, обчислюють адреси мережевих комп'ютерів і записують за цими адресами свої копії. Відомі віруси-невидимки, звані стелс-вірусами, які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого незаражені ділянки диска. Найбільш важко виявити віруси-мутанти, що містять алгоритми шифрування-розшифровки, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів. Є і так звані квазівірусні або "троянські" програми, які хоча і не здатні до самораспространению, але дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.
ПРОГРАМИ ВИЯВЛЕННЯ ТА ЗАХИСТУ ВІД ВІРУСІВ
Характеристика антивірусних програм
Дня виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними.
Розрізняють такі види антивірусних програм (рис. 11.11):
Програми-детектори здійснюють пошук характерної для конкретного вірусу послідовності байтів (сигнатури вірусу) в оперативній пам'яті й у файлах і при виявленні видаютсоответствующее повідомлення. Недоліком таких антивірусних про-
Мал. 11.11. Види антивірусних програм
грам є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.
Програми-доктори або фаги, а також програми-вакцини не тільки знаходять заражені вірусами файли, але і "лікують" їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до "лікуванню" файлів. Серед фагів виділяють полифаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів. Найбільш відомими полифагами є програми Aidstest , Scan, Norton AntiVirus і Doctor Web .
З огляду на, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне оновлення їх версій.
Програма-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів проводять відразу після завантаження операционой системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми від змін, внесених вірусом. До числа програм-ревізорів належить широко поширена в Росії програма Adinf фірми "Діалог-Наука".
Програми-фільтри або "сторожа" представляють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:
- спроби корекції файлів з розширеннями СОМ і ЕХЕ;
- зміна атрибутів файлів;
- пряма запис на диск по абсолютному адресою;
- запис в завантажувальні сектори диска.
- завантаження резидентної програми.
При спробі будь-якої програми здійснити зазначені дії "сторож" посилає користувачеві повідомлення н пропонує заборонити або дозволити відповідну дію. Програми-фільтри вельми корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не «лікують» файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх "настирливість" (наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є програма Vsafe, що входить до складу пакету утиліт операційної системи MS DOS.
Вакцини або іммунізатори - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, "і" цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.
Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери.
Антивірусний комплект АТ "Діалог-Наука"
Серед великої кількості сучасних програмних засобів боротьби з комп'ютерними вірусами перевагу слід віддати антивірусного комплекту АТ "Діалог-Наука", в який входять чотири програмних продукту: полифаги Aidstest і Doctor Web (скорочено Dr.Web), ревізор диска ADinf і лікуючий блок ADinf Cure Module. Розглянемо коротко, як і коли треба застосовувати ці антивірусні програми.
Програма-полифаг Aidstest . Aidstest - це програма, яка вміє виявляти і знищувати понад 1300 комп'ютерних вірусів, які отримали найбільш широке поширення в Росії. Версії Aidstest регулярно оновлюються і поповнюються інформацією про нові віруси.
Для виклику Aidstest слід ввести команду:
AIDSTEST <path> [<options>]
де path - ім'я диска, повне ім'я або специфікація файлу, маска групи файлів:
* - всі розділи жорсткого диска,
** - все диски, включаючи мережеві і диски CD ROM;
options - будь-яка комбінація наступних ключів:
/ F - виправляти заражені програми та прати зіпсовані;
/ G - перевіряти всі файли поспіль (не тільки СОМ, ЕХЕ і SYS);
/ S - повільна робота для пошуку зіпсованих вірусів;
/ X - прати всі файли з порушеннями в структурі вірусу;
/ Q - запитувати дозвіл на видалення зіпсованих файлів;
/ В - не пропонувати обробку наступної дискети.
Приклад 11.27. Запуск антивірусної програми Aidstest для перевірки і "лікування" "диска В:. Виявлені заражені програми будуть виправлені. Перевірці підлягають всі файли диска. Якщо файл виправити не вдасться, то програма буде питати дозволу на його видалення:
aidstest b: / f / g / q
Програма-полифаг Doctor Web . Ця програма призначена насамперед для боротьби з поліморфними вірусами, які порівняно недавно з'явилися в комп'ютерному світі. Використання Dr. Web для перевірки дисків і видалення виявлених вірусів в цілому подібно програмі Aidstest. При цьому дублювання перевірки практично не відбувається, так як Aidstest і Dr.Web працюють на різних наборах вірусів.
Програма Dr.Web може ефективно боротися зі складними вірусами-мутантами, які виявляються не під силу програмі Aidstest. На відміну від Aidstest програма Dr.Web здатна виявляти зміни у власному програмному коді, ефективно визначати файли, заражені новими, невідомими вірусами, проникаючи в зашифровані і упаковані файли, а також долаючи "Вакцина прикриття". Це досягається завдяки наявності досить потужного евристичного аналізатора.
У режимі евристичного аналізу програма Dr.Web досліджує файли і системні області дисків, намагаючись виявити нові або невідомі їй віруси за характерними для вірусів кодовим послідовностям. Якщо такі будуть знайдені, то виводиться попередження про те, що об'єкт, можливо, інфікований невідомим вірусом.
Передбачено три рівня евристичного аналізу. У режимі евристичного аналізу можливі помилкові спрацьовування, тобто детектування файлів, які не є зараженими. Рівень "евристики" має на увазі собою рівень аналізу коду без наявності помилкових спрацьовувань. Чим вище рівень "евристики", тим вище відсоток наявності помилок або помилкових спрацьовувань. Рекомендуються перші два рівня роботи евристичного аналізатора.
Третій рівень евристичного аналізу передбачає додаткову перевірку файлів на "підозріле" час їх створення. Деякі віруси при зараженні файлів встановлюють некоректне час створення, як ознака зараженості даних файлів. Наприклад, для заражених файлів секунди можуть мати значення 62, а рік створення може бути збільшений на 100 років.
У комплект поставки антивірусної програми Dr.Web можуть входити також файли-додатки до основної вірусної базі програми, що розширюють її можливості.
Працювати з програмою Dr. Web можна в двох режимах:
- в режимі повноекранного інтерфейсу з використанням меню і діалогових вікон;
- в режимі управління через командний рядок.
Для разового нерегулярного застосування більш зручний перший режим, але для регулярного застосування з метою систематичного вхідного контролю дискет краще застосовувати другий режим. При використанні другого режиму відповідна команда запуску Dr. Web повинна бути включена або в меню користувача операційної оболонки Norton Соmmander, або в спеціальний командний файл.
Командний рядок для запуску Dr. Web виглядає наступним чином:
DrWeb [диск: [шлях]] [ключі]
де диск:
Х: - логічний пристрій жорсткого диска або фізичний пристрій гнучкого диска, наприклад F: або А :,
* - всі логічні пристрої на жорсткому диску,
шлях - це шлях або маска необхідних файлів.
Найбільш важливі ключі:
/ AL - діагностика всіх файлів на заданому пристрої;
/ CU [P] - "лікування" дисків і файлів, видалення знайдених вірусів;
P - видалення вірусів з підтвердженням користувача;
/ DL - видалення файлів, коректне лікування яких неможливо;
/ НА [рівень] - евристичний аналіз файлів і пошук в них невідомих вірусів, де рівень може приймати значення О, 1, 2;
/ RР [ім'я файлу] - запис протоколу роботи в файл (за замовчуванням в файл REPORT. WEB);
/ CL - запуск програми в режимі командного рядка, при тестуванні файлів і системні областей не використовується повноекранний інтерфейс;
/ QU - вихід в DOS відразу після тестування;
/? - висновок на екран короткої довідки.
Якщо в командному рядку Dr.Web не вказано жодного ключа, то вся інформація для поточного запуску буде зчитуватися з файлу конфігурації DRWEB.INI, розташованого в тому ж каталозі, що і файл DRWEB.EXE. Файл конфігурації створюється в процесі роботи з програмою Dr.Web за допомогою команди збереження параметрів, необхідних для тестування.
Приклад 11.28. Запуск антивірусної програми Dr.Web для перевірки і лікування диска В :. Виявлені заражені файли будуть "вилікувані". Перевірці підлягають всі файли диска. Якщо файл "вилікувати" не вдасться, то програма буде питати дозволу на його видалення. Для пошуку вірусів повинен використовуватися евристичний рівень аналізу 1. Програма повинна виконуватися тільки в режимі командного рядка з виходом в DOS після завершення тестування:
DrWeb В: / AL / CUP / HA1 / QU / CL
Технологія роботи з програмою Dr. Web в режимі повноекранного інтерфейсу. Для запуску в режимі повноекранного інтерфейсу досить ввести в командний рядок тільки ім'я програми. Відразу після завантаження програми розпочнеться тестування оперативної пам'яті комп'ютера, якщо воно не відключено попередня настройка параметрів. Хід тестування відображається у вікні тестування. Після завершення тестування пам'яті відбудеться зупинка. Роботу програми можна продовжити, якщо скористатися основним меню, розташованим у верхній частині екрана. Для активізації меню слід натиснути клавішу <F10>.
Основне меню містить наступні режими:
Dr.WebТест Налаштування Додатки
При виборі будь-якого режиму відкривається відповідне підміню.
Підміню Dr.Web дозволяє тимчасово вийти в DOS, отримати коротку інформацію про програму Dr.Web і про її автора або покинути програму.
Підміню Тест дає можливість виконати основні операції тестування і ⌠леченія "файлів і дисків, а також переглянути звіти про проведені дії.
Підміню Налаштування служить для установки за допомогою діалогових вікон параметрів настройки програми, установки шляхів і масок пошуку і збереження параметрів у файлі конфігурації DRWEB.INI.
Для підключення файлів-додатків до основної вірусної базі програми, що розширюють її можливості, використовується режим Додатки.
Антивірус-ревізор диска ADinf . Ревізор ADinf дозволяє виявити появу будь-якого вірусу, включаючи стелс-віруси, віруси-мутанти і невідомі на сьогоднішній день віруси. Програма ADinf запам'ятовує:
- інформацію про завантажувальних секторах;
- інформацію про збійних кластерах;
- довжину і контрольні суми файлів;
- дату і час створення файлів.
Протягом всієї роботи комп'ютера програма ADinf стежить за збереженням цих характеристик. У режимі повсякденного контролю ADinf запускається автоматично кожен день при першому включенні комп'ютера. Особливо відслідковуються вірусоподібні зміни, про які негайно видається попередження. Крім контролю за цілісністю файлів ADinf стежить за створенням і видаленням підкаталогів, створенням, видаленням, переміщенням і перейменуванням файлів, появою нових збійних кластерів, схоронністю завантажувальних секторів і за багатьма іншими. Перекриваються всі можливі місця для впровадження вірусу в систему.
Adinf перевіряє диски, не використовуючи DOS, читаючи їх по секторах прямим зверненням в BIOS. Завдяки такому способу перевірки ADinf виявляє що маскуються стелс-віруси і забезпечує високу швидкість перевірки диска.
Лікуючий блок ADinfCure Module. ADinfCure Module - це програма, яка допомагає "вилікувати" комп'ютер від нового вірусу, не чекаючи свіжих версій полифагов Aidstest або Dr.Web, яким цей вірус буде відомий.
Програма ADinfCure Module використовує той факт, що, незважаючи на величезну різноманітність вірусів, існує зовсім небагато різних методів їх впровадження в файли. Під час нормальної роботи, при регулярному запуску ревізора Adinf oн повідомляє ADinf Cure Module про те, які файли змінилися з моменту останнього запуску. Adinf Cure Module аналізує ці файли і записує в свої таблиці інформацію, яка може знадобитися для відновлення файлу при зараженні вірусом. Якщо зараження відбулося, то ADinf помітить зміни і знову викличе Adinf Cure Module, який на основі аналізу зараженого файлу і зіставлення його із записаною інформацією спробує відновити початковий стан файлу.
Основні заходи щодо захисту від вірусів
Для того щоб не піддати комп'ютер зараженню вірусами і забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:
- оснастите свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest або Doctor Web, і постійно оновлюйте їх версії;
- перед зчитуванням з дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера;
- при перенесенні на свій комп'ютер файлів в архивированном вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки тільки знову записаними файлами;
- періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті і системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему також з захищеної від записи сістемнойдіскети;
- завжди захищайте свої дискети від запису при роботі на інших комп'ютерах, якщо на них не буде проводитися запис інформації;
- обов'язково робіть архівні копії на дискетах цінної для вас інформації;
- не залишайте в кишені дисковода А: дискети при включенні або перезавантаженні операційної системи, щоб виключити зараження комп'ютера завантажувальними вірусами;
- використовуйте антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних з комп'ютерних мереж;
- для забезпечення більшої безпеки застосування Aidstest і Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска ADinf.
