Что такое самомодифицирующихся вирусов

Обновлено: 23.04.2024

В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].

Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.

Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].

Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.

Существует довольно много показателей, по которым судят об эффективности антивирусного ПО и о компании, создавшей и поддерживающей его. Типичные показатели включают в себя время реагирования компании на новые угрозы и возможности антивируса к их обнаружению. Но достаточно ли этих показателей для эффективной защиты вашей системы?

Цель этой статьи – исследовать проблемы и сложности обнаружения комплексных вирусов, включая полиморфные, метаморфные вирусы, и вирусы, скрывающие точку входа. Возможность обнаружения таких вирусов может помочь в оценке антивирусного ПО.

В этой статье мы покажем, какие проблемы влекут за собой комплексные вирусы. Важным шагом в знакомстве с комплексными вирусами будет определение понятий полиморфный вирус, метаморфный вирус, вирус, скрывающий точку входа, и понимание угроз, которые они несут с собой. Потом мы рассмотрим несколько реальных примеров того, как были обнаружены комплексные вирусы, и это подведет нас к обсуждению ограничений современных антивирусных технологий.

Обзор комплексных вирусов

Раньше полезным и популярным показателем считалось количество вирусов, которые способен обнаружить антивирус, однако с приходом более полезных и разумных методов про него забыли. Сегодня такими показателями считаются время реагирования антивирусной компании на новую угрозу и возможности их продукта к обнаружению вирусов. Однако эти показатели часто не затрагивают угрозу иного рода – комплексных вирусов. При обнаружении комплексных вирусов скорее всего придется столкнуться с двумя проблемами: либо это вирусы, которые просто очень сложно обнаружить, либо поисковый механизм антивируса не позволяет это сделать. Мы начнем, пожалуй, с определений, которые нам пригодятся.

Полиморфный вирус – вирус изменяющий свой код внутри заражаемых програм. Например, он может шифровать свое тело используя каждый раз разные ключи, и расшифровывать его во время активации. Цикл расшифровки мутирует с различными поколениями вирусов и, обычно, не так-то просто понять его алгоритм.

Метаморфные вирусы, так же изменяют свой код, но не используют алгоритмы шифрования. Различие проявляется в виде изменений внутри кода вируса. Существует несколько технологий, позволяющих с успехом реализовывать данную методику.

Одна из этих технологий трансформации, используемая метамофными программами основана на вставке и удалении “мусора” внутри кода. Эти инструкции не влияют на работу вируса, но занимают некоторое количество места и усложняют анализ больших участков кода.

Другая технология – изменение базовых инструкций на уровне опкода. Это означает переключение между несколькими отличающимися опкодами, которые выполняют одну и ту же функцию.

Вирус, скрывающий точку входа – это вирус, который получает управление от программы косвенным путем, не напрямую через главную точку входа. Обычно это осуществляется в изменении адреса переменной в теле программы, адреса входа функции или вызова API, направляя управляющий поток к коду вируса.

Довольно сложным вирусом может быть полиморфный Win32 вирус, внешность которого сильно разнится между экземплярами. Независимо от доступной вам технологии обнаружения вируса, первым делом следует изучить принцип работы вируса и разработать алгоритм, способный определять все его копии. Однако это может оказаться утомляющей задачей, даже при наличии опыта в написании подобных алгоритмов в виде отдельной программы на известном языке.

Определение угрозы

Все эти примеры стоят нескольких дней (и ночей) работы, имея ввиду реверсинг, репликацию вируса и написание алгоритма определения вируса. Исследователю будет легче написать сначала отдельную программу на Си, и после этого интегрировать алгоритм в антивирусный продукт.

Ограничения в технологии поиска вирусов

К сожалению, антивирусные эксперты не имеют возможности писать отдельные программы для каждого нового вируса. Вместо этого они вынуждены ограничиться структурой своего антивирусного продукта. Эта структура может быть более или менее гибкой и обычно сопровождается некоторым числом ограничений, которые и определяют эффективность ответа на угрозу.

Сравнительно простой вирус, направленный на только зарождающуюся платформу (скажем Win64), может выявить ограничения поискового механизма антивируса, которые усложнят его обнаружение настолько же, насколько сложно обнаружить полиморфный вирус на Win32. Конечно все зависит от доступной антивирусной технологии. Может оказаться, что формат файла не проверяется антивирусом, либо не поддержан. Также может понадобиться эмуляция. Эти факторы влияют на способность обнаружения вируса.

Некоторые новые вирусы, найденные в 2004 году, нацеленные на платформу Win64 и довольно сложно определяемые, включают в себя W64/Rugrat (документ PDF) (IA64), W64/Shruggle (AMD64) и несколько вирусов с MSIL-инфекторами. Соответствующие форматы исполняемых файлов варьируются, так что даже задача подбора поисковой строки превращается в трюк акробата, если антивирус не поддерживает эти форматы.

Важность своевременного обнаружения комплексных вирусов

Кроме времени реакции, различается и способность к обнаружению вирусов, это видно при измерении способности обнаружить все виды полиморфных вирусов, учитывая допустимую погрешность. А что такое допустимая погрешность? Хотя она разная у каждой компании, обычно она составляет лишь небольшой процент ложных обнаружений, но есть и исключения. Последний пример – W32/Zelly – этому вирусу была разрешена большая (50%) погрешность некоторыми компаниями лишь для того, чтобы стать первыми его находчиками.

Что если ваша антивирусная компания перестанет уделять внимание комплексным вирусам? Это должно подсказать вам, что их технологии и/или профессионализм не на высшем уровне. Что если завтрашний Mydoom будет полиморфным? Смогут ли они дать ответ угрозе?

Если вы считаете этот сценарий маловероятным, сравните его с этой аналогией: если бы вам пришлось выбрать хирурга для проведения операции, вы бы выбрали того, кто провел сотни успешных операций на разные части тела, или того, кто только практиковался в вырезании аппендицита? Даже для вырезания аппендицита, большинство бы выбрали первого.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

2 Juli
я не против тебя.
Я лишь против того чтобы один человек навешивал лейблы на статью. Пусть каждый сам для себя решит что в статье для него лично интерестного.
--------
ps.
а почему со мной нельзя спорить? Пока обсуждение идет в рамках правил форума, любые попытки отстоять свою точку зрения конструктивными методами только приветствуются.

2 Phoenix
Ну тогда я все еще считаю, что в статье написаны общие теоритически вещи. которые можно прочитать везде. В чем смысл тогда статьи? Разместить ее на seclabe или просто пересказать все по-своему?

Чесно гря в статье есть много довольно интересных моментов Но я жадно рыскал по ней в поисках каких то новых способах обнаружения или маскировки Более полное раскрытие этих способов плюсы минусы Но увы чет нинашол Огорчился растроился =)

Странно, что ещё не было каментоф по поводу того, какая тема не раскрыта..

Я бы следующее отметил:

Во-первых, амеры не могут профессионально писать статьи: у них всегда нелепые сравнения, эпитеты, эмоции и упрощения, а также значительно размазана по тексту мысль.

Во-вторых, кое-что там нового (для меня) нашлось, хотя я изредка темой интересуюсь. С другой стороны, это всё-таки явная реклама ( "..является одним из показателей при выборе антивирусного продукта" ), так что не стоит к ней серьёзно относиться.

В-третьих, про эмуляцию ничего нет, только само слово. Из этого можно заключить, что скорее всего у Симантека с этим есть проблемы.

Ну и в-последних: правда ведь не раскрыта тема! Может, сподобитесь, к-примеру, у Данилова интервью/статью взять? Он-то наш зоопарк получше знает..

то, что эксперты симантека грамотные камрады я не сомневаюсь, однако статья рассчитана на пендостан и объективной критики не выдерживает вообще.

Основные темы раскрыты поверхностно, что в общем достаточно для понимания предмета.

резюме: статья есть обычный пресс-релиз с какой-нить конференции.

Цитата
Cerber пишет: Чесно гря в статье есть много довольно интересных моментов Но я жадно рыскал по ней в поисках каких то новых способах обнаружения или маскировки Более полное раскрытие этих способов плюсы минусы Но увы чет нинашол Огорчился растроился =)

Напрасно растроился.Резве в популистских статьях расказывается о методах маскировки? Это уже специализированые статьи.Просто например некоторые расширения файлов (в том же Касперском) по умолчанию исключины из просмотра антивирусом..Да и не только в нем..Вот некоторые,более-менее "продвинутые" вирусописатели и используют это обстоятельство. Кроме того,вирусы и черви можно подгружать прям с хоумпаг (ведь большинство юзверей используют на компах АктивХ),при этом всегда можно в HTML-е закодировать тело виря (это что б не просматривали через "Просмотр в виде HTML")..Да мало ли..Многие даже не ставят никакой антивирь..

Полезного для тебя? Так и никто не заставляет читать. Это общепознавательная статья для общего развития.

Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.

Цитата
Juli пишет: Полностью согласна с Cerber и NC. Ничего нового, интересного и полезного.

Цитата
Juli пишет: Полностью согласна с Cerber и NC. Ничего нового, интересного и полезного.

Что именно в ней познавательного для тебя? Похоже ничего
А для меня много чего интересного, но похоже тебе этого не понять, да и надо ли? не нравится, просто игнорируй эту статью.

Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.

2 Juli
никто никому тут ничего не должен и не обязан. Считаешь ты статью по каким либо критериям интерестноя для себя - читай. не считаешь его таковой - не читай. Хочешь что либо сказать конструктивного в форуме по поводу статьи - говори. не хочешь не говори.
никто тут тебя читать статью не заставляет, и своего мнения тебе на навязывает. Вот и ты не навязывай.

Эту статью писали одни из ведущих экспертов компании symantec. Я думаю глубже просто никто бы не понял и не так бы она была позновательна. Вот ты смотришь передачу, например, "Здоровье"? Преставь что если бы тебе вместо небольшого обзора средств против сифилиса (например) начинали бы грузить химическим составом этих средств и подробной процедурой их получения и их воздействию на больные клетки? Кому это интересно?

Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.

Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может “приписывать” себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется “зараженной”. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и “заражает” другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т. д.). Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в “полной изоляции”. Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

Основные типы компьютерных вирусов

Существует совершенно формальная система, позволяющая классифицировать компьютерные вирусы и называть их таким образом, чтобы избежать ситуации, когда один и тот же вирус имеет неузнаваемо разные имена в классификации разных разработчиков антивирусных программ. Несмотря на это, всё ещё нельзя сказать о полной унификации имён и характеристик вирусов. В значительной степени это определяется тем, что к моменту, когда были сформулированы некоторые “правила игры”, уже существовали антивирусные средства, работающие в собственной системе обозначений. Всеобщая унификация потребовала бы приложить значительные усилия и модифицировать программы и документацию. В ряде случаев это было сделано. Мы станем исходить из того, что обычному пользователю нет необходимости вникать во все тонкости функционирования вируса: объекты атаки, способы заражения, особенности проявления и пр. Но желательно знать, какими бывают вирусы, понимать общую схему их работы.

Среди всего разнообразия вирусов можно выделить следующие основные группы:

– загрузочные вирусы; так называют вирусы, заражающие загрузочные секторы дискет и винчестеров;

– файловые вирусы; в простейшем случае такие вирусы заражают исполняемые файлы; если с загрузочными вирусами всё более или менее ясно, то файловые вирусы – это гораздо менее определённое понятие; достаточно, к примеру, сказать, что файловый вирус может вообще не модифицировать файл (вирусы-спутники и вирусы семейства Dir-II);

– загрузочно-файловые вирусы; такие вирусы обладают способностью заражать как код загрузочных секторов, так и код файлов. Таких вирусов не очень много, но среди них встречаются чрезвычайно злобные экземпляры (например, известный вирус OneHalf).

- Вирусы, написанные на т.н. макроязыках, формально являются файловыми, но заражают не исполняемые файлы, а файлы данных, правда, устроенные так, что их можно заражать, – это уже на совести издателей программного обеспечения. Примером могут служить вирусы написанные на VisualBasic для MSОffice. На сегодняшний день это самый распространенный тип вирусов. Некоторые из них могут самостоятельно распространятся по электронной почте, беря базу адресов из MicrosoftOutlook.

- Троянские кони, специально написанные программы, которые позволяют получить доступ к другому компьютеру или нужную информацию. Обычно этот тип вирусов не может самостоятельно размножаться и попадает на компьютер под видом другой программы или по электронной почте.

Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить надлежащим образом, любой файл на имеющихся на компьютере дисках. Но некоторые виды файлов вирус может заразить. Это означает, что вирус может “внедриться” в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

Вирусом могут быть заражены следующие виды файлов:

2. Загрузчик операционной системы и главная загрузочная запись жесткого диска. Эти области поражают загрузочный вирус.

Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись и главная загрузочная запись имеют небольшой размер ив них трудно разместить целиком всю программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затёрта при записи данных на диск).

3. Драйверы устройств, т.е. файлы, указываемые в приложении Device файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS – их заражение также теоретически возможно, но для распространения малоэффективно.

Вирусы, меняющие файловую систему

Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностной просмотре зараженного диска на “чистом” компьютере ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы в них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

“Невидимые” и самомодифицирующиеся вирусы

Чтобы предотвратить своё обнаружение, некоторые вирусы применяют довольно хитрые приёмы маскировки. Речь пойдёт о двух из них: “невидимых” и самомодифицирующихся вирусах.

“Невидимые” вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают своё обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере – на “чистом” компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Заметим, некоторые антивирусные программы могут обнаруживать “невидимые” вирусы даже на зараженном компьютере. Так, программа ADinf фирмы “Диалог-Наука” для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP фирмы “Диалог-МГУ” – “отключает” на время проверки вирус (последний метод работает не всегда).

Некоторые антивирусные программы используют для борьбы с вирусами свойство “невидимых” файловых вирусов “вылечивать” зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем, уже после загрузки с “чистой” дискеты, исполнимые файлы восстанавливаются в исходном виде.

Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, – модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот приём и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Однако программы-детекторы всё же научились ловить “простые” самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления “незначащих” команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передаётся одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознавания таких вирусов довольно сложна, и полностью надёжного решения пока не получила. Впрочем, в некоторых антивирусных программах имеются средства для нахождения подобных вирусов, а в программе Dr. Web – также и эвристические методы обнаружения “подозрительных” участков программного кода, типичные для самомодифицирующихся вирусов.

Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

– общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вируса. Имеются две основные разновидности этих средств:

копирование информации – создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, всё же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры (программы контроля изменений в файлах и системных областях дисков), доктора-ревизоры, фильтры (резидентные программы для защиты от вирусов) и вакцины (иммунизаторы). Приведём краткие определения этих понятий, а затем рассмотрим их подробно.

Программы-детекторы позволяют обнаружить файлы, зараженные одним из нескольких известных вирусов.

Программы-доктора, или фаги, “лечат” зараженные программы или диски, “выкусывая” из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.

Доктора-ревизоры – это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Программы-детекторы и доктора

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей “известны”. Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы “Диалог-МГУ”, могут настраиваться на новые типы вирусов, им необходимо указать лишь комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознаётся детекторами как зараженная, не следует, что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие пользователи включают команду запуска программы- ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он ещё не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти повреждённые вирусом файлы.

Что могут и чего не могут компьютерные вирусы

Из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати часто создаётся своеобразный комплекс боязни вирусов, т.н. “вирусофобия”. Этот комплекс имеет два проявления.

1. Склонность приписывать любое повреждение данных или необычное явление на компьютере действию вирусов. Например, не форматируется дискета, это для “вирусофоба” не возможный дефект дискеты или дисковода, а действие вируса. Если на жёстком диске появляется сбойный блок, то в этом тоже, разумеется, виноват вирус. На самом же деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования.

2. Преувеличенные представления о возможностях вирусов. Некоторые думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров, объединённых

в сеть, или даже просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приведёт к заражению остальных.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут и чего не могут. Вирусы являются обычными программами и не могут совершать никаких сверхъестественных действий.

Для того чтобы компьютер заразился вирусом, необходимо, чтобы на нём хотя бы один раз была выполнена программа, содержащая вирус. Поэтому первичное заражение компьютера вирусом может произойти в одном из следующих случаев:

– компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

на компьютере была установлена зараженная операционная система или зараженный драйвер устройства;

Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:

на компьютер переписываются тексты программ, документов, информационные файлы баз данных или табличных процессоров и т.д. Эти файлы не являются программами, а поэтому они не могут быть заражены вирусом;

на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер “здоров”, то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации – это копирование зараженного файла: при этом его копия, разумеется, тоже будет “заражена”, но ни компьютер, ни какие-то другие файлы заражены не будут;

с помощью имеющихся на жестком диске незараженного компьютера текстовых процессоров, табличных процессоров, систем управления базами данных и других программ обрабатываются информационные файлы, содержащиеся на дискетах.

Список литературы

Информатика. Компьютерные вирусы. //Приложение к газете “Первое сентября”, 1997 г. № 37

Читайте также:

  
• Что такое циркуляция вируса
  
• 9 март кунги янгилик карона вирус хитой
  
• Менее подвержены заражению вирусами
  
• Как лечить герпес на теле у взрослых отзывы
  
• Может ли быть кашель после прививки коклюш