Операционная система Windows


 

Меню

Реклама
Похожие статьи:

Популярные записи



  • Компьютерные вируси

    Как известно, в англоязычной литературе для обозначения продукции, связанной с информатикой, широко употребляются термины Hard Ware жесткий продукт, технические средства, компьютеры и Soft Ware, мягкий продукт, программы, программное обеспечение. С массовым распространением персональных компьютеров ПК появился новый срок Bad Ware плохой продукт. До последнего относят в первую очередь Компьютерные вирусы, троянских коней и червяков.

    Дальше основное внимание посвятим компьютерным вирусам. Мы рассмотрим, что такое компьютерные вирусы, как они себя проявляют и какого вреда могут причинить, наведем несколько их классических и современных примеров и, наконец, обсудим средства борьбы с ними. Для углубленного изучения этих вопросов можно использовать монографию известного киевского вирусолога М. Безрукова Компьютерные вирусы [1].

    Относительно двух последних видов плохого продукта заметим такое.

    Компьютерные троянские кони, как и их мифические предшественники, маскируют свои действия под видом благопристойной, невинной продукции, нанося болезненные, разрушительные удары по вашей информации. В то же время функций размножения, заражения других программ, в отличие от вирусов, троянские кони не имеют. Им часто присваиваются точные или очень похожие имена широко известных компьютерных программ. В свое время троянские кони получили такое распространение, что солидные компьютерные журналы ежемесячно печатали их длинные списки.

    Компьютерные червяки являют собой программы, которые предназначены для проникновения через информационные сети к данным, которые сохраняются в других фирмах, учреждениях и тому подобное. Понятно, что делается это из корыстных соображений.

    Отметим также, что создание и распространение вирусов, троянских коней и червяков, невзирая на мотивы этого есть, безусловно, вредными для общества действиями, которые наносят значительные материальные убытки. Вот почему в некоторых странах эти действия рассматриваются как уголовное преступление и преследуются законом. К сожалению авторов плохой продукции найти очень нелегко!

    Понятие о компьютерном вирус

    Из общей точки зрения компьютерные вирусы являют собой программы, которые имеют способность к скрытому размножению в среде операционной системы с помощью включения в код, который выполняется, программы, компоненты операционной системы, пакетные файлы, текст, который компилируется, и тому подобное своей, возможно модифицированной копии, которая хранит способность к последующему размножению. Кроме функции размножения заражения других файлов компьютерные вирусы выполняют, как правило, те или другие деструктивные действия, о которых язык быть идти дальше.

    Этот вариант принадлежит М. Безрукову и базируется на определении, данном в 1989 г. Ф. Коуеном F. Cohen пионером первого серьезного исследования компьютерных вирусов.

    По способу заражения большинство компьютерных вирусов можно подразделить на два класса: Файловые и бутовые вируси. Рассмотрим коротко механизмы их действия.

    самым Распространенным средством заражения файла вирусом является дописывание его тела в конец файла см. рис. 1. При этом, чтобы при запуске зараженного файла сразу получить управление, вирус вместо начала файла, который скрывает в своем теле, ставит команду перехода на себя. После того, как вирус отработал, он передает управление файлу-жертве. В некоторых случаях, если в силу тех или других причин начало файла, который инфицируется, не сохраняется, или есть еще какие-то ошибки в вирусе, файл будет испорчен и его последующее лечение будет невозможным.

    В последнее время распространились вирусы, что Перезаписують начало файла-жертвы File Overwriters, не изменяя его длину. Понятно, что инфицирована таким образом программа вместо своего действительного начала содержит вирус и будет бесповоротно испорчена, оставаясь в состоянии лишь заражать другие программы. Как правило, указаны вирусы во время своего действия инфицируют как можно больше файлов и, в зависимости от разных условий, выполняют те или другие дополнительные разрушительные действия. Примерами этих вирусов является: Abraxas-3, Banana, Burger, Bloodlust, Bk Monday, Cossiga, Clint, Druid и много других.

    Заметим, что вирусы могут записывать свое тело также в конец или середину файла-жертвы. В последнее время появились вирусы, которые внедряют себя к файлу, который заражается отдельными пятнами. При записи в середину файла вирус иногда находит пустые места и примищуе туда свое тело, не изменяя длину жертвы. В большинстве случаев длина инфицированного файла увеличивается на некоторую величину, что, как правило, является постоянной для вируса, который заразил его. Эта величина зовется длиной вирусу и измеряется обычно в байтах. В большинстве случаев вирусы пишутся на языке Асемблера, иногда на языках высокого уровня Pascal, C и тому подобное. В первом случае длина вирусов сравнительно небольшая Sillycr.76 по-видимому, мировой рекордсмен малых резидентных вирусов, который хранит работоспособность инфицированной программы, имеет длину в 76 байт, во втором может быть в несколько десятков Кбайт Minimax 31125 байт. Интересно, что существуют вирусы Dichotomy, которые при заражении записывают части своего тела в два разных файла 296 + 567 байт.

    <а name="_toc436884268">

    Рис. 1. Схема действия файлового вирусу

    Важной характеристикой вирусов является способность многих из них оставаться в памяти компьютера после запуска инфицированного файла. Такие вирусы называют Резидентними. Понятно, что резидентные вирусы будут поражать файлы намного чаще, чем нерезидентные.

    Бутовые вирусы заражают Boot-сектор винчестера или дискет. Механизм заражения этими вирусами представлен на рис. 2. Вирус записывает начало своего тела к Boot-сектора, а остальные в свободных иногда заняты кластеры, замечая их как плохие. Туда же вирус примищуе также и настоящая запись Boot- Сектора,, чтобы потом передать ему управление. По своей природе бутовые вирусы всегда резидентные.

    Рис. 2. Схема действия бутового вирусу

    В последнее время появились отдельные вирусы, которые заражают и Boot- Секторы або Master Boot записи и файлы. Такие вирусы зовутся файлово-бутовыми Multi-partite Viruses. Примером таких, пока еще очень жидких вирусов, есть вирус One_half, который рассматривается дальше.

    Кроме того является вирусами, механизм заражения которых существенно отличается от рассмотренных выше механизмов. Первым таким вирусом был вирус Dir. Этот вирус не заражал выполняемые файлы, а лишь изменял в каталогах ссылку на начало файла-жертвы, так, чтобы оно теперь указывало на тело вируса, который содержался в единственном экземпляре на всем диске. Таким образом при запускании любой зараженной программы вирус получал управление первым, а после отработки передавал управление запущенной программе. Схема действия вируса Dir приводится на рис. 3.

    Рис. 3. Схема действия вируса Dir

    Современные вирусы применяют самые разнообразные средства, с целью затруднить работу по их выявлению, расшифровыванию и обезвреживанию.

    В Полиморфные вирусы Self-encrypting Polymorphic Viruses встроюються так называемые полиморфные генераторы вирусных шифровальщиков и розшифрувальникив MTE Mutation Engine механизмы образования полиморфных копий, которые изменяют их кодов со временем.

    Значительная часть современных вирусов использует так называемую Stelh-технологию за аналогией с названием известного самолета. Эти Вируси-невидимки самоликвидуються при попытке исследования их с помощью соответствующих средств видлагоджувачи и трассировщики, выдают информацию, вроде бы пораженный компьютер не имеет инфекцию и тому подобное Так, уже один из первых вирусов Brain при попытке просмотра зараженного Boot-сектора виводив не свое тело, которое находилось там, а настоящая не инфицированная запись. Вирус DARK Avenger подправлял действие команды Dir операционной системы так, чтобы длина зараженного им файла выводилась без учета длины вируса, то есть производилось впечатление, что файл не инфицирован.

    Вирусы-спутники Companion Viruses вместо заражения существующего EXE-файлу, образуют новый файл, который имеет тоже именно имя, но другое расширение COM. Сам вирус будет находиться в снова образованном файле. Например, для файла EDIT. EXE будет образован файл EDIT. COM и сам вирус будет находиться в последнем файле. При попытке запуска EXE-програми из командной строки, вместо нужной программы будет запущена снова образованная, с вирусом. После ее отработки будет запущена нужна программа EXE.

    На ранних этапах развития вирусы заражали лишь выполняемые файлы типа COM и EXE. В настоящий момент спектр файлов, которые могут испытывать атаку со стороны вирусов значительно расширился. Отметим, что существуют вирусы, которые могут заражать файлы в архивах типа ARJ, ZIP и тому подобное, файлы-документы типа DOC, которые образованы известным текстовым процессором Winword 6 версия и выше фирмы Microsoft.

    Некоторые вирусы остаются в памяти ПК после теплой перезагрузки Ctrl+alt+del. Более того, при попытке загрузить чистую операционную систему из устройства a: после холодного запуска, то есть после нажатия кнопки Reset или выключка/включение компьютера, вы можете неожиданно обнаружить, что в его памяти уже находится вирус. Именно такие возможности имеют вирусы EXEBUG та Mammoth, которые отключают в Cmosъи наличие дисководу a:, что приводит к загрузке зараженной системы из диска c:. При этом вирус имитирует, вроде бы загрузка происходит именно из гибкого диска. Если же на зараженной машине вы обратитесь к дисководу a:, то он будет временно включен. В сравнении с такими монстрами измены системного времени в Cmosъи некоторыми вирусами выглядит как невинная забава!

    И последний пример быстрого реагирования вирусов на новые достижения компьютерной техники. Едва лишь появился так называемый Flash-bios, как вирус Vlad стал записывать свой код к нему.

    <а name="_toc436884392">як проявляют себя компьютерные вирусы?

    На настоящее время существует близко 6000 вирусов и их вариаций, которые в медицинской и компьютерной вирусологии зовутся Штамами. Подсчитано, что каждого дня в настоящий момент появляется в среднем 5 7 новых вирусов. Заметим также, что приблизительно из 1990р. сомнительная пальма первенства в написании и распространении вирусов перешла к программистам горя прежнего СССР, а в наше время до стран, которые образовались на его территории.

    Следует еще раз подчеркнуть, что все без исключения вирусы являются вредным продуктом. В первую очередь это связано с тем, что они работают тайно, несанкционированно, независимо от вашей воли. Во-вторых, все они занимают какое-то место, уменьшая доступный вам дисковое пространство. В-третьих, и это, по-видимому, главнее всего, большинство из них или портит информацию, или утруждает работу с компьютером. Рассмотрим общие примеры проявки вирусов.

    Некоторые из вирусов поводят себя как иллюзионисты, выдавая на экран разнообразные сообщения, графические изображения, и тому подобное, иногда проигрывают какие-то мелодии. Во время таких действий нормальная работа компьютера обычно приостанавливается, блокируется. Спектр сообщений, которые выдают вирусы, изменяется от, так сказать, нормальных, системных типа Out of stack, Insufficient memory, Bad command or file name, к гаслив типа Долой Кузьмичей и нецензурного ругательства. Среди графических изображений это флаги, в частности, Беларуси, России, Польши, Украины, США, рисунки паровоза, вертолета, мухи, черепа, шагающего человека, и тому подобное. Некоторые вирусы вызывают видеоэффекты типа переворачивания изображения на экране, мерцания картинки и т. п.

    Значительное количество вирусов уничтожает отдельные файлы, форматирует диски или повреждает системные области диска таким образом, что после этого нельзя добраться до информации, которая записана на нем. Некоторые вирусы искажают информацию, которая записана в файлах баз данных. Например, вирус EMMIE зминюе цифры при выведении их на экран или принтер. Понятно, что когда ведется реальная, серьезная база данных, это может привести к ужасным последствиям. Кстати, в одной из голландских больниц, к счастью своевременно, был обнаружен подобный вандал. Вирус Voronezh при печатании на принтер изменяет некоторые слова на нецензурных. Этот перечень можно продолжать еще достаточно долго. Откуда только оно берется?

    Особенно можно выделить вирусы, основная задача которых борьба с известными антивирусными программами. В частности эти вирусы удаляют файлы, которые создают антивирусы-ревизоры см. дальше и в которых содержится жизненно важная информация о системных областях и файловой структуре вашего ПК. К таким вирусам относятся Goldbug, Poruchik кстати последний еще выдает сообщение Поручик Лозинский раздайте Aidstest и другие.

    Во всяком случае, когда с вашим компьютером делается что-то вам непонятное, проверьте его на зараженность вирусами!

    <а name="_toc436884393">збитки, что наносят компьютерные вируси

    Один из самых известных антивирусных опытных центров SARC фирми Symantec Corporation сша приводит данные, что убытки от компьютерных вирусов во всем мире составляют по крайней мере 2 млрд долларов и эту цифру непрестанно растет. Такая высокая цена состоит из расходов на лечение компьютеров, средств, по предотвращению от вирусной инфекции и действий по возобновлению испорченной или потерянной информации.

    Расчеты, проведенные специалистами по компьютерной безопасности, свидетельствуют, что средние расходы на лечение одного персонального компьютера от вирусов составляли в 1993 г. $177 и выросли до $254 в 1994 р.

    В журнале Virus Bulletin октябрь в 1993 г. обстоятельно проанализирован случай, который произошел в компьютерной сети одного из подразделов фирмы Rockwell International США. В конце апреля в 1993 г. здесь был обнаружен вирус Hi, который попас в сеть через дискету делового партнера из Европы. Сеть подраздела имела 9 серверов и 630 персональных компьютеров. Общие потери подраздела на обезвреживание вируса составляли $44,000. Вся кампания по борьбе с ним продолжалась в течение целого месяца.

    <а name="_toc436884394">декилька классических примеров компьютерных вирусив

    Как мы уже говорили, компьютерные вирусы подразделяются на два основных класса: файловые и бутовые. Рассмотрим некоторые из них более обстоятельно.

    <а name="_toc436884395">файлови вируси

    <а name="_toc436884396">вирус VIENNA Видень

    Другие названия вируса: 648, Restart перезавантаження, Time Bomb часова бомба и ин.

    Один из первых наиболее примитивных вирусов. Найденный сначала в Вене, потом заполонил весь мир. При загрузке в память компьютера просматривает все COM-програми в текущем каталоге и в доступных через Path пути поиска, что обычно установленные в AUTOEXEC. ОАО. Первобытный вариант этого вируса увеличивал длину жертвы на 648 байт. Первую найденную еще не зараженную программу или заражает, или, с вероятностью 1 /8 в зависимости от системного времени, портит таким образом, что она при запуске приводит к перезагрузке системы. В последнем случае в начало жертвы записывается код Eaf0ff00f0, который на машинном языке означает теплый рестарт эквивалентное к действию клавиш Ctrl+alt+del. Если испорченная таким образом программа вызывается из AUTOEXEC. ОАО, процедура начальной загрузки операционной системы, зацикливается. Как признак заражения, вирус ставит во времени создание жертвы несуществующее число секунд 62. В дальнейшем появились много разновидностей вируса Vienna больше 20, что отличаются от него длинами и вредными действиями.

    <а name="_toc436884397">вирус CASCADE Каскад, водоспад

    Другие названия вируса: Letterfall буквопад, Letter и ин.

    Существует два варианта вируса за длиной 1701 или 1704 байт. Заражает только COM-програми, резидентный. Влечет обсыпку символов на экране, который сопровождается характерным шуршанием. При этом блокируется возможность работы с клавиатурой. Хранит работоспособность только на машинах типа PC Xt/at.

    <а name="_toc436884398">вирус BLACK FRIDAY Черная пъятниця

    Другие названия вируса: Israeli Virus израильский вирус, Ierusalem Иерусалим, Black Hole черная дыра и ин.

    Вирус получил указанные названия, поскольку впервые был обнаружен в израильском университете и из-за своих характерных действий. Он заражает EXE - и COM-файли, увеличивая их размеры на 1813 байт, и остается резидентным в памяти ПК. При этом заражение может происходить неоднократно, что приводит к невероятному разрастанию зараженных файлов. Инфицированный данным вирусом ПК замедляет свою работу в несколько тысяч раз. При выведении информации на дисплей в нижнем левом кутье екрана появляется черный прямоугольник дыра. Наконец, если время работы приходится на пятницу 13-го числа, то зараженные файлы уничтожаются.

    Характерным признаком вируса является наличие в его теле соединений Msdos а также COMMAND. COM.

    <а name="_toc436884399">вирус DARK AVENGER Черный месник

    Другие названия вируса: Eddie, Sofia.

    Вирус получил свои названия по текстовой строке Eddie lives... somewhere in time. This program was written in the sity of Sofia C 1988-89 Dark avenger, что содержится в его теле. Вирус заражает EXE - и COM-файли, является резидентным, его длина в байтах 1800. Вирус очень опасен, поскольку на инфицированном компьютере файлы заражаются не только при выполнении, но и во время их проглядывания и копирования. Он также уничтожает COM-файли, длина которых лежит в пределах от 64k1800байт к 64k. Периодически уничтожает информацию в одном из секторов винчестера.

    <а name="_toc436884400">бутови вируси

    <а name="_toc436884401">вирус PING PONG название не нуждается в перекладу

    Другие названия вируса: Italian Bouncing итальянский прыгунок, Ball мячик.

    Вирус заражает Boot-сектор дискет и записывает свое тело в свободных иногда и в занятые кластеры, замечая их как плохие Bad. Как и все бутовые вирусы являются резидентными. На ПК, зараженному данным вирусом, время от времени появляется ромб Ascii-код4, который, перемещаясь по экрану, отражается от его границь и рамок, образованных символами псевдографики.

    <а name="_toc436884402">вирус STONED Закамъянилий

    Другое название вируса: Марихуана Marijuana.

    Внешняя проявка с вероятностью 1/8 во время загрузки системы на экран выдается текст Your PC is now Stoned, после чего работа нормально продолжается. Этот вирус записывается в абсолютный начальный сектор диска, который на винчестерах содержит Partitiontable. Иногда например, когда жесткий диск разбит на разделы с помощью известной системы Adm это приводит к грустным последствиям, а именно, к потере доступа к информации, расположенной на диске. Для визуального распознавания вируса на диске может служить пылкий призыв: LEGALISE MARIJUANA!.

    Заметим, что в настоящий момент существует близко 90 штаммов разновидностей вируса Stoned, и он до сих пор остается очень распространенным.

    <а name="_toc436884403">вирус BRAIN Мозок

    Один из наиболее знаменитых вирусов. Он считается первым, что получил широкое распространение разработанный в январе 1986 года. Заражает только стандартно видформатовани дискеты емкостью 360к. На зараженных дискетах появляется метка cbrain. Занимает на диске три кряду расположенных кластеры, замечая их как плохие.

    Наконец, для любителей футбола приведем последний пример продукта, судя по всему, отечественного производства.

    <а name="_toc436884404">вирус DINAMO название не нуждается в перекладу

    Это бутовый вирус, который при некоторых обстоятельствах выдает на экран вечную мечту киевских болельщиков: Dinamo Kiev Champion!!!.

    <а name="_toc436884405">найбильш распространены современные компьютерные вируси

    Уже упоминавшийся антивирусный опытный центр Sarc фирмы Symantec Corporation опубликовал в конце 1996 г. список 10 наиболее распространенных во всем мире компьютерных вирусов. Некоторые из них, распространенные, в частности, и в нашей стране, рассмотрим более обстоятельно.

    <а name="_toc436884406">макро-вируси Word Word Macro Viruses

    Макро-вируси, что действуют в среде известного и широко распространенного во всем мире текстового процессора Word for Windows версии 6 и выше фирмы Microsoft, используют макросы языка Wordbasic для заражения образуемых в этом процессоре документов и шаблонов документов MS Word documents and templates файлов из роширеннями DOC и DOT.

    Эти вирусы используют несколько свойств окружения MS Word, для автоматического выполнения инфицированного макро-кода. Сразу, когда инфицированный документ открывается и начинает работать вирус, то, как правило, вирус заражает шаблон документа пользователя NORMAL. DOT. Этот шаблон является основой большинства других документов и шаблонов и именно через него макро-вирус заражает последние. В своей работе вирусы используют стандартные макросы языка Wordbasic, такие как Autoopen, Filesaveas, Autoexec, System и другие.

    На первый взгляд кажется, что макро-вирусы не подчиняются старому правилу: Вирусы заражают только выполняемые програми заметим, что в Boot-сектори также находится некоторый код, который выполняется во время загрузки системы. Но это не так. Документы, которые готовятся с помощью текстового процессора MS Word, имеют достаточно сложную структуру, куда кроме сугубо текстовых фрагментов включаются рисунки, графика и тому подобное, а также макросы языка Wordbasic. Именно последние компоненты под управлением системы MS Word могут использоваться в качестве компоненты вирусного кода.

    Среди макро-вирусов наиболее распространенными является: ANTI-DMV або Mdmadmv, Atom, Boom, Colors або Rainbow, Concept, Concept. FR. B, Dmv, FORMATC при некоторых условиях форматирует диск c:, Friendly, Hot вперше появился у России, Imposter, Infezione, Irish, Nop, Nuclear при печатании зараженного файла-документа выводит сообщение: And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!, Parasite, Polite, Wazzu, Xenixos.

    <а name="_toc436884407">antiexe

    Другие названия вируса: Cmos4, D3, Newbug, New Bug.

    Это бутовый вирус, который заражает Boot-сектор гнучкого и Master Boot запис жесткого дисков. Использует Stealth-технологию. Как и все бутовые вирусы, Antiexe является резидентным. Ищет некоторые EXE-файли и повреждает их.

    <а name="_toc436884408">anticmos

    Другие названия вируса: Lenart.

    Это бутовый вирус, который заражает Boot-сектор гнучкого и Master Boot запис жесткого дисков. Портит информацию о конфигурации компьютера, которая записана в енергонезалежний памяти CMOS.

    Штаммами разновидностями указанного вируса являются вирусы ANTICMOS. A та ANTICMOS. B.

    <а name="_toc436884409">one_half

    Другие названия вируса: Free Love, One_half, One Half.3544

    One_half это файлово-бутовый, резидентный, полиморфный вирус, который использует Stealth-технологию. Заражает COM - и EXE-файли, увеличивая их длину на 3544 байт и Master Boot запис жесткого диска.

    Во время холодной перезагрузки системы из инфицированного жесткого диска One_half зашифровуе два цилиндра в конце жесткого диска. При каждой следующей перезагрузке системы количество зашифрованных цилиндров растет. Пока вирус находится в памяти, информация, которая содержится в этих цилиндрах, доступна. Когда вирус зашифрует приблизительно половину жесткого диска, он выводит на экран сообщение Dis is one half. Press any key to continue.... Шифровка информации, которая проводит One_half, значительно усложняет работу антивирусных программ, которым нужно не только вылечить компьютер, но и возобновить зашифрованную информацию.

    One_half не заражает некоторые антивирусные программы Scan, Clean, Findviru, Guard, Nod, Vsafe, Msav.

    <а name="_toc436884410">tchechen 1912, 1914

    Эти вирусы не входят в десятку наиболее распространенных в мире, но на территории СНГ, по-видимому, стоят или не самом первом месте.

    Очень опасные резидентные полиморфные вирусы. При старте вирусы считывают 2-й сектор жесткого диска и записывают у него слово Мир и число 4, которое в дальнейшем будет счетчиком стартов инфицированных программ. Потом пытаются найти в ROM BIOS текстовые строки Megatrends, Award. Если этот поиск успешен, то вирусы выключают в CMOS-пам'яти опцию Virus Warning on Boot контроль записи к Boot-сектору. При достижении счетчика в 2-ом секторе значения 0 вирусы заменяют слово Мир на ненужное слово из 3 букв и записывают в MBR жорсткого диска троянский код. Этот код при загрузке системы самостоятельно отдает управление активному Boot-сектору жесткого диска, но приблизительно через месяц после записи данного кода в MBR знищуе содержание всего первого жесткого диска. После чего планировалось выведение на экран такого текста Tchechen.1914 мистить ошибку в данном выведении: POLITICAL Pro$titute$ OF THE WORLD, UNITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOUЪRE GLAD - YOUR ASS IS SO FAR FROM. WAIT, YOUЪLL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, C RUSSIAN Bear,1995.

    Tchechen.1914 непрацездатний на процессоре Pentium.

    <а name="_toc436884411">засоби борьбы с компьютерными вирусами

    <а name="_toc436884412">загальни рекомендации

    нельзя дать 100% гарантии от заражения вирусами компьютера, на котором вы работаете. В то же время выполнение следующих правил по крайней мере существенно уменьшит вероятность тяжелых последствий.

    Регулярно делайте резервные копии важных файлов и системных областей диска утилита П. Нортона Rescue, архиваторы, утилиты MS-DOS Backup, Replace и т. п.. Если вы разрабатываете собственный программный продукт, ведете базу данных и тому подобное, возьмите за правило хранить на отдельных магнитных носителях результаты своего труда в конце рабочего дня! В конце концов может просто серьезно отказать оборудованию и вы не сможете добраться своей информации.

    Если кто-то из ваших коллег демонстрирует на вашем компьютере свой продукт или вы устанавливаете новое программное обеспечение, обязательно проверьте его антивирусными средствами. Пытайтесь использовать только законные пути получения программ. Заметим, однако, что известны случаи, когда и более-менее серьезные фирмы обычно, не злонавмисно распространяли зараженный продукт. Если же вы работаете на ПК коллективного пользования, то проверка компьютера на зараженность в начале вашего сеанса обязательная!

    Для диагностирования или лечения вашего компьютера используйте только известны программы, которые хорошо зарекомендовали себя. К их числу относятся в первую очередь те, о которых язык будет идти дальше. Еще раз подчеркнем, что каждого дня появляется в среднем 57 новых вирусов. Следовательно, вы должны позаботиться о том, чтобы у вас всегда были новые версии антивирусных программ!

    При лечении компьютера от вирусов используйте чистую операционную систему, загружая ее из дискеты. Но и здесь, как мы говорили выше, вирус может вас обмануть. Защищайте дискеты от записывания, если есть хотя бы малая вероятность заражения!.

    Современные антивирусные программы хорошо документируются. В соответствующих файлах, которые поставляются вместе с этими программами, содержится описание всех вирусов, с которыми они борются. Прочитайте эти файлы! Вы будете иметь более полное представление об опасности, которая угрожает вам и вашему компьютеру.

    Дадим теперь общую Классификацию антивирусних программ. За своим назначением они разделяются на детекторы, фаги, ревизоры, фильтры и вакцины. Рассмотрим их характеристики более обстоятельно.

    Детектори служат только для выявления вирусов в компьютере. Фаги лечат его от вирусной инфекции. Очень часто функции детектора и фага совмещены в одной программе, а выбор режима работы осуществляется заданием соответствующих параметров опций, ключей. В начале вирусной эры каждый новый вирус определялся и лечился отдельной программой. При этом для некоторых из вирусов например, Vienna этих программ было не менее десятка. Впоследствии отдельные программы начали обнаруживать и лечить несколько типов вирусов, потому их стали звать Полидетекторами та Полифагом видповидно. Современные антивирусные программы находят и обезвредил много тысяч разновидностей вирусов и ради простоты их зовут коротко детекторами и фагами. Среди детекторов и фагив наиболее известными и популярными являются программы Aidstest, Drweb фирма Диалогнаука, Россия, Scan, Clean фирма Mcafee Associates, США, Norton Antivirus фирма Symantec Corporation, Сша. Эти программы периодически в среднем дважды на месяц возобновляются, давая пользователю возможность бороться с новыми вирусами. Показателем важности антивирусных средств стало включение в состав операционной системы MS-DOS утилити Msav Microsoft Antivirus. Правда, этот продукт был разработан фирмой Central Point Soft Ware автором знаменитых Pctools и Pcshell и звался Cpav, а впоследствии был куплен фирмой Microsoft. Утилита Msav является одновременно детектором, фагом, ревизором и вакциной.

    Во время запуска фагив в памяти компьютера не должно быть резидентных антивирусных программ, которые блокируют запись на диск фильтров.

    Еще одним типом антивирусных программ является Ревизори. Эти программы могут обнаруживать факт зараженности компьютера новыми вирусами, следя за всеми изменениями системных областей и файловой структуры на вашем ПК. При первом запуске ревизор образует таблицы, куда заносит информацию о свободной памяти, Partition Table, Boot, директории, файлы, которые содержатся у них, плохие кластеры и тому подобное. При повторном запуске ревизор сканирует память и диски и выдает сообщение обо всех изменениях, которые состоялись у них со времени последнего сеанса ревизии. Несложный анализ этих изменений позволяет надежно определить факт заражения компьютера вирусами. Среди ревизоров, по-видимому, наиболее популярной является программа Adinf фирма Диалогнаука, Россия. Уже упоминавшаяся программа Msav также может выполнять функции ревизора.

    В свое время, когда не было надежных средств борьбы с вирусами, широкое распространение получили так называемые Фильтри. Эти антивирусные программы блокируют операцию записывания на диск и выполняют ее только при вашем разрешении. При этом легко определить, то ли вы санкциювали команду на запись, то ли вирус пытается что-то заразить. К числу широко известных в свое время фильтров можно отнести программы Virblk, Flushot, Anti4us. Кстати, последняя программа немецкого производства и при чтении ее названия мы одержимо что-то наподобие антивирус. В настоящий момент фильтры почти не используют, поскольку они, во-первых, очень неудобные, потому что отвлекают время на лишний диалог, во-вторых, некоторые вирусы могут обманывать их. Отметим утилиту П. Нортона Discmon, которая в режиме Protect осуществляет именно функцию фильтра.

    Наконец к антивирусным программам относятся Вакцини. Заметим сразу, что их распространение было очень ограниченным раньше, а теперь они практически совсем не используются. Дело в том, что вакцины предназначены для борьбы с очень ограниченными классами вирусов и для каждого их в типе нуждается достаточно сложной разработки соответствующих программ. Объясним на примерах суть действия вакцин. Как мы уже говорили раньше, вирус Vienna проставляет в зараженном файле несуществующее время образования 62 секунды. Это же самое делает и вакцина против указанного вируса. Аналогично, вакцина против вируса BLACK Friday использует тот факт, что этот вирус приметой зараженности использует соединение Msdos, которое записывается в конец файла-жертвы.

    Рассмотрим теперь некоторые из упомянутых выше антивирусных программ.

    <а name="_toc436884413">антивирусна программа Aidstest Д. Лозинского

    Эта программа является детектором и фагом одновременно и, следовательно, предназначенная для выявления и лечения файлов и Boot-секторив, которые заражены известными типами вирусов. В процессе работы программные файлы, которые исправить невозможно, вытираются.

    Программа вызывается такой командной строкой указанные только основные параметры:

    Aidstest path[/f][/g][/s][/p[имя файла]][/q][/e]

    Параметры программы:

    Path задае подмножество файлов для проверки на зараженность. Кодируется практически за теми же правилами, что и в команде Dir операционной системы. Вместо этого параметра можно поставить символ, который задает работу со всеми логическими разделами жестких дисков, или символы, которые задают работу со всеми дисками, начиная из C: и включая те, которые работают в сети, Cd и Subst-диски. Для проверки текущего каталога задается просто символ .;

    /f ликувати заражены программы и вытирать безнадежно испорченные;

    /g глобальна проверка всех файлов не только COM, EXE и SYS. С этим параметром программу рекомендуется запускать лишь тогда, когда известно о наличии в компьютере вирусов;

    /s використовуеться в случае, когда вирус, объявленный удаленным, продолжает появляться опять;

    /p[имя файла] виводить протокол работы. Если имя файла не задано, выведение происходит на принтер без напоминания;

    /q виводить подсказку о разрешении на вытирание безнадежно испорченных файлов.

    Если вы запустили программу без параметров или ошиблись при их задании, на экран выдается короткое описание параметров программы.

    Примеры использования программы Aidstest .

    Aidstest проверка всех EXE-, COM - и SYS-файлив на всех дисках, начиная из C:.

    Aidstest а: перевирка всех EXE-, COM - и SYS-файлив на дискете в устройстве A:.

    Aidstest d:/g/f ликування всех доступных файлов на диске D:.

    Во время работы программа Aidstest выводит сообщения, содержание которых достаточно простое и понятный.

    <а name="_toc436884414">антивирусна программа Drweb И. Данилова

    Эта программа является детектором и фагом одновременно и предназначенная для выявления и лечения программ, которые заражены известными типами вирусов. Кроме того программа содержит эвристический анализатор, который, базируясь на общих сведениях о характеристиках и свойствах вирусов, позволяет иногда находить новые, неизвестны их экземпляры. Правда, это кое-что замедляет ее работу. Вообще, среди тестируемых журналом Virus Bulletin 25 известных антивирусных программ Drweb занял последнее место за быстродействием. Программа Drweb работает в удобном диалоговом режиме и хорошо документируемая.

    <а name="_toc436884415">антивирусни программы Scan и Clean J. Mcafee

    Программа Scan является детектором, а программа Clean фагом. За количеством вирусов, которые могут обнаруживать и лечить эти программы, они занимают, по-видимому, первое место. Но лучше все-таки пользоваться двумя предыдущими программами, поскольку в настоящий момент, как мы уже говорили, центр производства вирусов переместился на территорию прежнего СССР, а программы Aidstest и Drweb быстрее реагируют на них.

    Во время своей работы программа Scan в случае выявления зараженности компьютера сообщает имя соответствующего вируса. Для лечения нужно задать это имя для программы Clean как параметр.

    В состав комплекса программ J. Mcafee входит также ревизор Validate.

    <а name="_toc436884416">антивирусна программа Norton Antivirus

    Последняя версия этого продукта первая, которая начала работать в среде операционной системы Windows-95, используя все ее особенности и возможности. Система Norton Antivirus предлагает пользователю замечательный диалоговый режим борьбы с вирусами, в котором предусмотрен целый комплекс средств, в частности, создание спасательной Rescue дискеты. Эта система является одновременно детектором, фагом и ревизором.

    <а name="_toc436884417">антивирусна программа Adinf Д. Мостового

    Эта программа является одним из самых распространенных ревизоров, очень быстро просматривает весь диск и сообщает в удобной диалоговой форме обо всех подозрительных изменениях на нем. Программа имеет простой, интуитивно понятный, интерфейс и хорошо документируемая. Дополнительно из Adinf может работать специальный модуль, который лечит, Adinf Cure Module, который позволяет во многих случаях заражение новыми вирусами успешно отстраивать пораженные файлы.

    <а name="_toc436884418">антивирусна программа AVP Есть. Касперского

    Эта программа менее популярна, чем Aidstest и Drweb, но содержит в своем составе замечательную демонстрацию работы многих вирусов.

    <а name="_toc436884419">захист от вирусов в компьютерных мережах

    С широким распространением компьютерных сетей появилась серьезная проблема их защиты от вирусов. Эта проблема в целом решается теми же фирмами, которые разрабатывают антивирусные средства для автономных компьютеров. Это такие известны фирмы как Dr Solomonъs Software, IBM, Intel, Mcafee Associates, Symantec, Trend Micro Devices та много других.

    Как пример, укажем некоторые новые продукты для антивирусной защиты в сетях, которые выпустила компания Mcafee у 1996 р.

    Mcafee проводит в жизнь стратегию организации эшелонированной антивирусной защиты корпоративных вычислительных сред. Да, за сохранение Boot-сектора отвечает пакет Bootshield, за защиту настольной системы Virusscan, сетевого серверу Netshield, клиенту электронной почты и web-броузера Webscan, шлюза, для передачи Web-трафика Webshield. Учитывая серьезную опасность распространения вирусов в средах коллективной работы и обмена сообщениями, компания выпустила продукты Groupscan и Groupshield. Они призваны снизить риск эпидемии, который в подобных средах многоразово растет в силу наличия мощных функций тиражирування и постоянного поступления файлов, которые присоединены к сообщениям электронной почты.