4.2.6. Защита от компьютерных вирусов

Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т. е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала, как правило, управление получает вирус. Вирус находит и "заражает" другие программы или выполняет какие-нибудь вредные функции: портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память, изменяет адресацию обращений к внешним устройствам и т. д. Более того, зараженные программы могут быть перенесены на другой компьютер с помощью дискет или локальной сети.

Рис. 4.3.

Рис. 4.3.

Классификация компьютерных вирусов

В настоящее время известно более трех тысяч вирусов. Условно они подразделяются на классы по следующим признакам.

По среде обитания:

— сетевые, распространяющиеся по компьютерной сети;

— файловые, внедряющиеся в выполняемый файл;

— загрузочные, внедряющиеся в загрузочный сектор жесткого диска или дискеты.

По способу заражения:

— резидентные, загружаемые в память ПК;

— нерезидентные, не заражающие память ПК и остающиеся активными ограниченное время.

По возможностям:

— безвредные, не влияющие на работу ПК;

— неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими звуковыми и прочими эффектами;

— опасные, которые могут привести к серьезным сбоям в работе ПК;

— очень опасные, которые могут привести к потере программ, уничтожению данных, стереть информацию в системных областях памяти и даже преждевременному выходу из строя периферийных устройств. В последнее время появились вирусы, влияющие на здоровье человека (печально известный вирус "777").

* * *

Данная классификация объединяет, естественно, далеко не все возможные вирусы; в каждой категории встречаются варианты, не названные в силу их экзотичности, например, CMOS-вирусы или вирусоподобные структуры, "обитающие" в среде Microsoft Word. Кроме того, встречается ряд программ, не обладающих всеми свойствами вирусов, но могущих представлять серьезную опасность ("троянские кони" и т. п.).

* * *

Для защиты и борьбы с вирусами применяются специальные антивирусные программы, которые можно разделить на несколько видов:

— программы детекторы позволяют обнаружить файлы, зараженные вирусом. Работа детектора основывается на поиске участка кода, принадлежащего тому или иному известному вирусу. К сожалению, детекторы не гарантируют обнаружения "свежих" вирусов, хотя в некоторых из них для этого предусмотрены особые средства. Наиболее известными детекторами являются ViruScan, KetSсаn. У нас в стране используется детектор Aidstest;

— программы-доктора (или фаги) "лечат" зараженные программы или диски, уничтожая тело вируса. При этом в ряде случаев ваша информация может быть утеряна, так как некоторые вирусы настолько искажают среду обитания, что ее исходное состояние не может быть восстановлено. Широко известными программами-докторами являются Clean-Up, M-Disk и уже упомянутый выше Aidstest;

— программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а в дальнейшем сравнивают их состояние с исходным. При выявлении несоответствий выдают сообщение пользователю. Работа этих программ основана на проверке целостности (неизменности) файлов путем подсчета контрольной суммы и ее сравнении с эталонной, вычисленной при первом запуске ревизора, возможно также использование контрольных сумм, включаемых в состав программных файлов изготовителями. Могут быть созданы, и встречаются, вирусы, не изменяющие при заражении контрольную сумму, сосчитанную традиционным образом — суммированием всех байтов файла, однако практически невозможно замаскировать модификацию файла, ее подсчет ведется по произвольной, заранее неизвестной схеме (например, четные байты дополнительно умножаются на 2), и совсем невероятно при использовании двух (или более…) по-разному сосчитанных сумм.

Рис. 4.4.

Рис. 4.4.

Классификация специализированных программных антивирусных средств

Рис. 4.6.

Рис. 4.6.

Заставка антивирусной программы DrWeb

Рис. 4.5.

Рис. 4.5.

Заставка антивирусной программы Aidstest

— доктора-ревизоры — это программы, объединяющие свойства ревизоров и фагов, которые способны обнаружить изменения в файлах и системных областях дисков и при необходимости, в случае патологических изменений, могут автоматически вернуть файл в исходное состояние;

— программы-фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Программы фильтры контролируют действия, характерные для поведения вируса, такие как:

— обновление программных файлов;

— запись на жесткий диск по физическому адресу (прямая запись);

— форматирование диска;

— резидентное размещение программ в оперативной памяти.

* * *

Выявив попытку совершения одного из этих действий, программа-фильтр выдает описание ситуации и требует от пользователя подтверждение. Пользователь может разрешить операцию, если ее производит "полезная" программа, или отменить, если источник данного действия неясен. К широко распространенным программам фильтрам относятся FluShot Plus, Anti4Us, Floserum, Disk Monitor. Это достаточно надежный метод защиты, но создающий существенные неудобства для пользователя.

Некоторые антивирусные функции встроены в современные версии BIOS.

Выпускаемые антивирусные программные продукты, а их очень много, как правило, объединяют основные функции детектора-доктора-ревизора.

Следует отметить, что антивирусные программы постоянно обновляются, не реже одного раза в месяц, и способны защитить компьютеры от вирусов, известных программе на данный момент.

Прежде всего, необходимо подчеркнуть, что защитить компьютер от вирусов может только сам пользователь. Только правильное и своевременное применение антивирусных средств может гарантировать его от заражения или обеспечить минимальный ущерб, если заражение все-таки произошло.

Необходимо правильно организовывать работу на ПК и избегать бесконтрольной переписи программ с других компьютеров, в первую очередь это касается развлекательных программ и компьютерных игр.

Действия при заражении вирусом

При заражении компьютера вирусом (или подозрении на это заражение) необходимо выполнить следующие операции.

1. Выключить компьютер, чтобы вирус не продолжал выполнение своих разрушительных функции.

2. Произвести загрузку компьютера с "эталонной" (системной) дискеты (на которой записаны исполняемые файлы операционной системы и программы-детекторы) и запустить антивирусные программы для обнаружения и уничтожения вируса. Использование "эталонной" дискеты является необходимым, т. к. при загрузке операционной системы с жесткого диска некоторые вирусы могут переместиться в оперативную память из загрузочного модуля. При этом системная дискета должна быть защищена от записи, с помощью переключателя, расположенного на ее корпусе (для дискет 3,5") или наклейки (для дискет 5,25").

Рис. 4.7.

Рис. 4.7.

Защита дискеты от записи

3. Далее следует последовательно обезвредить все логические диски винчестера. Если некоторые файлы на логическом диске невозможно восстановить и они не уничтожаются, то необходимо неповрежденные файлы скопировать на другой логический диск, а этот диск заново отформатировать. Затем восстановить все файлы на этом логическом диске путем обратного копирования и с использованием архивных копий.

Профилактика против заражения вирусом

Профилактика в основном состоит в следующем.

Проверка информации, поступающей извне (дискеты, локальной сети и т. д.), с помощью программ-детекторов или программ-ревизоров. Для этого желательно использовать программы, которые проверяют не длину файла, а вычисляют его контрольную сумму, так как многие вирусы не изменяют длину зараженных файлов, а изменить файл так, чтобы его контрольная сумма осталась прежней, практически не возможно.

Если принесенные программы записаны на дискете в архивированном виде, то следует извлечь файлы из архива и проверить их сразу, только после этого файлы можно пускать в работу

Очень простой и надежной проверкой на наличие резидентных вирусов является отслеживание изменений в карте памяти компьютера, например, за прошедший день. Для этих целей можно использовать специальные программы, которые заносятся в командный файл autoexec.bat, выполняемый при начальной загрузке MS DOS. Весьма удачным выбором здесь может быть программа ADinf, которая умеет читать информацию с дисков без использования услуг DOS, так что ни один "невидимый" вирус не может ее обмануть. Это существенно сокращает время проверки, поскольку требуется проверить только вновь появившиеся или измененные файлы.

Похожие книги из библиотеки

Самозарядные пистолеты

Книга представляет собой систематизированный обзор наиболее известных боевых пистолетов, разработанных и выпускавшихся в период с начала XX века по наши дни. В этой работе представлена не только информация по конструкции, характеристикам и отличительным особенностями различных моделей пистолетов, но и личные впечатления владельцев и пользователей некоторых из представленных в книге образцов, а так же краткие обзоры исторических событий, послуживших основой к разработке и принятию на вооружение тех или иных систем.

«Крайним средством защиты народа от государственной тирании является право хранить и носить оружие – и это главный довод для сохранения этого права»

Третий президент США Томас Джефферсон

Асы Люфтваффе пилоты Bf 109 на Средиземноморье

Краткие очерки о наиболее успешных асах Германии на Средиземноморье (в основном Северная Африка и Италия) Второй мировой войны

Прим.: Полный комплект иллюстраций, расположенных как в печатном издании, подписи к иллюстрациям текстом.

Войны античного мира: Македонский гамбит.

Перед вами увлекательная книга, посвященная военной истории первой из империй Старого Света — Македонской.

Царь Филипп превратил Македонию в мощнейшее государство Греции, а походы его сына Александра привели к расширению границ греческого мира вплоть до Индии и обернулись возникновением синкретической «западно-восточной» цивилизации — эллинизма. И всю свою недолгую жизнь Александр разыгрывал рискованный гамбит с Ойкуменой, мечтая осуществить божественную идею — соединить все народы мира, возведя их в единый общечеловеческий стандарт. «Македонский гамбит» считается одним из наиболее выдающихся образцов военной стратегии.

Книга снабжена иллюстрациями, картами и подробными приложениями. Она будет интересна всем любителям военной истории.

Речные броненосцы северян. 1861-1865

Не было в период Гражданской войны между Севером и Югом кораблей более странных, а потому интригующих, чем броненосцы. А самыми необычными в этой группе стали броненосцы, построенные северянами для действий на Миссисипи и ее притоках. Используя приемы и опыт строительства коммерческих речных пароходов, северяне сумели отработать тип броненосца, идеально подходившего для действий на великой реке Северо- Американского континента. Такой корабль представлял собой комбинацию корпуса и машинерии речного парохода с защищенностью и могучим вооружением броненосца. Все знают о знаменитом сражении между «Монитором» и «Вирджинией» в марте 1862 г., однако тот не стал боевым крещением броненосцев как таковых. К этому времени Западная флотилия канонерских лодок северян уже вовсю хозяйничала в водах Миссисипи, атаковала форты Генри и Донельсен на реках Теннеси и Кумберленд в феврале 1862 г.