Вирусы и борьба с ними

ЛЕКЦИЯ 5. ВИРУСЫ И БОРЬБА С НИМИ

Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

По особенностям алгоритма можно выделить следующие  группы вирусов:

·          компаньон-вирусы (companion) - это вирусы, не изменяющие файлы. Алгоритм ра
боты этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл.

·          вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.

·          “паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”.

·          “стелс”-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы.

·          “полиморфик”-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Рекомендуемые материалы

·          “макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word.

Основные симптомы вирусного поражения следующие:

·        Замедление работы некоторых программ.

·        Увеличение размеров файлов (особенно выполняемых).

·        Появление не существовавших ранее “странных” файлов.

·        Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).

·        Внезапно возникающие разнообразные  видео и звуковые эффекты.

AVP

В ходе работы AVP сканирует:

·        Оперативную память (DOS, XMS, EMS).

·        Файлы, включая архивные и упакованные.

·        Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).

Основные особенности AVP:

·        Детектирование и удаление огромного числа самых разнообразных вирусов, в том числе:

*       полиморфных или самошифрующихся вирусов;

*       стелс-вирусов или вирусов-невидимок;

*       новых вирусов для  Windows 3.XX и Windows 95;

*       макро вирусов, заражающих документы Word и таблицы Excel.

·        Сканирование внутри упакованных файлов (модуль Unpacking Engine).

·        Сканирование внутри архивных файлов (модуль Extracting Engine).

·        Сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках.

·        Эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ вирусов.

·        Поиск в режиме избыточного сканирования.

·        Проверка объектов на наличие в них изменений.

·        “AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом.

·        Удобный пользовательский интерфейс.

·        Создание, сохранение и загрузка большого количества различных настроек.

·        Механизм проверки целостности антивирусной системы.

·        Мощная система помощи.

Перед тем, как начать проверку и/или лечение, Вы можете установить во вкладке “Действия” флажки “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов). При этом Вам станет доступно поле для ввода имени папки. По умолчанию имя папки для зараженных объектов - “Infected”, для подозрительных объектов - “Suspicious”. Если Вы хотите изменить имена этих папок, то введите новое имя в строке ввода, предварительно удалив старое. Находиться эти папки будут в папке, где лежит AVP. Указав в строке ввода кроме имени папок еще и путь, Вы можете изменить расположение этих папок. Тем самым AVP сохранит зараженные и/или подозрительные объекты в указанных Вами папках.

Во вкладке “Область” отметьте нужные диски и/или папки. Для этого два раза щелкните на нужном объекте левой кнопкой мыши или подведите курсор к нужному объекту и нажмите клавишу <Пробел>. Чтобы быстрее отметить диски, во вкладке “Область” нужно поставить соответствующие флажки “Локальные диски”, и/или “Сетевые диски”, и/или “Флоппи дисководы”. Например, если поставить флажок “Локальные диски”, то будут отмечены все локальные диски Вашего компьютера, на котором установлен AVP.

Если Вы хотите добавить в список папку, щелкните по кнопке “Добавить папку”. Перед Вами появится стандартное окно Windows 95, в котором с помощью мыши или клавиатуры, нужно выбрать папку, которую Вы хотите добавить в область для сканирования.

Во вкладке “Объекты” отметьте флажками типы объектов, которые Вы хотите просканировать: “Память”, и/или “Сектора”, и/или “Файлы”, и/или “Упакованные объекты”, и/или “Архивы”.

Если не один из объектов не будет отмечен флажком, а Вы нажмете кнопку “Пуск” для запуска сканирования, AVP выведет на экран окно с сообщением “Не заданы объекты для сканирования. Пожалуйста, отметьте “Файлы” и/или “Сектора” на закладке “Объекты”. В этом случае нажмите кнопку “OK” и выберите на вкладке “

Область” объекты для сканирования.

Во вкладке “Объекты” установите тип файлов, который будет тестироваться. Для надежности лучше проверить все файлы, для этого выберите “мышью” или клавишами управления курсором радиокнопку с надписью “Все файлы”.

При выборе режима во вкладке “Действия” лучше всего выбрать радиокнопку “Запрос на лечение”. В этом случае, при обнаружении очередного инфицированного объекта, на экране будет появляться диалоговое окно “Зараженный объект”, в котором можно задать действия с этим объектом.

Если Вы установите переключатели “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов), то эти объекты будут копироваться в отдельные папки. Это может быть полезным, если Вы предварительно не создали резервные копии.

Во вкладке “Настройки” Вы можете установить дополнительные режимы для поиска вирусов: “Предупреждения” (рекомендуется включить), и/или “Анализатор кода” (рекомендуется включить), и/или “Избыточное сканирование”, а также указать дополнительные опции: “Отчет о чистых объектах”, и/или “Отчет об упакованных объектах”, и/или “Звуковые эффекты”, и/или “Слежение за отчетом”. Отчет о работе AVP можно записать в файл отчета. Имя файла задайте рядом в поле ввода (по умолчанию - имя файла “Report.txt”).

DRWEB

Антивирусные программы семейства Dr.Web выполняют поиск и удаление известных программе вирусов из памяти и с дисков компьютера, а так же осуществляют эвристический анализ файлов и системных областей дисков компьютера. Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы.

В основном окне программы задаются объекты тестирования и действия, которые необходимо осуществлять над ними. После завершения проверки в главном окне отображаются результаты работы программы или статистика всех проведенных проверок за данный сеанс работы . Кроме этого, из главного окна доступны все дополнительные функции и настройки программы через систему меню и кнопки быстрого доступа.

Для проверки объектов на наличие вирусов необходимо выбрать устройства или их часть (каталоги, файлы), которые будет проверять Dr.Web. Это может быть произведено несколькими способами:

Панель выбора объектов для проверки, находящаяся в центральной части основного окна, отображает древовидную структуру имеющихся в системе устройств хранения информации:

Вы можете выбрать любое устройство левой кнопкой мышки. После выбора устройства его иконка приобретет новый вид:

Для проверки какой-либо отдельной папки (каталога) необходимо открыть структуру папок (каталогов). Для этого нужно щелкнуть левой кнопкой мышки по значку  слева от иконки устройства. Откроется дерево папок (каталогов) устройства и теперь можно выбрать одну или несколько папок (каталогов) с помощью щелчка левой кнопки мышки: 

/AL - проверка всех файлов на заданном устройстве или в заданном каталоге

/AR[N] - проверка файлов, находящихся внутри архивов. Обеспечивается проверка (без лечения) архивов, созданных архиваторами ARJ, PKZIP, RAR. Дополнительный параметр N блокирует печать имени программы-архиватора после имени архивного файла

/CU[RDMP-] - лечение файлов и системных областей дисков, удаление найденных вирусов. Вы можете указать дополнительные параметры:

"-" - только выводить отчет,

R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"),

Лекция "Клапан аорты (valva aortae)" также может быть Вам полезна.

D - удалять,

M - перемещать (по умолчанию, в подкаталог INFECTED.!!!),

P - перед действием выводить запрос

/EX - проверка файлов с расширениями, стандартными для исполняемых модулей, документов и таблиц MS Office, (т.е. только с расширениями COM, EXE, SYS, BAT, CMD, DRV, BIN, DLL, OV?, BOO, PRG, VXD, 386, SCR, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VBS, JS*, INF, A??, ZIP, R??, PP?, HLP)

/FM - проверка файлов по внутреннему формату исполняемых модулей.

Независимо от расширения проверяются файлы, имеющие внутреннюю структуру исполняемых программных модулей, а также "макросодержащих" документов MS Word и электронных таблиц MS Excel.