В связи с этим различными фирмами и программистами разработаны программы- фильтры, или резедентные программы для защиты от вируса, которые в определенной степени восполняют указанный недостаток DOS.
Эти программы располагаются резедентно в оперативной памяти компьютера и «перехватывают» те сообщения к операционной системе, которые используются вирусами для размножения и нанесения вреда.
В настоящее время для существует несколько десятков тысяч компьютерных вирусов и их число продолжает расти. Поэтому следует, с одной стороны, ожидать постепенного проникновения в Россию новых, более опасных и изощренно написанных вирусов, включая стелс-вирусы, и с другой - потока сравнительно простых, а зачастую и безграмотно написанных вирусов в результате "вирусного взрыва" внутри самой страны. Не следует думать, что эволюция вирусов пойдет только в направлении их усложнения. Опыт показал, что сложность стелс-вирусов существенно снижает их жизнеспособность. Как отмечал С.Н.Паркинсон в одном из своих знаменитых законов, "рост означает усложнение, а усложнение - разложение". По-видимому, эволюция компьютерных вирусов будет идти сразу в нескольких направлениях, лишь одним из которых являются стелс-вирусы.
Хотя общее количество вирусов велико, лежащие в их основе идеи сравнительно малочисленны и не так просто поддаются расширению. Поэтому основной тенденцией, наблюдаемой в настоящее время, является не столько появление новых типов вирусов, сколько комбинирование уже известных идей. Такие "гибриды", как правило, оказываются опаснее базисных видов. Еще чаще наблюдается тенденция к минимальной модификации одного из получивших широкое распространение вирусов, что приводит к образованию вокруг "базисного" вируса группы штаммов, причем их количество в некоторых случаях превышает десяток
ПРИЛОЖЕНИЕ 1
Описание некоторых компьютерных вирусов
Есть ли спасение от вируса «Чернобыль»?
Вирус этот не новый: впервые он был обнаружен почти год назад. CIN («Чернобыль»)
Активизируется 26 числа каждого месяца. А в 13-ю годовщину трагедии на АЭС всплеск был особенно силен. Вирус переносится в файлах с расширением «exe», работающих в программах Microsoft Windows. Заражение может произойти при установке программ с пиратского компакт-диска (а таковых у нас 94 процента), при перекачке файлов по сети Интернет и по электронной почте. Сейчас CIN у нас – самый распространенный вирус. Утешает одно: «Чернобыль» успешно ликвидируют большинство современных антивирусных программ.
Однако если уж он проникает в систему, то последствия разрушительны. Он способен в лучшем случае стереть все, что есть в памяти персонального компьютера, а в худшем – полностью вывести его из строя.
По прогнозам экспертов, вспышка этого цикличного вируса 26 апреля 2000 года будет столь же сильной.
Специалисты говорят, что «заболевший» компьютеры можно оживить, заменив микросхему Flash-BIOS. Однако на некоторых моделях она не может быть отделена от материнской платы, и в этом случае придется покупать новую материнскую плату.
. Вирус Cookie Monster - Печеньевое чудовище
Данная легенда основана на демонстрационном вирусе, действительно существовавшем на компьютерах с микропроцессором 8080 или Apple II. Или, возможно, вирус полностью уничтожен и относится к "ископаемым" вирусам. Название данного вируса связано с персонажем популярной в США детской телевизионной программы SESAME STREET. Проявление этого вируса связано с выдачей на экран сообщения
I WANT COOKIE
(Хочу печенья)
Только ввод с клавиатуры слова COOKIE позволяет продолжить работу с программой. Вводом тайного пароля "OREO" можно "усыпить" вирус на несколько недель. В некоторых вариантах легенды вирус стирает файлы при неправильном ответе или слишком длительной задержке с ответом.
Отечественный аналог данного мифа под названием Чуча (якобы выдающий сообщение "Хочу чучу") опубликован в [Павлов89]
Исторические сведения. Слухи о данном вирусе дошли до Киева в конце 1988 г., т.е. до появления в Киеве настоящих компьютерных вирусов. Вирус упоминается в ряде зарубежных публикаций.
. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
Сетевые вирусы более точно называть не вирусами, а репликаторами, поскольку они не заражают выполняемые программы, а просто распространяются по сети от одной ЭВМ к другой. Буквальный перевод соответствующего англоязычного термина Worm - червяк представляется менее удачным, чем предлагаемый термин репликатор. В свою очередь, репликатор, подобно кассетной боеголовке, может переносить с собой троянских коней и обычные вирусы. К счастью, два наиболее известных случая создания таких вирусов не связаны с вандализмом.
. Вирус Christmas Tree (Рождественская елка)
Рассматриваемый вирус написан студентом университета ClausthalZellerfeld (Германия), который в конце декабря 1987 г. запустил его в университетской сети. Название вируса связано с тем, что он рисовал на экране дисплея новогоднюю елку и затем рассылал себя по всем адресам, найденным на зараженном компьютере, используя механизм электронной почты. Вирус был написан на языке управления заданиями REXX операционной системы VM/CMS. Фактически это один из немногих вирусов, написанных на языке управления заданиями, и это свидетельствует о мощности и гибкости REXX -- несомненно лучшего из множества языков управления заданиями для компьютеров системы 360/370
ПРИЛОЖЕНИЕ 2
АНТИВИРУСНЫЕ ПРОГРАММЫ
AVP Inspector™
Что такое AVP Inspector™
AVP Inspector™ – это антивирусная программа-ревизор диска, работающая под управлением операционной системы Microsoft Windows 95/98® или Microsoft Windows NT®.
AVP Inspector следит за изменениями содержимого файлов и директорий. Она может использоваться в качестве вспомогательной антивирусной программы или для контроля над изменениями на диске.
Программа значительно уменьшает время проверки дисков антивирусным сканером AVP, так как после окончания проверки дисков на изменения, AVPI может передать на проверку сканеру AVP только новые и измененные файлы.
Ее работа основана на сохранении основных данных о диске в таблице, содержащей образы Master-Boot и Boot секторов, список номеров сбойных кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах.
Кроме того, AVP Inspector запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти (что бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров. При всех этих проверках программа просматривает диск по секторам непосредственно через IOS и не использует стандартные методы (прерывания INT 21h и INT 13h), что позволяет успешно обнаруживать активные маскирующиеся вирусы, находящиеся в памяти и взявшие на себя обработку этих жизненно важных (для компьютера) прерываний.
Основные особенности AVP Inspector
Основными особенностями AVP Inspector являются:
· Работа в среде Microsoft Windows 95, Microsoft Windows 98 или Microsoft Windows NT;
· Возможность разбора файловых систем (FAT12, FAT16, VFAT32, NTFS) без использования обращений к функциям операционной системы, работающих с файлами;
· Возможность проверки сетевых дисков;
· Обращение к дискам напрямую через драйвер IOS (супервизор ввода-вывода) в обход DOS-резидентов (в частности Boot вирусов, перехвативших 13h прерывание при загрузке компьютера);
· Истинная 32-х разрядность, многозадачная работа, графический интерфейс;
· Доступ к компрессионным дискам в обход DOS;
· Восстановление загрузочных секторов;
· Ведение базы данных о предыдущих проверках;
· Анализ измененных файлов на схожее изменение длины;
· Работа с OLE2 документами (документы Word, Excel и Access);
· Возможность восстановления исполняемых файлов DOS, Windows 95/98/NT, которая обеспечивается лечащим модулем AVPI Cure Module;
· Возможность обнаружения активных Stelth-вирусов.
· Контроль за изменениями в системном реестре.
Принципы работы ревизора AVP Inspector™
Антивирусные ревизоры имеют единый принцип работы, основанный на подсчете CRC-сумм для дисковых секторов и файлов, сохранении их в некоторой базе данных (таблице) и последующем сравнении реальных (новых) CRC-сумм с их оригинальными значениями, хранящимися в базе данных. В базе данных также хранится дополнительная информация о файлах - их длины, время создания и последней модификации, атрибуты и данные, необходимые для восстановления измененных (зараженных) файлов. В базе данных также хранятся полные образы загрузочных секторов диска (Master-Boot и Boot), список номеров сбойных кластеров, схема дерева подкаталогов и прочая информация обо всех контролируемых объектах.
Помимо этого, AVP Inspector™ запоминает и затем при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении: объем оперативной памяти (контроль на заражение загрузочным вирусом), количество установленных жестких дисков и некоторые ключи системного реестра. При проверках AVP Inspector обращается к секторам диска напрямую непосредственно через IOS и не использует стандартные методы (прерывания INT 21h и INT 13h). Данная особенность работы AVP Inspector позволяет ему успешно обнаруживать и ликвидировать так называемые стелс-вирусы (вирусы-невидимки).