Компьютерные вирусы

Если клерк на переписывание одного листа тратит 30 секунд и ещё 30 секунд на раздачу копий, то через час по конторе будет "бродить" более 1 000 000 000 000 000 000 копий вируса! Скорее всего конечно же не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине.

Кстати, на примере клерка очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (с точностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давно в корзине!

Во-первых: вирусы не возникают сами собой - их создают очень злые и нехорошие программисты-хакеры и рассылают затем по сети передачи данных или подкидывают на компьютеры знакомых. Вирус не может сам собой появиться на вашем компьютере: либо его подсунули на дискетах или на компакт-диске, либо вы его случайно "скачали" из компьютерной сети передачи данных.

Во-вторых: компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться - через клавиатуру и мышь они не передаются.

компьютерный вирус

Обязательное (необходимое) свойство компьютерного вируса - возможность создавать свои дубликаты (не всегда совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Первая половина 70-х годов: под OC Tenex создан вирус The Creeper, использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удалённой системе. Для борьбы с этим вирусом была создана программа Reeper – первая известная антивирусная программа.

1981 год: эпидемия загрузочного вируса Elk Cloner на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне – переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.

Второе событие – появление болгарского «завода по производству вирусов»: огромное число новых вирусов имело болгарское происхождение. В июле произошёл инцидент с компьютерным журналом PC Today (Великобритания). Он содержал гибкий диск, заражённый вирусом DiskKiller. Было продано более 50 000 экземпляров журнала.

1993 год: появляется всё больше вирусов, использующих весьма необычные способы заражения файлов, проникновения в систему и т.д.

Полиморфик-вирусы достаточно трудно поддаются обнаружению; они не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Файловые вирусы могут внедряться практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (ВАТ), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других ОС - Windows 3.x, Windows 95/NT, OS/2, Macintosh, Unix, включая VxD-драйверы Windows 3.x и Windows 95.

Parasitic- вирусы

Companion- вирусы

Link- вирусы

Файловые черви

К разновидности overwriting-вирусов относятся вирусы, записывающиеся вместо DOS-заголовка NewEXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально работать в соответствующе ОС, однако DOS-заголовок оказывается испорченным.

На сегодняшний день известен единственный тип link-вирусов - вирус семейства Dir_II. При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов и длина и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

До заражения данные каталога хранят адрес первого кластера файла. После заражения данные каталога указывают на вирус, т. е. при запуске файла управление получают не файлы, а вирус.

Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и пр.). К таким вирусам относятся "ArjVirus" и "Winstart".

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

- резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена; резидентный вирус ищет незараженные файлы в текущем и (или) корневом каталогах, в каталогах, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;

как правило, уменьшает объем свободной памяти (слово по адресу 0040:0013), копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем некоторые вирусы ждут загрузки DOS и восстанавливают это слово в его первоначальном значении. В результате они оказываются расположенными не за пределами DOS, а как отдельные блоки DOS-памяти;

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения ОС к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97.

Данным условиям удовлетворяют редакторы Microsoft Word, Office 97 и AmiPro, а также электронная таблица Excel. Эти системы содержат себе макроязыки (Word - Word Basic, Excel и Office 97 - Visual Basic), а также: 1) макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Office 97); 2) макроязык позволяет копировать файлы (AmiPro) или перемещать как подпрограммы в служебные файлы системы и редактируемые файлы (Word, Excel, Office 97); 3) при работе с файлом при определенных условиях (открытие, закрытие и т. д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel, Office 97).

На сегодняшний день известны четыре системы, для которых существуют вирусы, - Microsoft Word, Excel, Office 97 и AmiPro. В этих системах вирус получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макровирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Таким образом, если документ заражен, при его открытии Word вызывает зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и запускает код вируса, если это не запрещено системной переменной DisableAutoMacros. Если вирус содержит макросы со стандартными именами, они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs). Если же переопределен какой-либо символ клавиатуры, то вирус активизируется только после нажатия на соответствующую клавишу.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается, сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым никак нельзя.

"Троянский конь" - это программа, наносящая какие-либо разрушительные действия, т. е. в зависимости от определенных условий или при каждом запуске уничтожающая информацию на дисках, "приводящая" систему (к зависанию) и т. п.

Загрузочные "стелс"-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.

профилактику вирусного заражения

использование антивирусных программ

Компьютерная профилактика предполагает соблюдение некоторых правил, позволяющих значительно снизить вероятность заражения вирусом и потери данных. Поэтому, чтобы определить эти основные правила компьютерной гигиены, необходимо выяснить пути проникновения вируса в компьютер и компьютерные сети.

Ремонтные службы

Правило второе: защита локальных сетей (ограничение прав пользователей, использование антивирусных программ, использование бездисковых рабочих станций.

Правило третье: используйте только хорошо зарекомендовавшие себя источники программ.

Правило пятое: необходимо ограничивать круг лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению многопользовательские ПК.

Какой антивирус самый лучший? Любой, если на вашем компьютере вирусы не водятся и вы не пользуетесь вирусоопасными источниками информации.

Антивирусные программы

Качество антивирусной программы определяется по следующим позициям, приведённым в порядке убывания их важности:

Антивирусные программы

Существование версий антивируса под все популярные платформы (операционные системы)

AVP – один из самых надёжных и мощных антивирусов в мире .

DrWeb – неплохая программа, имеющая все необходимые функции поиска и лечения вирусов. К недостаткам можно отнести очень небольшую базу данных (всего около 3000 вирусов).

Появится окно программы.

Откуда берутся вирусы?