Вирусы

Таким образом, при работающем вирусе файловая система на диске кажется  совершенно нормальной. При поверхностном  просмотре зараженного диска  на «чистом» компьютере также ничего странного не наблюдается. Разве  лишь при попытке прочесть или  скопировать с зараженной дискеты  программные файлы из них будут  прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо  длиннее. А при запуске любой  исполнимой программы с зараженного  таким вирусом диска этот диск начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

Особая  опасность вирусов семейства  DIR состоит в том, что повреждения файловой структуры, сделанные этими вирусами, не следует исправлять программами типа ScanDisk или NDD – при этом диск окажется безнадежно испорченным. Для исправления надо применять только антивирусные программы.

Вирусы семейства  ЗАРАЗА.

Еще один необычный тип вирусов – это  вирусы, заражающие системный файл IO.SYS. Семейство этих вирусов обычно называется ЗАРАЗА, потому что первый такой вирус выводил сообщение «В BOOT СЕКТОРЕ – ЗАРАЗА!».

Данные  вирусы являются файлово-загрузочными и используют рассогласование между механизмом начальной загрузки DOS и обычным механизмом работы с файлами. При начальной загрузке MS DOS проверяется, что имена двух первых элементов в корневом каталоге загрузочного диска – IO.SYS и MSDOS.SYS, но атрибуты этих элементов не проверяются. Если имена совпадают, то программа начальной загрузки считывает в память первый кластер элемента с именем IO.SYS и передает ему управление. Пользуясь этим несовершенством программы начальной загрузки, вирус ЗАРАЗА при заражении жестких дисков делает следующее:

• копирует содержимое файла IO.SYS в конец логического диска;
• сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога;
• копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS;
• записывает свое тело в место, где находится файл IO.SYS (как правило, в начало области данных логического диска);
• у первого элемента корневого каталога диска устанавливает признак «метка тома».

В корневом  каталоге появляются два элемента с  именем IO.SYS, один из которых помечен атрибутом «метка тома». Но при начальной загрузке это не вызывает сбоев – программа начальной загрузки, проверив, что первые два элемента каталога имеют имена IO.SYS и MSDOS.SYS, загрузит кластер, указанный в первом элементе оглавления (на обычном диске – это начало файла IO.SYS, а на зараженном – код вируса), и передаст ему управление. Вирус загрузит себя в оперативную память, после чего загрузит начало исходного файла IO.SYS и передаст ему управление. Далее начальная загрузка идет, как обычно.

Опасность вирусов семейства ЗАРАЗА состоит  в следующем: даже если загрузить  компьютер с “чистой” системной  дискеты и ввести команду SYS C:, вирус не будет удален с диска. Команда SYS, как и остальные программы DOS, проигнорирует указывающий на вирус первый элемент корневого каталога, посчитав его описанием метки. Перезаписан будет лишь «файл-дублер» IO.SYS, описанный в третьем элементе корневого каталога. Причем если программа SYS    запишет файл IO.SYS в новое место на диске, то система перестанет загружаться с жесткого диска, т.к. вирус в своем теле хранит адрес начального сектора исходного файла IO.SYS. Поэтому обеззараживать диски, инфицированные вирусами семейства ЗАРАЗА, командой SYS не следует, это надо делать антивирусными программами.

Методы  маскировки вирусов.

Чтобы предотвратить  свое обнаружение, многие вирусы применяют  довольно хитрые приемы маскировки.

Многие  резидентные вирусы предотвращают  свое обнаружение тем, что перехватывают  обращения операционной системы  к зараженным файлам и областям диска  и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Примером таких программ могут послужить Adinf фирмы «Диалог-Наука», Norton AntiVirus и др.

Вирусы часто содержат внутри себя различные сообщения, что позволяет  заподозрить неладное при просмотре  содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов никаких подозрительных текстовых строк пользователь не увидит.

Еще один способ, применяемый вирусами для  того, чтобы укрыться от обнаружения -  модификация своего тела. Это  затрудняет нахождение таких вирусов  программами-детекторами – в  теле таких вирусов не имеется  ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися. Имеются программы-детекторы, способные обнаруживать полиморфные вирусы, например, Dr.Web фирмы «Диалог-Наука».

Как уберечься  от вируса.

При активизации зараженного вирусом  файла управление сразу передается на вирус, который выполняет свои разрушительные действия, а также  параллельно приписывается к  другим программам и файлам. Затем  технологически происходит возврат  к тем действиям, которые выполнялись  на компьютере. При высоком быстродействии компьютера подобное «отвлечение» от регламентированного хода работ  для пользователя остается абсолютно  незамеченным. Нанесенный ущерб может  обнаружиться не сразу. Внешние проявления присутствия вируса в компьютере могут быть самыми различными, например:

• мерцание экрана;
• появление на экране непредусмотренного сообщения;
• непредусмотренное требование снять защиту записи с дискеты;
• изменение даты и времени создания зараженных файлов;
• зависание компьютера и невозможность преодолеть эту проблему;
• опадание букв на экране (иногда с музыкальным сопровождением);
• исчезновение некоторых программных файлов по пятницам, приходящихся на 13-е число месяца;
• необычное аварийное завершение работы;
• уничтожение информационных файлов или их частичное разрушение;
• замедление работы компьютера;
• блокирование ввода с клавиатуры;
• звучание музыки;
• поворот символов на экране;
• блокировка записи на жесткий диск;
• другие виды необычного «поведения» компьютера.

Особенно  опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с  быстрой потерей всей хранящейся там информации. Поскольку от проникновения  вируса не застрахован ни один пользователь, то можно, по крайней мере, сократить  до минимума возможные последствия  от присутствия в компьютере вируса. Для этого необходимо соблюдать  несколько простых правил:

1. Каждую свою дискету, если она «побывала» на другом компьютере, следует обязательно проверить любой доступной антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» дискету. Особенно это касается игровых программ, т.к. большинство вирусов распространяется именно через них.
2. Аналогичные проверки необходимо устраивать для файлов, полученных через сеть.
3. Антивирусная программа очень быстро морально стареет. Поэтому рекомендуется ее периодически обновлять новой версией. Период обновления программ такого рода составляет от одной недели до одного квартала.
4. Не снимать защиту записи с дискеты в ходе повседневных работ, если это не предусмотрено технологией решения задач.
5. При обнаружении вируса не предпринимать необдуманных действий, т.к. это может привести к потере той информации, которую еще можно было бы спасти. Самое правильное в такой ситуации – это выключить компьютер, чтобы блокировать деятельность вируса. Затем загрузить компьютер с эталонной дискеты операционной системой. После этого запустить антивирусную программу, в функциях которой предусмотрено не только обнаружение инфицированных файлов, но и их лечение. Далее выполнить антивирусную программу повторно. Если все операции по удалению вируса были сделаны правильно, то результатом ее работы должно быть информирование пользователя о полном отсутствии вирусов. Но следует помнить, что программа не должна быть морально устаревшей.

В последнее время при работе в сетях, особенно при пользовании  электронной почтой, участилось проникновение  вирусов в компьютер пользователя посредством чтения почтовых сообщений. Поэтому здесь также следует  соблюдать несколько простых  правил:

1. Не открывать прикрепленные к письму файлы, кроме случая, когда есть предварительная договоренность с отправителем об их отправке.
2. Не открывать прикрепленные к письму файлы, пришедшие от антивирусных лабораторий, компании Microsoft и прочих. Компании никогда не занимаются рассылкой файлов.
3. Не открывать прикрепленные к письму файлы, если тема письма и само письмо пустые.
4. Удалять все подозрительные письма.
5. При длительном отсутствии следует прервать подписку на различные электронные рассылки.

Антивирусные  программы.

Классификация антивирусных программ.

Данные программы можно  классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора  и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение  в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

К последней группе относятся  самые неэффективные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

AIDSTEST

В нашей стране, как уже  было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. Эта программа была изобретена ее в 1988 г. и с тех пор она постоянно  совершенствуется и пополняется. В  России практически на каждом IBM-совместимом  персональном компьютере есть одна из версий этой программы. Одна из последних  версий обнаруживает более 1500 вирусов.

Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.