Борьба с компьютерными вирусами

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Я  расскажу о двух из них: "невидимых" и самомодифицирующихся вирусах.

"НЕВИДИМЫЕ"  вирусы.  Многие  резидентные  вирусы  (и файловые, и загрузочные) предотвращают свое обнаружение тем, что  перехватывают обращения  DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот  эффект наблюдается  только на  зараженном компьютере - на "чистом" компьютере  изменения  в файлах и  загрузочных областях диска можно легко обнаружить.

САМОМОДИФИЦИРУЮЩИЕСЯ  вирусы. Другой способ, применяемый вирусами  для того, чтобы укрыться от  обнаружения, - модификация своего тела. Многие  вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью  дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а, кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд  вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать  вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами. 
 

                                           Классификация вирусов. 

     В настоящее время известно более 5000 программных вирусов, их можно  классифицировать по  следующим признакам:

1. среде обитания
2. способу заражения среды обитания
3. воздействию
4. особенностям алгоритма

В зависимости  от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения  COM  и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord).                       Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

     По  способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

     По  степени воздействия вирусы можно разделить на следующие виды:

1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических  или звуковых эффектах
2. опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
3. очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

      По  особенностям алгоритмов выделяют следующие группы вирусов:

1. "Компаньоны - спутники" - вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE файлов файлы спутники, имеющие то же самое имя, но с расширением .Com или Bat. Вирус записывается в Com или Bat-файл и никак не изменяет EXE-файл. При активации такого файла операционная система первым обнаружит и выполнит Bat-файл или COM-файл, т.е. вирус, который затем уже запустит и EXE-файл.
2. "Черви - репликаторы" - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон, вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают файлы, но могут вообще не обращаться к ресурсам компьютеров (кроме оперативной памяти).
3. "Паразитические" - все вирусы, которые при распространении своих копий изменяют содержимое дисковых секторов или файлов. В эту группу относятся вирусы, которые не являются "червями" и "спутниками".
4. "Студенческие" - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок, именно по этой причине они могут быть любой степени опасности, если их быстро не удалить из компьютера. 
   
5. "Стелс невидимки" вирусы, представляющие собой совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и "подставляют" вместо себя незараженные участки информации. Такие вирусы используют оригинальные алгоритмы, позволяющие "обманывать" резидентные АВП.
6. "Полиморфик - призраки -  мутанты" вирусы (само шифрующиеся) достаточно трудно обнаруживаемые вирусы, не имеющие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик вируса не имеют ни одного совпадения.
7. "Троянские кони" -  вирусы, которые могут маскироваться под полезную программу и выполнять разрушительные действия при каждой активации. Они могут размножаться без внедрения в другие файлы, а более совершенные из них, активируются при определенных ситуациях или событиях в ЭВМ или сети.
8. "Макро" вирусы этого семейства используют возможности макроязыков в системах обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро вирусы, заражающие документы редакторов Microsoft  Word ,  Excel,  Access. 
   Каким бы не был вирус, пользователю необходимо знать  основные  методы защиты от компьютерных вирусов.

Антивирусные  программы.

Классификация антивирусных программ.

Классифицируются  антивирусные программы  на чистые антивирусы и антивирусы двойного назначения.

Чистые  антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлу подразделяется на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access – продукты называют мониторами, а on demand – продукты – сканерами.

On demand – продукт работает по следующей схеме: пользователь хочет что – либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access – продукт – это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения – это программы, используемые как  в антивирусах, так  и в ПО, которое  антивирусом не является. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и, которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль. 

Меры  защиты от вирусов.

Для защиты от вирусов можно использовать:

1. общие  средства защиты информации, которые  полезны также и как страховка  от физической порчи дисков, неправильно  работающих программ или ошибочных действий пользователя;

2.профилактические  меры, позволяющие уменьшить вероятность заражения вирусом;

3.специализированные  программы для защиты от вирусов.

Общие средства защиты информации полезны  не только для защиты от вирусов. Имеются две основные разновидности этих средств:

1. копирование  информации - создание копий  файлов  и  системных  областей дисков;

2. разграничение  доступа  предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных  вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

1. программы-детекторы;
2. программы-доктора или фаги;
3. программы-ревизоры;
4. программы-фильтры;
5. программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. 

Программы-доктора  или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aids test, Scan, Norton Antivirus, Doctor Web.

Учитывая, что постоянно появляются новые  вирусы, программы-детекторы и программы-доктора  быстро устаревают, и требуется регулярное обновление версий. 

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля  (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf. 

Программы-фильтры  или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE;
2. изменение атрибутов файла;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы.

При попытке  какой-либо программы произвести указанные  действия «сторож» посылает пользователю сообщение и предлагает запретить  или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. 

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют  избежать распространения вирусной эпидемии на другие компьютеры.