Вирус с отложенным действием
Обновлено: 07.05.2024
В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].
Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.
Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].
К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:
В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].
Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.
А вот 49-летней Светлане, попавшей в больницу из-за двустороннего воспаления легких, пришлось столкнуться с другими последствиями. В течение трех месяцев после выписки ее мучили бессонница и тревожность, а в короткие промежутки, когда удавалось заснуть, — кошмары. В итоге женщине пришлось обратиться к психиатру за помощью.
Фото © Pixabay
Специалисты обратили внимание на такие последствия уже после первой волны пандемии. На сегодняшний день, по данным исследователей, более трети переболевших коронавирусом сталкиваются в той или иной степени с негативными последствиями для психики. Диапазон расстройств очень широкий: от апатии до затяжных депрессий, панических атак и проблем с памятью. Медики обнаружили и зависимость: чем тяжелее проходила болезнь, тем серьезнее были психологические последствия.
Психиатры обращают внимание на то, что проблема психического здоровья в связи с COVID-19 гораздо шире, чем просто влияние вируса на организм человека. Можно сказать, что его воздействие на человеческую психику начинается гораздо раньше, чем он попадает в организм.
Тревожные ожидания
Уже в первую волну пандемии в 2020 году психиатры обратили внимание на изменение психического здоровья населения. Локдауны, другие коронавирусные ограничения, удаленная работа, постоянное нахождение человека дома — все это уже провоцировало негативные психологические эффекты. Добавьте к этому тревожные ожидания — страх заболеть в тяжелой форме, боязнь за близких, возможность потерять работу — и вот он, набор, который ложится тяжелым грузом на психику человека.
При этом некоторые исследователи заговорили о росте суицидальных и депрессивных настроений среди вполне здоровых граждан в разных странах мира. Более того, стали появляться данные об участившихся случаях семейного насилия и разводов.
Фото © Pixabay
Когда человек заболевает, его тревожные ожидания усиливаются. Пациент начинает с опасением следить за своим состоянием, симптомами, температурой, дыханием. Никому не хочется оказаться в больнице, где действует строгий карантин. Еще больше страхов вызывает возможность развития тяжелых осложнений, применения аппаратов ИВЛ и других процедур. Сейчас врачи уже знают, что наиболее тяжелые психологические последствия возникают как раз у больных, прошедших через искусственную вентиляцию легких.
Как действует вирус?
Но причины постковидных психических расстройств — не только в страхах за свою жизнь. Здесь начинают играть роль и собственно факторы болезни. Недостаток кислорода в организме приводит в том числе и к плохому снабжению им мозга. Такой эффект может привести к самым разным последствиям для нервной системы.
По данным исследования итальянских медиков, опубликованного в журнале Brain, Behavior and Immunity, те или иные психические проблемы испытывали 55% переболевших ковидом пациентов. Ученые, опросившие 402 человека, связывают их с гормональными нарушениями, которые провоцирует иммунная система, сопротивляющаяся вирусу. Еще одна причина негативных психических последствий — сильный стресс, который переживает организм больного.
Последующее изучение психики пациентов, перенесших COVID-19, скорректировало данные итальянских специалистов. Так, группа исследователей из США и Великобритании получила менее пессимистические результаты. После масштабного изучения историй болезни более 230 тысяч человек ученые заявили, что всего 34% перенесших ковид в течение шести месяцев жаловались на тревожность и расстройство личности.
Ковид как травма
Специалисты Национального медицинского исследовательского центра им. В. М. Бехтерева считают, что после COVID-19 у пациентов отмечаются симптомы, характерные для так называемого посттравматического стрессового расстройства (ПТСР).
ПТСР хорошо известно психиатрам — это расстройство может возникать после любого травмирующего психику индивида события. И ковид вполне может стать одним из них.
Фото © Pixabay
Еще один фактор — это побочные действия лекарств, которые применяются при лечении COVID-19. Например, в современной антиковидной терапии широко используются глюкокортикостероиды (ГКС). Их нередко назначают высокими дозами и на достаточно длительный срок. Но при этом ГКС могут вызывать галлюцинации, бредовые состояния, депрессии и даже маниакально-депрессивные состояния и паранойю. К негативному воздействию на психику приводит и прием других лекарств, применяемых при лечении ковида, например, некоторые антивирусные препараты.
Постковидный синдром?
Так, еще в 2020 году в авторитетном медицинском журнале The Lancet появилась статья, в которой анализировались 72 исследования последствий эпидемий — предшественников COVID-19 — вирусов SARS-1 м MERS. Психические расстройства у переболевших этими инфекциями оказались идентичными: спутанность сознания, подавленное настроение, тревожность, нарушение памяти, бессонница и даже делирий. Таким образом, можно сделать предварительный вывод: вирус COVID-19 не обязательно обладает какими-то уникальными свойствами, поражающими психику.
Фото © Pixabay
Не нужно пытаться вырваться из постковидного синдрома резко. Скорее всего, это не получится, а организм, и без того обессиленный болезнью, получит дополнительный стресс.
Поэтому врачи не рекомендуют сильные эмоциональные встряски и большие физические нагрузки. Также вряд ли помогут стимуляторы, включая алкоголь.
Фото © Pixabay
Вирусы могут размножаться только внутри клетки-хозяина, перестраивая ее работу так, что клетка начинает производить новые вирусные частицы. Это серьезно нарушает работу самой клетки и в большинстве случаев ведет к ее гибели. Процесс проникновения и размножения вируса в ней сложный и содержит много стадий, а значит, специальные лекарства могут тормозить его на различных этапах.
В случае с ВИЧ это выглядит так.
по теме
Лечение
Лучшие научпоп-статьи 2018 года
После того как вирусная частица приклеилась к рецепторам CD4 и CCR5/CXCR4 и закрепилась на поверхности клетки, другой специальный белок вируса gp41 соединяет оболочку вируса с мембраной клетки-мишени и помогает вирусу проникнуть внутрь клетки (цифра 2 на схеме). На этом этапе остановить вирус может другая группа препаратов — ингибиторы слияния, например, энфувиртид. Препарат связывается с вирусным белком gp41 и нарушает его работу.
На этом этапе размножение вируса блокирует очень большое количество препаратов из двух классов — нуклеозидные ингибиторы обратной транскриптазы (НИОТ — ламивудин, абакавир, тенофовир) и ненуклеозидные ингибиторы обратной транскриптазы (ННИОТ — эфавиренз, рилпивирин). Принцип действия у веществ из обеих групп похожий: молекула лекарства связывается с обратной транскриптазой вируса, нарушает ее работу и так блокирует перенос генов вируса из РНК в ДНК. Это не позволяет генам вируса встроиться в ДНК клетки-хозяина и начать производство новых вирусных частиц.
На следующем этапе инфицирования (цифра 4 на схеме) готовая вирусная ДНК проникает в ядро и встраивается в ДНК клетки-хозяина с помощью специального вирусного фермента — интегразы. Работу этого фермента блокируют ингибиторы интегразы, например, долутегравир, не позволяя ДНК вируса встроиться в наши гены.
После того как вирусная ДНК встраивается в ДНК клетки-хозяина, клетка получает неправильную программу и начинает производить вирусные белки и РНК, необходимые для сборки новых частиц вируса (цифра 5 на схеме), используя для этого структуры, которые в норме производят собственные белки клетки. Такая перенастройка производства белка сильно нарушает работу клетки и через некоторое время вызывает ее гибель. Лекарств, которые бы влияли на этот этап размножения вируса, нет, так как здесь вирус использует собственные ферментные системы клетки-хозяина и блокирование их работы какими-то веществами навредит здоровым клеткам.
по теме
Лечение
Ошибка системы. Почему в регионах опять не хватает таблеток от ВИЧ
После синтеза вирусных белков клеткой-хозяином в работу вступает еще один фермент вируса — протеаза (цифра 6 на схеме). Дело в том, что белки ВИЧ синтезируются в виде длинных цепочек белков-предшественников, но они неактивные. Протеаза разрезает эти цепочки на более короткие фрагменты, которые становятся активными белками вируса: из одних собирается вирусная оболочка, другие выполняют функции ферментов (обратная транскриптаза, интеграза, протеаза, о которых мы говорили выше). Класс лекарств, нарушающих работу вирусной протеазы, включает большое количество препаратов от достаточно старого лопинавира до современного дарунавира. Основной недостаток препаратов этого класса — высокая степень перекрестной устойчивости: если вирус приобретает устойчивость к одному препарату, скорее всего, на него не подействует ни один другой препарат из этого класса.
На последнем этапе (цифра 7 на схеме) вирусные частицы собираются из готовых компонентов (синтезированных клеткой вирусных белков и РНК), как конструктор, и покидают клетку-хозяина. Лекарств, которые бы тормозили эти процессы, пока не существует.
ВИЧ имеет высокую склонность к мутациям, что позволяет ему быстро приобретать устойчивость к лекарствам. Мутации изменяют форму молекул ферментов вируса. Если при этом форма изменится существенно, то фермент не сможет нормально работать и такой вирус размножаться перестанет — это вредная для вируса мутация. Однако в некоторых случаях — при полезных мутациях — форма молекулы фермента меняется не сильно, а так, что сам фермент продолжает нормально работать, но молекула лекарства уже не может с ним связаться.
Поэтому для эффективного подавления размножения ВИЧ обычно назначают три разных препарата из разных групп, влияющих на разные ферменты вируса, блокируя его воспроизводство на разных этапах. Исключением является группа ингибиторов обратной транскриптазы (НИОТ и ННИОТ) — эти лекарства связываются с разными участками молекулы вирусного фермента, поэтому могут назначаться вместе, несмотря на то, что относятся к одной группе. В условиях такой терапии вирусу очень трудно выработать устойчивость, потому что одновременно должно произойти несколько полезных мутаций в разных генах вируса, а это бывает крайне редко.
Есть несколько перспективных технологий, например, CRISPR/Cas9, которые могут позволить полностью удалить вирусную ДНК из организма человека, но пока ни одна из них не прошла все необходимые исследования для подтверждения эффективности и безопасности. Исследования продолжаются.
Одни вирусы способны интегрироваться в геном клетки-мишени и таким образом оставаться во всех дочерних клетках, которые будут в будущем получены после ее деления. К таким вирусам относятся гаммаретровирусы и лентивирусы. Другие делать этого не умеют (например, адено- и аденоассоциированные вирусы). Но для производства белков и репликации (размножения) все они используют клетку и ее синтетический аппарат.
Как это работает?
Для того чтобы вирус мог проникнуть в клетку, белки его оболочки должны связаться с мембранными белками клетки-мишени. Важно отметить, что проникает вирус только в те клетки, которые могут в дальнейшем помочь его репликации. Вирус ВИЧ живет в клетках иммунной системы, вирус гепатита С — в клетках печени. Есть особые вирусы, которые поражают только растения или даже только бактерии.
Строение вируса гриппа. Под оболочкой вириома - генетический материал вируса, необходимый для его воспроизводства в клетке.
Содержащие неактивный вирус и оставшиеся в живых клетки иногда сохраняют возможность нормального функционирования. В этом случае клетки могут быть заражены, но вирус проявит себя спустя длительный период времени. Так устроен герпес.
В зависимости от того, каким типом нуклеиновой кислоты представлен генетический материал, выделяют ДНК-содержащие вирусы и РНК-содержащие вирусы. И тут стоит остановиться на классификации.
Типы вирусов. Коротко о главном
Современная типология вирусов содержит 7 классов и была предложена Дэвидом Балтимором еще в 1971 году. С тех пор, впрочем, она была уточнена и расширена, в том числе советскими учеными. И выглядит в настоящее время таким образом:
Вирусы, содержащие двухцепочечную ДНК
Описание
Для репликации вирусу необходимо попасть в ядро клетки-мишени и воспользоваться ее ДНК-полимеразой. Иногда вирус вызывает незапланированное деление самое клетки, то есть становится онкогенным. Эти вирусы хорошо изучены.
Пример: Вирус герпеса, адено- и папилломавирусы
Вирусы, содержащие одноцепочечную ДНК
Описание
Попадая в ядро клетки, вирусы образуют двухцепочечную ДНК, после чего реплицируются так же, как вирусы класса I.
Пример: Парво- и цирковирусы
Вирусы, в которых РНК способна к репликации (редупликации)
Описание
Вирусы этого класса могут размножаться в цитоплазме клетки, им не нужна молекула ДНК. Каждый ген, находящийся в РНК вируса, кодирует только один вирусный белок.
Пример: Бирна- и реовирусы
Вирусы, содержащие одноцепочечную (+) РНК
Описание
Из геномной (+) РНК на рибосомах хозяина создаются вирусные белки. В одном фрагменте РНК могут быть закодированы разные белки, что увеличивает сложность вируса без удлинения генов.
Пример: Пикорнавирусы (полиомиелит, гепатит А) и коронавирусы
Вирусы, содержащие одноцепочечную (–) РНК
Описание
(–) РНК этих вирусов предварительно должна быть транскрибирована в (+) РНК вирусными РНК-полимеразами, после чего может начаться синтез вирусных белков. Вирусы этого класса делятся еще на две группы, в зависимости от их генома и места его репликации (цитоплазма или ядро).
Пример: Филовирусы, аренавирусы (геморрагическая лихорадка Ласса), ортомиксовирусы (вирусы гриппа) и так далее.
Вирусы, содержащие одноцепочечную (+) РНК, реплицирующиеся через стадию ДНК
Описание
Такие вирусы используют фермент обратную транскриптазу для превращения (+) РНК в ДНК, которая встраивается в геном хозяина ферментом интегразой. Дальнейшая репликация происходит при помощи полимераз клетки хозяина.
Пример: Ретровирусы (в том числе ВИЧ)
Вирусы, содержащие двухцепочечную ДНК, реплицирующиеся через стадию одноцепочечной РНК
Описание
Молекула ДНК замкнута в кольцо и является матрицей для синтеза мРНК и дополнительных молекул РНК, которые используются при репликации вирусного генома обратными транскриптазами.
Пример: Колимовирусы (вызывают инфекции растений) и гепаднавирусы (например, гепатит В)
Вакцинация и лечение
Как правило, организмы умеют бороться с паразитирующими на них вирусами. На примере млекопитающих и человека мы обычно говорим о главном инструменте — врожденном иммунитете.
Впрочем, наиболее эффективен этот вид защиты в отношении бактериальных инфекций и не может обеспечить продолжительную и надежную защиту, особенно от инфекций вирусных.
Именно поэтому огромное значение имеет приобретенный иммунитет, в результате которого клетки иммунной системы обучаются вырабатывать специфические к вирусу антитела, способные уничтожать как саму вирусную частицу, так и зараженные ею клетки.
Еще одна врожденная система борьбы с вирусными инфекциями — внутриклеточная. Как правило, клетка способна распознать чужеродную РНК в своей цитоплазме, куда ее сперва и доставляют многие вирусы, и имеет специальные комплексы для ее деградации. Но часть вирусов научились обходить и эту ловушку. К примеру, ротавирусы, которые даже внутри клетки сохраняют капсид с геномной РНК.
Миссия: уничтожить
Основная сложность в лечении вирусных заболеваний заключается в том, что они используют естественные функции клеток-мишеней для своего размножения, поэтому ученым зачастую оказывается не так-то просто придумать препарат, который будет токсичен для вируса и безопасен для самой клетки. Если такой безопасности достичь не удастся, лекарство будет иметь слишком много побочных эффектов, повреждающих сам организм, что окажется нецелесообразно для использования.
Сравнение жизненных циклов ВИЧ и вируса гриппа. Если первый использует обратную транскрипцию и живет в клетках иммунной стистемы, вирион второго, проникая в эпительные клетки дыхательных путей целиком - а именно там он и обитает - распадается уже внутри клетки, а репликация вирусной РНК происходит в ядре с помощью вирусных полимераз PA, PB1 и PB2 путем комплементарного копирования.
По принципу действия противовирусные препараты подразделяются на две группы: стимулирующие иммунную систему атаковать вирусы (например, за счет индукции синтеза белков-интерферонов) и атакующие вирусы напрямую. Препараты второй группы различаются по этапу жизненного цикла вируса, на котором они активны: это препараты, препятствующие проникновению вируса в клетку, препятствующие размножению вируса внутри клетки и препятствующие выходу копий вируса из клетки.
Еще один класс противовирусных препаратов блокирует ферменты, необходимые для создания и модификаций белков вируса. Такие лекарства называют протеазными ингибиторами.
Вместо заключения: а могут ли вирусы приносить пользу?
Безусловно, да. Несмотря на то, что вирусы ассоциируются у большинства людей с однозначным вредом, они могут приносить и пользу — если речь идет о так называемых вирусных векторах и терапевтических подходах на их основе.
Исследователи давно научились помещать в белковую оболочку вируса интересующие их нуклеиновые кислоты, чтобы доставлять нужный ген в клетки, а также убирать те гены, которые делают вирус опасным для организма.
Это позволило сделать возможной генную терапию, помогающую бороться с заболеваниями, вызванными известными генетическими мутациями. Создание вирусных векторов — достаточно непростая задача, к тому же ограниченная свойствами самих вирусных частиц: количеством помещающейся генетической информации, местом ее вставки, стабильностью. Кроме того, вирусный вектор, используемый в медицине, не должен вызывать иммунного ответа или критично влиять на жизнедеятельность клетки. Тем не менее эти сложности решаются, поэтому уже одобрен ряд вполне успешных и безопасных генных терапий. А в качестве основы для вирусных векторов чаще всего используются ретро-, ленти-, адено- и аденоассоциированные вирусы.
Понятие и классификация Компьютерный вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может приписывать себя к другим программам (заражать их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, засоряет оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.
Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6 000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств. Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры, зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.
Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.
по среде обитания вируса;
по способу заражения среды обитания;
по деструктивным возможностям;
по особенностям алгоритма вируса.
Более подробную классификацию вирусов внутри этих групп можно представить примерно так (табл. 28):
Основными путями проникновения вирусов в компьютер являются съемные внешние устройства, а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с внешнего устройства, содержащего вирус.
Как работает вирус
Что происходит при включении компьютера? Первым делом управление передается программе начальной загрузки (ПНЗ), которая хранится в постоянно запоминающем устройстве (ПЗУ), т.е. ПНЗ ПЗУ.
Эта программа тестирует оборудование.
Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд. Из служебных секторов нас интересует один - сектор начальной загрузки (boot-sector).
В секторе начальной загрузки хранится информация о внешнем устройстве - количестве поверхностей, дорожек, секторов и пр. Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА.
Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - голову и хвост. Хвост, вообще говоря, может быть пустым.
Пусть имеются чистая дискета и зараженный компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную операционной системе. Это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad);
копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;
замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;
организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
появляется новое звено:
ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА.
Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таб. . . . ?? . . . . . . . лицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки boot-секторе загрузочного диска.
Признаки проявления вируса
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать основные признаки проявления вирусов. К ним можно отнести следующие:
прекращение работы или неправильная работа ранее успешно функционировавших программ;
медленная работа компьютера;
невозможность загрузки операционной системы;
исчезновение файлов и каталогов или искажение их содержимого;
изменение даты и времени модификации файлов;
изменение размеров файлов;
неожиданное значительное увеличение количества файлов на диске;
существенное уменьшение размера свободной оперативной памяти;
подача непредусмотренных звуковых сигналов;
частые зависания и сбои в работе компьютера.
Следует отметить, что перечисленные выше признаки необязательно вызываются присутствием вируса, а могут быть следствием других причин. Антивирусные программы
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.
Требования к антивирусным программам
Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам. Стабильность и надежность работы. Этот параметр является определяющим - даже самый лучший антивирус окажется бесполезным, если он не сможет нормально функционировать на компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.
Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться. Сюда следует отнести возможность программы определять разнообразные типы вирусов и умение работать с файлами различных типов (архивы, документы).
Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.
Многоплатформенность (наличие версий программы под различные операционные системы). Если антивирус используется только на одном компьютере, то этот параметр не имеет большого значения. Но антивирус для организации обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.
Характеристика антивирусных программ
Если программа не опознается детекторами как зараженная, не следует, что она здорова - в ней может быть новый вирус или модифицированная версия старого вируса, неизвестные программам-детекторам.
Большинство программ-детекторов имеют функцию доктора, т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.
Большинство программ-докторов умеют лечить только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.
Программы-докторы (фаги), не только находят зараженные вирусами файлы, но и лечат их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, т.е. программы-докторы, предназначенные для поиска и уничтожения большого количества вирусов. Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Многие программы-ревизоры являются интеллектуальными - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. В нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточ- на - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.
Появились полезные гибриды ревизоров и докторов, т.е. ДОКТОРЫ-РЕВИЗОРЫ - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-докторы, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им излечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Но они могут лечить не от всех вирусов, а только от тех, которые используют стандартные, известные на момент написания программы, механизмы заражения файлов.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут отличить изменения версии проверяемой программы от изменений, внесенных вирусом. Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
попытки коррекции файлов с расширениями СОМ и ЕХЕ;
изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы.
Краткий обзор антивирусных программ
При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.
Один из наиболее известных и популярных антивирусов. Процент распознавания вирусов очень высокий (близок к 100 %). В программе используется механизм, который позволяет распознавать новые неизвестные вирусы.
В интерфейсе программы Norton AntiVirus имеется функция LiveUpdate, позволяющая щелчком на одной-единственной кнопке обновлять через Web как программу, так и набор сигнатур вирусов. Мастер по борьбе с вирусами выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий. Антивирусные базы обновляются часто. Имеется резидентный монитор.
Антивирус признан в мире как один из самых надежных. Несмотря на простоту в использовании он обладает всем необходимым арсеналом для борьбы с вирусами. Эвристический механизм, избыточное сканирование, сканирование архивов и упакованных файлов - это далеко не полный перечень его возможностей. Лаборатория Касперского своевременно выпускает обновления антивирусных баз. Имеется резидентный монитор для контроля над исполняемыми файлами.
Читайте также: