Вирусы и обслуживание компьютера

2.3 Вирусы и обслуживание компьютера

Что такое компьютерные вирусы? Компьютерным вирусом, называется программа (некоторая совокупность выполняемого кода инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.

2.3.1. Основные симптомы вирусного поражения

1.)  Замедление работы некоторых программ.

2.)  Увеличение размеров файлов (особенно выполняемых).

3.)  Появление не существовавших ранее “странных” файлов.

4.)  Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).

5.)  Внезапно возникающие разнообразные видео и звуковые эффекты.

При всех перечисленных выше симптомах, а также при других “странных” проявлениях в работе системы (неустойчивая работа, частые “самостоятельные” перезагрузки и прочее) мы настоятельно рекомендуем Вам, немедленно произвести проверку Вашей системы на наличие вирусов с помощью AVP. При этом лучше, если программа будет иметь самую последнюю версию и самые свежие обновления антивирусных баз.

Рекомендуемые материалы

2.3.2. Классификация вирусов по признакам

1.)  по среде обитания вируса;

2.)  по способу заражения среды обитания;

3.)  по деструктивным возможностям

4.)  по особенностям алгоритма вируса

1.)     По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Существуют сочетания - например, файлово - загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.

2.)     Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

3.)     По деструктивным возможностям вирусы можно разделить на:

а.)  безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

б.)  неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

в.)  опасные вирусы, которые могут привести к серьезным сбоям в работе

г.)  очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

4.)     По особенностям алгоритма можно выделить следующие  группы вирусов:

а.)  компаньон-вирусы (companion) - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл.

б.)  вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.

в.)  “паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”.

г.)  “студенческие” - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;

д.)  “стелс” - вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы.

е.)  “полиморфик” - вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

ё.)  “макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word.

2.3.3. Антивирусные программы

Рекомендация для Вас - 13. Практическое применение уравнения Д. Бернулли.

В противостоянии добра и зла последнее, увы, обычно оказывается впереди. Разработчики антивирусных программ постоянно находятся в положении догоняющих, создавая средства обнаружения и уничтожения все новых и новых вирусов их разновидностей (притом, что на сегодняшний день их количество перевалило за 45000). Из этого следует вывод: антивирусное программное обеспечение довольно быстро устаревает. В базы данных условно-бесплатных (shareware) и коммерческих версий антивирусных пакетов, как правило, включаются сведения обо всех существующих на момент их выхода в свет вирусах. Тем не менее, их необходимо регулярно и достаточно часто обновлять. Одними из наиболее известных антивирусных пакетов являются Norton Anti-Virus (NAV) фирмы Symantec и VirusScan фирмы Network Associates, AVP Kaspersky Lab. Если у вас установлена операционная система MS-DOS 6.0 или более поздняя версия, то у вас уже есть антивирусная программа Microsoft Anti- Virus (MSAV).

Другим недостатком антивирусных программ является их неспособность успешно удалять все вирусы из исполняемых файлов. Файлы с расширением СОМ являются простыми отображениями содержимого памяти (т.е. загружаются в нее целиком), а у ЕХЕ-файлов есть заголовки, в которых содержится важная информация. Если вирус внедряется в ЕХЕ-файл и повреждает заголовок, то восстановить его практически невозможно. Но уничтожать вирусы надо всегда: даже если заголовок ЕХЕ-файла реставрации не подлежит, вы все равно ничего не теряете при попытке удаления вируса — программа-то уже не работает. При необходимости поврежденный ЕХЕ-файл можно восстановить из резервной копии или с дистрибутивного диска. Помните, что нет лучшей защиты от вирусов и последствий выхода из строя аппаратуры, чем проведение регулярного резервного копирования важных данных. Лучше восстановить инфицированную резервную копию и очистить ее, чем отказаться от этой, безусловно, нудной и утомительной, но очень важной процедуры.

2.3.4 Стерилизация

Первое предположение, из которого надо исходить, — что все компьютеры, обслуживанием которых вам приходится заниматься, заражены вирусами. Подозревать наличие вируса следует даже при самых невинных симптомах неполадок (например, при “залипании” клавиатуры). Храните оригиналы антивирусных дисков вне стен мастерской или офиса — тем самым вы предохраните их от случайного инфицирования. После создания рабочих копий антивирусных дисков немедленно защитите их от записи! Будьте готовы тому, что рабочие копии придется часто менять. Заменить или даже выбросить дискету гораздо проще и дешевле, чем сканировать и, чистить от вирусов каждый диск в вашей мастерской или офисе.

Здравый смысл подсказывает, что любую диагностику следует начинать с проверки системы на наличие вирусов. Если таковые будут обнаружены, то вы сможете сэкономить массу времени. Возможно, вам вообще не придется разбирать компьютер и проверять его аппаратную часть. Конечно, разбирать компьютеры до винтика приходится не каждый день, но даже обычное переформатирование жесткого диска или его замена (катастрофическая альтернатива для владельца компьютера, если у него нет резервной копии данных) отнимет у вас гораздо больше времени, чем удаление вируса. Кстати, переформатирование жесткого диска непосредственно в зараженной системе не всегда решает проблему, поскольку резидентные вирусы после такой процедуры часто перебираются на обновленный диск. Далеко не последнее соображение: сохранив информацию на диске своего клиента, вы услышите в свой адрес множество благодарственных слов. И, наконец, последнее, предварительная проверка на вирусы выполняется довольно быстро — компьютер в любом случае уже перед вами. Просто вставьте дискету и включите его.

Ранее уже говорилось об эвристическом анализе программных кодов. К сожалению, при использовании этого метода вероятность обнаружить новый вирус далека от 100%. С другой стороны, большинство современных антивирусных пакетов использует базы данных, которые можно регулярно обновлять через тот же Интернет, при этом собственно программа не меняется.