Что такое вирус.

Компьютерные вирусы — вредоносные само распространяющиеся программы; основным признаком компьютерного вируса является его способность создавать собственные копии (не всегда похожие на оригинал) и внедрять их в исполняемые объекты (программы, системные области…)

Вредоносный программный код, обычно замаскированный под что-нибудь привлекательное (например, фотография популярного спортсмена) или полезное и выполняющий незапланированные либо нежелательные действия, например повреждение данных.

(Virus – лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.

В общем случае компьютерный вирус - это небольшая программа, которая приписывает себя в конец исполняемых файлов, драйверов, или "поселяется" в загрузочном (BOOT) секторе диска. При запуске заражённых программ и драйверов вначале происходит выполнение вируса, а уже потом управление передаётся самой программе. Если же вирус "поселился" в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т. д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передаётся заражённой программе, которая обычно работает "как ни в чём не бывало", маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы, и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word и табличного редактора Excel.

Как проявляют себя вирусы

Проявления вирусов весьма различны. Это:

Сильное замедление работы компьютера. Неожиданное появление на экране посторонних фраз. Появление различных видеоэффектов (например, перевёртывание экрана). Пропадание информации с экрана. Генерация различных звуков. Некоторые программы перестают работать, а другие ведут себя очень странно. На дисках появляется большое количество испорченных файлов данных, текстовых файлов. Разом рушится вся файловая система на одном из дисков. Операционная система неожиданно перестаёт видеть винчестер. Произвольно изменяется длина отдельных файлов.

o   Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95.

o   Стирание всех незащищённых от стирания пользовательских файлов и системных файлов

o   Самопроизвольный неограниченный «разгон» видеокарты и процессора, что приводит к их перегреву и поломке

o   Подмена существующих драйверов на драйвера, неподходящие к данной системе, что приводит к возникновению большого количества ошибок , замедлению работы системы и остановке работы важных сервисных программ

Скачивание при подключённом Интернет-соединении большого количества ненужной, опасной информации, мусора и других вирусов

Разные вирусы могут вести себя по-разному. Некоторые только размножаются, не совершая вредных действий, другие же сразу после заражения совершают множество очень неприятных действий. Есть такие, которые вначале ведут себя незаметно, а по прошествии какого-то времени вдруг разом портят все данные (скажем, форматируется винчестер).

Что может и чего не может компьютерный вирус.

Файлы, подвергающиеся заражению

Компьютерный вирус может заразить очень ограниченное число файлов. Перечислим эти файлы. В первую очередь это исполняемые файлы с расширением .com и .ехе, затем - драйверы устройств с расширениями .sys и тем же .ехе. динамические библиотеки (расширение dll) и. наконец, оверлейные модули исполняемых файлов (как правило, имеют расширение .ovl).

Существуют вирусы, заражающие пакетные .bat файлы, но эти вирусы крайне примитивны и поступают очень просто: они вставляют в пакетные файлы команды своего вызова. Поймать такие вирусы не представляет труда.

Также могут быть подвергнуты заражению файлы документов и шаблонов редакторов, в которых при открытии документа предусмотрено выполнение макрокоманд. В частности, это .doc и .dot файлы текстового редактора Word, .xls и ,xlt файлы табличного редактора Excel.

Ни при каких условиях не могут быть подвергнуты заражению текстовые (.txt) и графические файлы (.tif, .gif, .bmp и т. п.), файлы данных и информационные файлы.

Случаи, когда можно заразить свой компьютер

Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев. Это:

Запуск на компьютере исполняемой программы, заражённой вирусом.

Загрузка компьютера с дискеты, содержащей загрузочный вирус.

Подключение к системе заражённого драйвера.

Открытие документа, заражённого макровирусом.

Установка на компьютере заражённой операционной системы.

Компьютер не может быть заражён, если:

На него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд).

На нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался.

На компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд).

Переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты).

Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.

Не стоит приписывать все сбои в работе оборудования или программ действию компьютерного вируса. Вирус - это обычная программа причём небольшого размера, и она не может совершать никаких сверхъестественных действий.


Типы вирусов

Вирусы - спутники. Наиболее примитивный тип вирусов. Для каждого файла с расширением .ехе создают файл с тем же именем, но с расширением .com. содержащий тело вируса. При запуске файла операционная система вначале ищет .com файлы, а потом .ехе файлы. Поэтому вначале управление получает вирус, а затем уже он сам вызывает необходимый ехе файл.

Файловые вирусы. Поражают файлы с расширением .com, .ехе, реже .sys или оверлейные модули .ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным; и, что самое печальное, такой файл нельзя восстановить. Часть этих вирусов остаётся в памяти резидентно.

Загрузочные вирусы. Поражают загрузочные сектора дисков. Инфицирование новых дисков происходит в тот момент, когда в заражённый компьютер вставляют новую дискету и начинают с ней работать. Часто вирус не

помешается целиком в загрузочной записи, туда пишется только его начало, а продолжение тела вируса сохраняется в другом месте диска. После запуска остаются в памяти резидентно.

Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов. Такие вирусы могут поражать как файлы, так и загрузочные сектора.

Вирусы DIR*. Интересный класс вирусов, появившийся недавно. Эти вирусы изменяют файловую систему диска очень хитрым образом. В таблице размещения файлов (FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками на тело вируса. Адреса же начала файлов в закодированном виде помещаются в неиспользуемые элементы директории. В результате, как только вы запускаете любую программу, управление автоматически получает вирус. Он остаётся в памяти резидентно и при работе восстанавливает правильные ссылки на начала файлов. Если диск, заражённый вирусом DIR, попадает на чистый компьютер, считать с него данные, естественно, оказывается невозможным (читается только один кластер). При попытке протестировать файловую структуру - скажем Norton Disk Doctor - на экран выдаётся сообщение об огромном количестве ошибок, но стоит запустить хоть одну программу с заражённого диска, как файловая система тут же "восстанавливается".На самом же деле происходит инфицирование ещё одного компьютера.

Макровирусы. Весьма оригинальный класс вирусов (хотя вирусами в полном смысле этого слова их даже нельзя назвать), заражающий документы, в которых предусмотрено выполнение макрокоманд. При открытии таких документов вначале исполняются макрокоманды (специальные программы высокого уровня), содержащиеся в этом документе, -макровирус как раз ипредставляет собой такую макрокоманду. Таким образом, как только будет открыт заражённый документ,вирус получит управление и совершит все вредный действия (в частности, найдёт и заразит ещё не заражённые документы).

Механизмы защиты вирусов от обнаружения

Как правило вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов - вирусы-невидимки (или стелс-вирусы) и самомодифицирующиеся вирусы (вирусы-призраки).

 

Стелс-вирусы (от английского stealth - Стелс-вирус - вирус, тем или иным способом скрывающий свое присутствие в системе.) реализуют очень хитрый механизм, затрудняющий их обнаружение. При заражении эти вирусы остаются в памяти резидентно и при обращении к заражённым файлам и областям диска подменяют информацию так, что "заказчик" получает её в незаражённом, исходном виде. Достигается это перехватыванием обращений DOS и установкой своих векторов прерываний. Увидеть такой вирус можно либо на незаражённом компьетере (например, загрузившись с заведомо чистой дискеты), либо в том случае, когда программа не пользуется средствами DOS а напрямую обращается к диску.

Вирусы-призраки маскируются с помощью другого механизма. Эти вирусы постоянно модифицируют себя таким. образом', что не содержат одинаковых фрагментов. Такие вирусы хранят своё тело в закодированном виде и постоянно меняют параметры этой кодировки. Стартовая же часть, занимающаяся декодированием непосредственно самого тела, может генерироваться весьма сложным способом. При переносе вируса данного типа с компьютера на компьютер код вируса изменяется таким образом, что уже не имеет ничего общего со своим предыдущим вариантом. А часть вирусов может самомодифицироваться и в пределах одного компьютера. Обнаружение таких вирусов весьма осложнено, хотя часть антивирусных программ пытается находить их по участкам кода, характерным для стартовой части.


* - DIR - Поле в ячейке управления ресурсами, показывающее направление RM-ячейки по отношению к потоку данных, с которым эта ячейка связана. Источник данных устанавливает DIR=0, получатель - DIR=1.

Что делать, если заражение уже произошло

Стандартные действия при заражении вирусом

Вы должны:

1.        Сразу же выключить питание, чтобы вирус перестал распространяться дальше. Единственное, что можно сделать до выключения питания, - это сохранить результаты текущей работы. Не следует использовать горячую перезагрузку (Ctrl+Alt+Del), т. к. некоторые вирусы при этом сохраняют свою активность.

2.        Войти в SETUP и включить загрузку с диска А:. Заодно рекомендуется проверить правильность всех установок, включая параметры жёстких дисков. Если произошли какие-либо изменения, то необходимо восстановить старые значения.

3.    Ни в коем случае не запускать ни одной программы, находящейся на жёстком диске.

4.        Необходимо загрузиться с дискеты (она должна быть защищена от записи) и запустить по очереди программы-детекторы, находящиеся на дискете. Если одна из программ обнаружит загрузочный вирус, то его можно тут же удалить, аналогично надо поступить и при наличии вируса DIR. Учтите, что вирусов может быть много.

5.        Если программа-детектор обнаружит файловый вирус, то возможны два варианта действий. Если у вас

установлена программа-ревизор с лечащем модулем, то восстановление файлов лучше делать с ее помощью.

Если такое программы нет. то необходимо воспользоваться для лечения одним из детекторов. Испорченные файлы (если, конечно, они не текстовые и не файлы данных) необходимо удалить.


Информация о работе «Компьютерные вирусы и антивирусы»
Раздел: Информатика, программирование
Количество знаков с пробелами: 33182
Количество таблиц: 26
Количество изображений: 1

Похожие работы

Скачать
61244
0
0

... годами «сидеть» в дистрибутивной копии какого-либо программного продукта и неожиданно проявиться при установке программ на новом компьютере. Никто не гарантирует полного уничтожения всех копий компьютерного вируса, так как файловый вирус может поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от COM или EXE. Загрузочный вирус может остаться на какой- ...

Скачать
67802
0
0

... «вредные программы»; Резидентные вирусы; Сетевые вирусы; Стелс-вирусы; Файловые вирусы; IRC-черви. 5. Методы борьбы с вирусами. 5.1. Методы обнаружения и удаления компьютерных вирусов Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных ...

Скачать
89191
0
0

... контрпримера к данной отличительной черте можно привести десятки совершенно безобидных вирусов, которые кроме своего распространения ничем больше не отличаются. Основная же особенность компьютерных вирусов - возможность их самопроизвольного внедрения в различные объекты операционной системы - присуща многим программам, которые не являются вирусами. Например, самая распространенная операционная ...

0 комментариев


Наверх