Реферат: Компьютерные вирусы

Программы-вакцины, или иммунизаторы, относятся к рези­дентным программам. Они модифицируют программы и дис­ки таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

6. Антивирусные программы.

Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте.

Охарактеризуем некоторые антивирусные программы. К настоящему времени зарубежными и отечественными фирма­ми и специалистами разработано большое количество анти­вирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

У российских пользователей персональных компьютеров популярен антивирусный комплект АО «Диалог-Наука», в который входят программа-ревизор диска Adinf и лечащий блок AdinfCureModule. Одна из последних версий этой программы-полифага Aidstest (конец 1997 г.) обнаруживает бо­лее 1700 вирусов. Aidstest для своего нормального функцио­нирования требует, чтобы в оперативной памяти не было дру­гих резидентных антивирусных программ, блокирующих за­пись в программные файлы, поэтому их следует предваритель­но выгрузить.

При запуске программы Aidstest проверяет оперативную память на наличие известных вирусов и обезвреживает их. При этом парализуются функции вируса, связанные с размноже­нием, а другие побочные эффекты могут оставаться, в связи с чем после окончания обезвреживания вируса программа вы­дает запрос о перезагрузке. Перезагрузку рекомендуется осу­ществить кнопкой RESET, так как при перезагрузке клавиша­ми [CTRL]+[Alt]+[Del] некоторые вирусы могут сохраняться. Кроме того, компьютер и антивирусную программу лучше за­пустить с защищенной от записи дискеты, чтобы при запуске с зараженного диска вирус не смог записаться в память рези­дентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также судит по искажению в своем коде о своем заражении неизвестным вирусом. При этом возможны случаи «ложной тревоги», например при сжатии антивируса программой- упа­ковщиком. Программа не имеет графического интерфейса, режимы ее 1 работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов) и /s (медленная проверка). Увеличение времени при таких опциях практически неощутимо (полностью запол­ненный жесткий диск емкостью 520 Мбайт на ПК с процессо­ром 486DX2 тестируется менее чем 2 мин), зато вероятность обнаружения вирусов резко повышается.

Ключ If следует использовать тогда, когда Aidstest, а также другие программы-антивирусы указывают на наличие вируса в каком-либо файле. При обнаружении вируса в ценном для пользователя файле этот файл следует переписать на дискету и попытаться вылечить с помощью ключа /f. Если попытка не увенчается успехом, надо удалить все зараженные копии фай­ла и проверить диск снова. Если в файле содержится важная информация, которую нежелательно удалять, можно заархивировать файл или найти другую антивирусную программу, способную лечить этот тип вируса.

Для создания в файле протокола работы программы Aidstest служит ключ /р. Протокол нужен, если пользователь не успевает просмотреть имена зараженных файлов. Для под­держки антивирусного программно- аппаратного комплекса Sheriff предназначен ключ /z.

Программа-полифаг DoctorWeb необходима прежде всего для борьбы с полиморфными вирусами, которые появились сравнительно недавно. Так же как и Aidstest, DoctorWeb об­новляется не реже раза в месяц, а в промежутках между верси­ями выходят 1-3 дополнения вирусной базы DoctorWeb.

Использование программы DoctorWeb для проверки дис­ков и удаления обнаруженных вирусов в целом подобно Aidstest, в связи с чем эту программу можно запускать сразу после (или до) запуска Aidstest. При этом практически не про­исходит «дублирования», так как Aidstest и DoctorWeb работают на разных наборах вирусов. В режиме эвристического анализа программа DoctorWeb способна эффективно определять файлы, зараженные новы­ми, неизвестными вирусами. Применяя одновременно Aidstest и DoctorWeb для контроля дискет и получаемых по сети фай­лов, можно почти наверняка избежать заражения.

С программой DoctorWeb можно работать как в режиме полноэкранного интерфейса с использованием меню и диало­говых окон, так и в режиме командной строки. В командной строке задаются диск, путь и необходимые ключи. Среди ключей: / al - диагностика всех файлов на заданном устройстве;

/р - удаление вирусов с подтверждением пользователя; / dl -удаление файлов, корректное "лечение" которых невозмож­но; / CU - "лечение" дисков и файлов; / zp - запись протокола работы в файл. При работе в режиме полноэкранного интер­фейса после запуска антивирусной программы пользователь использует необходимые установки через пункты основного меню:Dr . Web . Тест Настройки Дополнения.

Программа-ревизор Adinf позволяет обнаружить любой вирус, включая вирусы, вирусы-мутанты и неизвестные на се­годняшний день вирусы. Время проверки одного логичес­кого диска крайне мало, что дает возможность использовать Adinf повседневно без существенной потери времени.

Переход на применение операционной системы Windows 95 породил проблемы с защитой от вирусов, создаваемых специ­ально для этой среды. Кроме того, появилась новая разновид­ность инфекции - макровирусы, «вживляемые» в документы, подготавливаемые текстовым процессором Word. АО "Диа­лог-Наука" предложен программно-аппаратный комплекс Sheriff, предназначенный для антивирусного мониторинга и защиты, но он предполагает установку в ПК дополнительней платы расширения и может работать только на серверах и рабочих станциях, оперирующих большими объемами данных. Известными антивирусными программами являются AntiviralToolkitPro (AVP32), NortonAntiVirusforWindows 95, McAffeeVirusScan95, SophosSWEEPforWindows 95, ThunderBY ТЕ Ai.dVirusUtilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль оператив­ной памяти, папок и дисков, содержат алгоритмы для распоз­навания новых типов вирусов, позволяют в процессе провер­ки лечить файлы и диски.

Программа AntiviralToolkitPro (AVP32) является 32-раз­рядным приложением, работающим в среде Windows 95 и WindowsNT, имеет удобный пользовательский интерфейс, гибкую систему настроек и позволяет распознавать более 50 тыс. различных вирусов. Для работы этой программы компьютер должен иметь не менее 4 Мбайт оперативной памяти и не ме­нее 2 Мбайт свободного места на жестком диске. AntiviralToolkitPro распознает и удаляет полиморфные вирусы, вирусы невидимки, макро вирусы в документах, подготовленных в Word и Excel, "троянские кони".

Интерфейс программы AllMicroAntiVirusforWindows 95 довольно прост и не требует от пользователя дополнительных знаний о продукте - просто требуется нажать кнопку «Scan», после чего начинается проверка памяти, загрузочных секто­ров жесткого диска, а затем и всех дисков компьютера. Но простота работы не означает плохое качество: в базе данных программы содержится более 8000 сигнатур, и она может про­верять не только традиционные исполняемые файлы, но и ар­хивы, и новые типы файлов Windows 95, при этом пользова­тель имеет возможность задать строку условий для поиска не знакомых программе вирусов.

Программа Vscan 95 каждый раз в процессе начальной заг­рузки проверяет память компьютера, загрузочные сектора си­стемного диска и все файлы в корневом каталоге. Две другие программы пакета (McAfeeVshield и Vscan) созданы как при­ложения Windows 95. Первая обеспечивает после загрузки Windows 95 слежение за вновь подключенными дисками, кон­троль исполняемых программ и копируемых файлов, вторая программа служит для дополнительной проверки памяти, дис­ков и файлов. Пакет McAfeeVirusScan 95 умеет находить макро вирусы в MSWord учитывая развитие локальных компьютерных сетей элект­ронной почты и сети Интернет и внедрение сетевой ОС WindowsNT, разработчиками антивирусных программ раз­работаны и поставляются на рынок такие программы, как MailChecker, для проверки входящей и исходящей электронной почты, AntiViralToolkitPro - для обнаружения, лечения, уда­ления и перемещения в специальный каталог пораженных ви­русом файлов при работе с сетевой ОС NovellNetWare версий З.х и 4.х. Программа F-Secure для WindowsNTServer обеспе­чивает в реальном масштабе времени защиту сервера, автома­тически проверяя на наличие вирусов каждый файл, к которо­му обращаются рабочие станции, выполняет расширенное ав­томатическое протоколирование в специальный журнал собы­тий, оповещает о проявлениях вирусов системного админист­ратора.

7. Профилактика

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

¨ оснастите свой компьютер современными антивирусными программами, например AntiViralToolkitPro, DoctorWeb, и постоянно возобновляйте их версии

¨ перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

¨ при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

¨ периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

¨ всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

¨ обязательно делайте архивные копии на дискетах ценной для вас информации

¨ не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

¨ используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

¨ проверяйте e-mail даже если письмо пришло от хорошо известного вам человека (это обусловлено не тем что он хочет вам навредить а из-за того что он полный Lamer а его комп заражён)

Так же следует иногда проверять автозагрузку, т.к. именно туда обычно закидывают загрузочные вирусы, но этот метод очень распространён и по этому следует проверять в реестре следующую папку:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

8. Заключение.

Компьютерный вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.