Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования
Финансовый университет при Правительстве Российской Федерации
Кафедра «»
Реферат
на тему Компьютерные вирусы
Выполнила:
студентка гр. М1-1
Чистякова Н. Ю.
Научный руководитель:
Магомедов Р. М.
Москва – 2011 г.
Мы живем в современном мире, мире господства компьютерных технологий. Компьютер стал неотъемлемой частью нашей жизни. Его применение играет важную роль, как в трудовой деятельности, так и в повседневной жизни. Однако никто не застрахован от компьютерных преступлений. Несмотря на проводимую борьбу с ними количество вирусов растет и растет. Именно поэтому темой реферата мною была выбрана тема «Вирусы», так как она актуальна в наши дни. Я считаю, что необходимо знать их свойства, виды, признаки появления, а главное, методы зашиты от компьютерных вирусов. Именно эти позиции будут рассмотрены в моем реферате.
«Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а в середине 1970-х годов они уже были.
Рисунок 1Машина Чарльза Бэббиджа
Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, которые стали известны в 1940-х годах. В 1951 г. этот знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г. журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый Ф.Ж. Шталь реализовал модель на практике с помощью машинного кода на IBM 650.
Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.
В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.
На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях».1
«Со временем вирусы, прятавшие свой код в теле других программ, сдали свои позиции. Во многом это произошло из-за того, что размеры самих вирусов стали больше – а спрятать код размером в сотни килобайт не так-то просто. Да и сами программы и операционные системы резко поумнели, научившись проверять целостность собственных файлов.
В итоге произошло то, что и должно было случиться – «исполняемые» вирусы перестали маскироваться, представ перед публикой в «чистом» виде. Вирус превратился в абсолютно отдельную, независимую программу, не нуждающуюся в «хозяине-переносчике». Однако сразу же перед вирусописателями встал другой вопрос – а как заставить пользователей скачать и запустить у себя на машине этот самый вирус?
«Программные» вирусы, написанные для операционной системы Windows, решили эту проблему, маскируясь под разные «полезные» утилиты – например, под «ломалки» для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный приём распространителей заразы – наряжать свои детища в «одежду» обновлений для операционной системы или даже… антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложений в электронные письма якобы от Microsoft или «Лаборатории Касперского» - а ведь это самый верный путь поселить на свой компьютер вирус!
Большинство вирусов люди запускают на своём компьютере самостоятельно! – увы, несмотря на все усилия борцов с вирусами, некие стереотипы человеческой психологии оказываются непреодолимыми…
В 1995-1999 гг. на просторах Интернета весело развивалась добрая сотня «Windows-совместимых» вирусов. Эти милые зверушки, понятно, развились не просто так.… Только за период лета 1998 – лета 1999 г. Мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности вируса Win95.CIH, поражающего BIOS системной платы, из строя были выведены около миллиона компьютеров во всех странах мира.
Сообщение об ошибке – результат работы вируса Blaster.
А совсем недавно, в середине 2003г., Сеть оказалась поражена новым «червем» SoBig, распространявшимся в виде вложения в электронные письма. Несмотря на то, что о вредоносных «вложениях» уже давно трубила вся пресса, люди запускали файл-вирус без малейших опасений. И вот результат: по данным аналитиков, в начале 2003 г. каждое 17-е письмо содержало в себе начинку в виде SoBig!
Впрочем, некоторые вирусы способны атаковать ваш компьютер даже в том случае, если его «тело» физически находится в другом месте. Например, один из самых «модных» вирусов 2003 г. – Blaster – был способен атаковать все компьютеры в локальной сети с одной-единственной машины! Сканируя локальную сеть, программа обнаруживала бреши в защите каждого компьютера, и самостоятельно пропихивала в эту «дырочку» вредоносный код.
Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно – главным условием вашей безопасности является обязательная и регулярная загрузка обновлений к Windows. А именно – файлов-«заплаток», предназначенных для закрытия уже обнаруженных «дыр» в системе защите операционной системы.
Для получения новых «заплаток» вам необходимо навестить центр обновления Windows – сайт Windows Update (). При этом совершенно не обязательно набирать этот адрес в строке браузера вручную – достаточно зайти в меню Сервис программы Internet Explorer и выбрать пункт Windows Update.
На открывшейся страничке вы увидите полный список обновлений, доступных для загрузки. Учтите – все обновления из раздела «Критические обновления» необходимо устанавливать в обязательном порядке!
Посещайте сайт Windows Update не реже раза в месяц, регулярно обновляйте базы данных вашего антивирусного пакета – и можете считать, что от львиной доли неприятностей вы застрахованы…»2
«Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске отдать управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных)»3
«По способу заражения файлов вирусы делятся на: перезаписывающие (overwriting), паразитические (parasitic), вирусы-компаньоны (companion), вирусы-ссылки (link), вирусы, заражающие объектные модули (OBJ), вирусы, заражающие библиотеки компиляторов (LIB), вирусы, заражающие исходные тексты программ. Рассмотри некоторые из них.
Overwriting
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Parasitic
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.
Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
Companion
К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD»4.
«Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса»5.
«В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус»6.
В эпоху «классических» вирусов любой более-менее грамотный пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд ли даже в страшном сне могло присниться, что через несколько лет смертоносной начинкой обзаведутся… текстовые документы! Впрочем, такие сообщения время от времени проскакивали ещё в конце 80-х годов. Но появились они преимущественно первого апреля, так что никакой реакции, кроме смеха, вызвать не могли. Как оказалось, смеялись напрасно. В 1995 г., после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100%, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 г. было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95.
А меньше чем через полгода человечество было огорошено вирусами нового, совершенно неизвестного типа и принципа действия. В отличие от всех «приличных» вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office.
Ларчик открывался просто: в текстовый редактор Microsoft Word и таб¬личный редактор Microsoft Excel был встроен свой собственный язык про¬граммирования – Visual Basic for Applications (VBA), предназначенный для созданий специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия заражённого файла вирус активировался и заражал все документы Microsoft Office на вашем диске.
Первоначально макровирусы – а именно так называли новый класс вирусов, - вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени макровирусы перешли к своим обычным обязанностям – уничтожению информации.
К такому повороту дел борцы с вирусами явно не были готовы. И потому буквально через несколько дней вирус Concept, поражающий документы Word, распространился по всей планете. Заражённые файлы Word с лакомым содержанием (например, списками паролей к интернет-серверам) путешество¬вали от пользователя к пользователю через Интернет. Доверчивые хватали «наживку» не задумываясь – ведь даже самые умные из них были убеждены: через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса», этот класс вирусов стал самым многочисленным и опасным.
Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 г., когда вирус Melissa, созданный программистом Дывидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissa ограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесённым в адресную книгу Microsoft Outlook), его появление наделало немало шума. Именно появление Melissa заставило Microsoft срочно оснастить программы Microsoft Office защитой от запуска макросов. При открытии любого документа, содержащего встроенные макросы, умный Word и Excel обязательно спросит пользователя: а вы уверены, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку Нет – и вирусу будет поставлен надёжный заслон. Просто удивительно, что несмотря на такую простоту защиты большинство пользователей игнорирует предупреждения программы. И заражаются…
«Майка лидера» принадлежала макровирусам около пяти лет – срок, по меркам компьютерного мира, немалый. Выжить и преуспеть им помог Интернет – в течение последних лет вирусы этого типа распространились в основном по электронной почте. Источником заражения мог быть и присланный компьютерной фирмой прайс-лист, или рассказик, отосланный в виде файла-вложения незадачливым другом.
Сегодня число макровирусов снизилось в несколько раз – сегодня им принадлежит не более 15 % всего вирусного «рынка». Однако опасность заражения макровирусами по-прежнему высока – и поэтому будьте особенно осторожны, если вам часто приходится иметь дело с документами, созданными на других компьютерах. Качественный антивирус в сочетании с включённой защитой от макросов в программах Microsoft Office могут надёжно обезопасить вас от подобной напасти».7
Компьютерные вирусы, попадая в компьютер, начинают оказывать на работы находящихся программ влияние. Следует уметь распознавать появление вирусов. К основным признакам, которые помогают определить есть ли на компьютере вирус или нет, относят:
замедленная работа компьютера;
отсутствие возможности загрузки системы;
появление зависаний и сбоев в работе компьютера;
прекращение или неправильная работа программ, которые ранее функционировали нормально;
увеличение числа файлов на диске;
изменение размеров файлов;
периодически появляющиеся на экране монитора неуместные системные сообщения;
сокращение объема свободной оперативной памяти;
сильное возрастание времени доступа к жесткому диску;
изменения в датах и времени создания файлов;
разрушающаяся файловая структура (исчезновение файлов, искажение каталогов и т.д.)
Также следует отметить, что в настоящее время в рейтинге наиболее инфицированных стран вновь лидирует Тайвань (более 50% зараженных компьютеров). Затем идут Россия и Турция.
Диаграмма 1 Наиболее «зараженные страны»
«Для защиты от вирусов можно использовать:
общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов.
Имеются две основные разновидности этих средств:
копирование информации — создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов.
Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы - доктора, или фаги, "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.
Доктора - ревизоры — это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
Программы - фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Программы - вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.
Стратегия защиты от вирусов. Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, "эшелонная" оборона. Опишем структуру этой обороны.
Средствам разведки в "обороне" от вирусов соответствуют программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел "просочиться" через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.
Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
И наконец, в "стратегическом резерве" находятся архивные копии информации и "эталонные" дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске».8
В приведенной ниже таблице отражены результаты исследований надежности существующих в наше время наиболее распространенных вирусов.
Таблица 1 Антивирусные программы
Наименование антивируса | Пропущено вирусов за период наблюдений с октября 2008 по сентябрь 2009 г. (количество) | Надежность защиты | |||||||||||
Номер месяца | 10 | 11 | 12 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | |
AVG | 6 | 5 | 2 | 1 | 4 | 5 | 6 | 4 | 4 | 2 | 4 | 7 | 0,884 |
Dr Web | 1 | 0 | 1 | 0 | 0 | 2 | 2 | 2 | 0 | 1 | 4 | 3 | 0,945 |
Kaspersky | 3 | 0 | 3 | 0 | 0 | 2 | 6 | 3 | 0 | 4 | 4 | 2 | 0,908 |
Mc Afee | 9 | 6 | 8 | 5 | 0 | 5 | 8 | 4 | 1 | 0 | 17 | 7 | 0,761 |
Microsoft | 6 | 2 | 6 | 3 | 4 | 5 | 6 | 6 | 3 | 4 | 7 | 8 | 0,795 |
Panda | 9 | 5 | 7 | 4 | 4 | 12 | 8 | 2 | 3 | 3 | 10 | 6 | 0,751 |
Итак, были рассмотрены компьютерные вирусы, их история возникновения, основные виды, признаки обнаружения и основные методы защиты. Знание этого необходимо в настоящее время, время информационных технологий. Компьютер используется во всех сферах нашей жизни. В заключении, хотелось бы отметить что при заражении компьютера вирусом (или при подозрении на это) важно соблюдать следующие правила:
1) Прежде всего не надо торопиться и принимать опрометчивых решений.
Непродуманные действия могут привести не только к потери части файлов, но к повторному заражению компьютера.
2) Надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.
3) Все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС (обязательное правило).
4) Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь более опытных коллег.
/30/100038/index.html#п21
/2007/08/14/referat-na-temu-kompjuternye-virusy.html
/referat/7609
/referat-43057.html
/page-id-1447.htm
Оглавление:
1 Введение 2
2 Основная часть 3
2.1 История возникновения компьютерных вирусов 3
2.2 Классификации компьютерных вирусов 4
2.2.1 Вирусы - программы 4
2.2.2 Загрузочные вирусы 6
2.2.3 Файловые вирусы 7
2.2.4 Полиморфные вирусы 8
2.2.5 Стелс-вирусы 9
2.2.6 Макровирусы 10
2.3 Признаки появления вирусов 12
2.4 Основные методы защиты от компьютерных вирусов 13
3 Заключение 17
4. Список использованной литературы 18
Список иллюстраций
Рисунок 1Машина Чарльза Бэббиджа 3
Диаграмма 1 Наиболее «зараженные страны» 13
Таблица 1 Антивирусные программы 16
1 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
2 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
3 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
4 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
5 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
6 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
7 /2007/08/14/referat-na-temu-kompjuternye-virusy.html
8 /30/100038/index.html#п21
refdb.ru
Содержание
Введение
Что такое компьютерный вирус?
Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
Признаки появления вирусов
Обезвреживание вирусов
Меры профилактики
Как правильно лечить?
Заключение
Список используемой литературы
ü
Введение
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.
В середине нашего столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. Это и послужило стимулом для выбора темы моей работы.
Цель работы - ознакомить пользователя с основами компьютерной вирусологии, научить обнаруживать вирусы и бороться с ними. Метод работы - анализ печатных изданий по данной теме. Передо мной встала непростая задача - рассказать о том, что еще очень мало исследовалось, и как это получилось - судить вам.
Что такое компьютерный вирус?
Компьютерные вирусы не зря так названы – их сходство с «живыми» вирусами поражает. Они так же распространяются, живут, действуют, так же умирают. Разница лишь в том, что в качестве мишени выступают не люди и не животные, а компьютеры. Контактируя между собой посредством дискет, компакт дисков, локальных сетей, Интернет и других средств «общения», они, как и человек, заражают друг друга.
Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название «Троянские кони».
Зарождение компьютерных вирусов
О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univах 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Sсiеntifiс Аmегiсаn опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.
Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты (флешки), содержащей вирус. случайным, например, если. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, СОM, SУS, BАT. Крайне редко заражаются текстовые файлы.
И наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Признаки появления вирусов
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
1.прекращение работы или неправильная работа ранее успешно функционировавших программ
2. медленная работа компьютера
3. невозможность загрузки операционной системы
4. исчезновение файлов и каталогов или искажение их содержимого
5. изменение даты и времени модификации файлов
6. изменение размеров файлов
7. неожиданное значительное увеличение количества файлов на диске
8. существенное уменьшение размера свободной оперативной памяти
9. вывод на экран непредусмотренных сообщений или изображений
10. подача непредусмотренных звуковых сигналов
11. частые зависания и сбои в работе компьютера
Обезвреживание вирусов
Не исключено, что после выявления вируса его можно будет удалить и восстановить исходное состояние зараженных файлов и загрузочных записей, свойственное им до «болезни». Этот процесс называется обезвреживанием (дезинфекцией, лечением).
Некоторые вирусы повреждают поражаемые ими файлы и загрузочные записи таким образом, что их успешная дезинфекция невозможна.
Меры профилактики
Одним из общепринятых методов является использование программ, которые тщательно обследуют диски, пытаясь обнаружить и обезвредить вирусы. Возможно также использование резидентных программ DОS, постоянно проверяющих вашу систему на вирусы. Резидентные программы имеют следующее преимущество: они проверяют все программы на вирусы при каждом их выполнении. Резидентные программы должны быть очень тщательно разработаны, т.к. иначе они будут задерживать загрузку и выполнение программ.
Нерезидентные программы эффективны при необходимости одновременного обследования всей системы на вирусы и их обезвреживания. Они представляют собой средство, дополняющее резидентные программы.
Вы должны помнить о необходимости регулярного выполнения антивирусной программы. K сожалению, как показывает опыт, об этом часто забывают. Пренебрежение профилактическими проверками вашего компьютера увеличивает риск инфицирования не только вашей компьютерной системы, но и распространения вируса на другие компьютеры. И не только через дискеты, вирусы прекрасно распространяются и по локальным сетям.
Чтобы впоследствии избежать головной боли, лучше всего обеспечить автоматическое выполнение антивирусной программы. B этом случае программа будет защищать ваш компьютер, не требуя от вас каких-либо явных действий
Как правильно лечить?
Прежде всего, перезагрузите компьютер, нажав кнопку Геsеt. Tакая перезагрузка называется «холодной», в отличие от «теплой», вызываемой комбинацией клавиш Сtгl-Аlt-Dеl. Существуют вирусы, которые спокойненько выживают при «теплой» перезагрузке.
Загрузите компьютер с дискеты, защищенной от записи и с установленными антивирусными программами. Необходимость хранить антивирусный пакет на отдельной защищенной дискете вызвана не только опасностью заражения антивирусных программ вирусом. Частенько вирус специально ищет на жестком диске программу-антивирус и наносит ей повреждения.
При обнаружении зараженного файла желательно скопировать его на дискету и лишь затем лечить антивирусом. Это делается для того, чтобы в случае некорректного лечения файла, что, к сожалению, случается, попытаться полечить файл другим антивирусом.
Если вам понадобилась программа из ваших старых архивов или резервных копий, не поленитесь проверить ее. Hе рискуnте. Лучше преувеличить опасность, чем недооценить ее.
Заключение
В настоящее время известно более 5000 программных вирусов, число которых непрерывно растет. Известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.
Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой стороны - с отсутствием средств защиты у операционной системы.
Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днем, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всем мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную, ценную информацию, что может привести не только к финансовым потерям, но и к человеческим жертвам.
Если вы все же обнаружили в компьютере вирус, то по традиционному подходу лучше позвать профессионала, чтобы тот дальше разобрался.
При всей серьезности проблемы ни один вирус не способен принести столько вреда, сколько побелевший пользователь с дрожащими руками!
Итак, здоровье ваших компьютеров, сохранность ваших данных - в ваших руках!
Список используемой литературы
1. Информатика: Учебник / под ред. Проф. Н.В. Макаровой. - М.: Финансы и статистика, 1997.
2. Энциклопедия тайн и сенсаций / Подгот. текста Ю.Н. Петрова. - Мн.: Литература, 1996.
3. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 1991.
4. Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК. - №8. - 1993.
www.neuch.ru
Компьютерные вирусы и их методы классификации
Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных.
Известно много различных способов классификации компьютерных вирусов.
Одним из способов классификации компьютерных вирусов – это разделение их по следующим основным признакам:
среда обитания
особенности алгоритма
способы заражения
степень воздействия (безвредные, опасные, очень опасные)
В зависимости от среды обитания основными типами компьютерных вирусов являются:
Программные (поражают файлы с расширением. СОМ и .ЕХЕ) вирусы
Загрузочные вирусы
Макровирусы
Сетевые вирусы
Программные вирусы – это вредоносный программный код, который внедрен внутрь исполняемых файлов (программ). Вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением.
По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удаляя информации, хранящиеся на жестком диске. Этот процесс называется вирусной атакой.
Загрузочные вирусы – поражают не программные файлы, а загрузочный сектор магнитных носителей (гибких и жестких дисков).
Макровирусы – поражают документы, которые созданы в прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся документы текстового процессора WORD, табличного процессора Excel. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.
Сетевые вирусы пересылаются с компьютера на компьютер, используя для своего распространения компьютерные сети, электронную почту и другие каналы.
По алгоритмам работы различают компьютерные вирусы:
Черви (пересылаются с компьютера на компьютер через компьютерные сети, электронную почту и другие каналы)
Вирусы-невидимки (Стелс-вирусы)
Троянские программы
Программы – мутанты
Логические бомбы
И другие вирусы.
В настоящее время к наиболее распространенным видам вредоносных программ, относятся: черви, вирусы, троянские программы.
Признаки заражения ПК вирусом
Желательно не допускать появление вирусов в ПК, но при заражении компьютера вирусом очень важно его обнаружить.
Основные признаки появления вируса в ПК:
медленная работа компьютера
зависания и сбои в работе компьютера
изменение размеров файлов
уменьшение размера свободной оперативной памяти
значительное увеличение количества файлов на диске
исчезновение файлов и каталогов или искажение их содержимого
изменение даты и времени модификации файлов
И другие признаки.
Способы защиты от компьютерных вирусов
Одним из основных способов борьбы с вирусами является своевременная профилактика.
Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:
Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса
Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков
Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры
Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных
создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки.
Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках
Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:
Эвристический модуль – для выявления неизвестных вирусов
Монитор – программа, которая постоянно находится в оперативной памяти ПК
Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов
Почтовая программа (проверяет электронную почту)
Программа сканер – проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков
Сетевой экран – защита от хакерских атак
К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.
Кто и зачем пишет вирусы
Общественное мнение таково: вирусы пишут либо аморальные хулиганы, либо студенты-дурачки. В последние годы к анализу проблемы подключились профессиональные социологи, психологи и юристы. И вот к каким выводам они пришли.
Все множество авторов вирусов можно условно разделить на три большие группы.
Во-первых, это действительно так называемые студенты - молодые люди, стремящиеся к самоутверждению. Самостоятельно разобраться в том, как работает вирус, непросто. Поэтому написание саморазмножающейся программы для "студента" сопряжено с творческим озарением и моральной победой над собой. Студенческие вирусы, как правило, просты по устройству, неспособны к быстрому распространению, а проявления их ограничиваются выдачей на экран сообщений типа "Профессор Иванов - дурак". "Студенты" - самый многочисленный отряд вирусописателей.
Во-вторых, это действительно хулиганы. Их цель - поскорей заявить о своей "крутизне", отомстить кому-нибудь или просто напакостить ближнему. "Творчество" этих аморальных личностей сводится к использованию давно известных вирусных алгоритмов, а подчас - просто автоматических вирусных программ-генераторов (есть и такие). Зато на разрушительные воздействия хулиганы не скупятся. К счастью, хулиганов на свете немного.
Наконец, третья группа - профессионалы. Это весьма квалифицированные программисты, порой и не такие уж юные. Ими движет стремление к познанию нового и азарт интеллектуального противодействия авторам антивирусных программ. Вирусы, создаваемые профессионалами, изощренны, используют малоизвестные особенности операционных систем, способны быстро и скрытно распространяться, а также более-менее эффективно противодействовать попыткам обнаружения и удаления. По замыслу, такие вирусы максимально незаметны, то есть безвредны. Авторы профессиональных вирусов часто даже и не выпускают их в "дикую природу", а сразу отправляют вирусологам или публикуют в специализированных электронных журналах.
Встречаются и смешанные типы. Наиболее опасны для компьютерной общественности профессиональные хулиганы. Практически все вирусы, которые реально распространяются на пользовательских компьютерах, созданы представителями этой психологической группы. Таков, например, тайваньский студент Чен Инг Хау, написавший весной 1998 года вирус Win32.CIH.
К сожалению, у него имеются и отечественные единомышленники. Хотя компьютерный вирус по определению не является разрушительным, но некоторые господа, кажется, делают все, чтобы привести свои "творения" в соответствие с текстом статьи. Ну что ж, мы с удовольствием ознакомимся с их впечатлениями о лесоповале.
Чем опасен компьютерный вирус
Вопрос не так прост, как может показаться на первый взгляд. Конечно, все мы прекрасно помним, к каким труднопоправимым последствиям может привести деятельность таких вирусов, как Win32.CIH (Чернобыльский). Но вместе с тем существуют вирусы, которые не несут в себе никаких деструктивных функций, а просто размножаются и перемещаются с одной машины на другую. К числу таких вирусов относятся хорошо известные самарским владельцам компьютеров Kaczor и OneHalf. Выходит, к ним можно относиться лояльно?
Конечно, нет! Прежде всего, вирус, заразив ваш компьютер, пользуется его ресурсами, "откусывая" часть оперативной памяти, замедляя работу обработчиков прерываний и прочее. Во-вторых, даже самый аккуратно написанный безобидный вирус не может быть полностью совместим со всеми программно-аппаратными конфигурациями, что может изредка приводить к неправильной работе отдельных программ, сбоям и тому подобное. (Впрочем, я лично наблюдал случаи, когда вирус жил в компьютере годами, оставаясь незамеченным.) Наконец прогресс не стоит на месте, условия меняются, и прекрасно совместимый с MsDos 3.30 и 286/40/EGA вирус, скорее всего, просто приведет к "вылету" приложения под Windows 95/98. И еще одна причина. Несколько лет назад известный болгарский вирусолог Весселин Бончев провел полномасштабный анализ вопроса и пришел к парадоксальному выводу. Оказывается, так называемые "безобидные" вирусы ежегодно наносят мировой экономике ущерб, исчисляемый сотнями миллионов долларов, но в большинстве случаев потому, что пользователь, узнав о наличии у своего компьютера вируса, начинает беспокоиться, прекращает работу и тратит массу времени и денег на лечение. Отсюда следует очень простой вывод: вместо того чтобы лечить от вируса, лучше не допускать заражения.
Как бороться с вирусами
Существует два класса средств для борьбы с вирусами: организационные и технические.
Организационные методы направлены на предотвращение заражения компьютерным вирусом.
Можно порекомендовать ряд простых и действенных мер. Внимательно следите за происхождением всех новых программ и документов на вашем компьютере. Например, ни в коем случае не следует доверять таким источникам, как CD с пиратским программным обеспечением. Не секрет, что к широкому распространению в нашей стране печально знаменитого "импортного" вируса Win32.CIH (а также вирусов TaiPan, Major, Burglar и другие) приложили свои "умелые руки" именно доморощенные пираты. Активно пользуйтесь такими возможностями, как шторка защиты от записи на дискете, режим "virus protection" в CMOS SETUP вашего компьютера и "галочка" защиты от исполнения макросов в WinWord 97. Сохранять и переносить WinWord-документы лучше в RTF-формате, его вирусы не заражают. Поставьте на файл NORMAL.DOT атрибут защиты от записи, большинство макровирусов не смогут заразить его и, значит, закрепиться на вашем компьютере.
Технические методы направлены на обнаружение, блокирование и удаление вирусов.
Эти методы предусматривают использование различных антивирусов. Наиболее известны так называемые "фаги" - программы, предназначенные для поиска и излечения известных вирусов, например DrWeb или AVP. Эффективно работают "инспектора" - программы, сохраняющие сведения о текущем программно-аппаратном состоянии вашего компьютера и регулярно следящие за всеми изменениями, например AdInf. Большую пользу могут принести так называемые "мониторы", которые в резидентном режиме постоянно отслеживают и блокируют в процессе работы компьютера все вирусоподобные действия программ; к этому классу можно отнести программу AVP Inspector. Редко встречаются и используются преимущественно вирусологами "сканеры" - программы, способные анализировать код программ с целью отыскания неизвестных еще вирусов, например TBAV. Ряд антивирусных продуктов совмещает в себе различные функции, например: "фаги" DrWeb и AVP умеют также "сканировать" программы, а "монитор" AVP Inspector способен также "инспектировать" содержимое дисковой памяти.
Залог эффективной защиты от вирусов - в совместном применении организационных и технических методов.
Какой антивирус лучше
Антивирусы постоянно тестируются и сравниваются по различным формальным критериям. По результатам сравнений, выполненным различными тестовыми лабораториями, на первом месте оказывается то один, то другой антивирус. Относиться к этому следует скептически, так как выводы типа "первый антивирус лучше второго" сильно зависят от списка критериев сравнения, номера анализируемой версии антивируса и от личных вкусов и предпочтений представителей тестовой лаборатории. Объективно же практически все имеющиеся на мировом рынке программных продуктов современные антивирусы обладают примерно одинаковыми потребительскими качествами.
Однако позволю себе поделиться мнением по вопросу, какой антивирус лучше. Мнение это весьма субъективно, но основывается на многолетнем опыте работы с некоторыми антивирусами, на результатах самостоятельного тестирования качества их работы и на личном общении с некоторыми людьми, принимавшими участие в разработке различных антивирусных программ.
AidsTest Дмитрия Лозинского. Имеется версия только для MsDos. Разработка и поддержка прекращены осенью 1997 года. Морально устарел и не способен обнаруживать и излечивать высокосложные вирусы. Обладает сверхвысокой скоростью сканирования диска. Количество обнаруживаемых и излечиваемых вирусов невелико, но качество их поиска и лечения очень высокое.
DrWeb Игоря Данилова. Поддерживается и распространяется московской фирмой "ДиалогНаука". Имеются версии для MsDos и Windows. Очень популярен. Обладает удобным и красивым пользовательским интерфейсом. Содержит очень мощный механизм обнаружения новых вирусов, способный даже автоматически излечивать некоторые просто организованные новинки; вместе с тем в отдельных редких случаях может неправильно распознать и испортить якобы зараженную новинкой программу. Количество известных и штатно излечиваемых вирусов сравнительно невелико, но набор их хорошо ориентирован на отечественную вирусную ситуацию. Отличается очень эффективными и изящными алгоритмами обнаружения и лечения высокосложных вирусов, но может пропустить при поиске программу, заведомо зараженную какой-нибудь неинтересной серостью. Обнаруженные ошибки и недостатки исправляются с задержкой, иногда в течение нескольких месяцев (как, например, в случае с некорректными процедурами обнаружения вирусов Kaczor и WM.Cap). Документация - каталог с описаниями излечимых вирусов - неполная. Обновления вирусных баз происходят в среднем раз в месяц, обновления версий антивируса - несколько раз в год.
AVP Евгения Касперского. Создается и распространяется командой "Лаборатория Касперского". Имеются версии для MsDos и Windows. Умеренно популярен. Обладает удобным пользовательским интерфейсом. Не слишком уверенно обнаруживает новые вирусы. Отличается сравнительно невысокой скоростью сканирования диска. Количество известных и штатно излечимых вирусов очень велико. Качество обнаружения и излечения высокое, но бывают задержки до нескольких недель при анализе и разработке алгоритмов излечения для вновь обнаруженных вирусов. Ошибки и недостатки исправляются быстро. Документация характеризуется полнотой и высокими потребительскими качествами (организована в виде гипертекста). Обновления вирусных баз происходят несколько раз в месяц, обновления версий антивируса - несколько раз в год.
Norton Antivirus (NAV) фирмы Symantec. Имеются версии для Windows. Умеренно популярен. Обладает удобным пользовательским интерфейсом. Сочетает функции поиска новинок, обнаружения и удаления известных вирусов, а также способен отслеживать подозрительные изменения в программно-аппаратной конфигурации компьютера. Функция поиска новых вирусов весьма эффективна, но нередко NAV видит новые вирусы там, где их нет. Количество обнаруживаемых и штатно излечимых вирусов очень велико. Качество обнаружения и излечения высокое, но для отдельных вирусов вместо исправления неоправданно предлагается удаление. Обновления вирусных баз происходят несколько раз в месяц.
Также весьма высокими потребительскими характеристиками обладают антивирусные продукты от DrSolomon и McAffee, но в конце лета 1998 года произошло формальное слияние этих фирм, и появится ли какая-нибудь новая антивирусная программа - пока неясно. Старые же практически не совершенствуются, хотя обновление вирусных баз происходит регулярно.
Я высказал свое мнение по поводу ряда известных антивирусов, а выводы должны сделать сами читатели. Единственное, что я могу рекомендовать: никогда, ни при каких условиях не пользуйтесь устаревшими (более чем на полгода) или малоизвестными антивирусами! В лучшем случае они просто ничего не найдут, в худшем - испортят информацию на винчестере похлеще любого "троянца".
Уроки Чернобыльского вируса
Все вы, конечно, прекрасно помните, как 26 апреля 1999 года активизировался и принес пользователям персональных компьютеров неисчислимые бедствия вирус Win32.CIH. По некоторым оценкам, в этот день вышел из строя каждый десятый компьютер, на котором была установлена операционная система Windows 95/98. Можно ли было этого избежать? Конечно!
Вирус Win32.CIH получил известность еще весной 1998 года, когда тайваньский студент Чен Инг Хау разослал в ряд интернетовских эхо-конференций свое новое "творение". Вирус, живущий только в среде Windows 95/98, быстро распространился по миру через Интернет. Россия же, как это принято у нас последние 80 лет, пошла своим путем. У нас распространению вируса способствовали главным образом изготовители пиратских CD, которые обильно "засеяли" свою продукцию этим вирусом. Таким образом, входными воротами в Самару для этого вируса послужил наш ипподром.
Win32.CIH прекрасно обнаруживался и корректно лечился практически всеми современными антивирусами еще с лета 1998 года. Но по древней русской традиции, "пока гром не грянет", мужик не запустит антивирус. Гром грянул 26 апреля 1999 года.
Что же делает этот вирус в день памяти Чернобыльской трагедии? Его деструктивные проявления состоят из двух этапов.
На первом этапе вирус через механизм VxDCall обильно записывает на винчестер случайную информацию, уничтожая содержимое Master Boot Record, Boot-сектора, обеих таблиц FAT и отдельных фрагментов данных.
После этого вирус пытается записать "мусор" в Flash BIOS компьютера. Дело в том, что если раньше BIOS намертво "прошивался" в ПЗУ, то на современных материнских платах он содержится в перезаписываемой flash-памяти. Под ударом оказались практически все компьютеры с материнскими платами, выпущенными после 1995 года. Конечно, на большинстве таких материнских плат имеется перемычка защиты от записи... но положа руку на сердце, признайтесь - точно ли вы знаете, в каком положении она находится?
Итак, 26 апреля 1999 года часть компьютеров просто перестала реагировать на включение питания, а те, кому повезло, могли полюбоваться сообщением, что "загрузочный диск не найден".
Катастрофа? Конечно! Но все-таки не стоит паниковать.
Еще летом прошлого года фирмы-производители BIOS'ов разработали стратегию борьбы с повреждениями, наносимыми Win32.CIH и ему подобными вирусами. Большинство flash-BIOS'ов содержат фрагмент, не перезаписываемый ни при каких условиях, так называемый Boot-блок. Этот фрагмент позволяет компьютеру произвести загрузку со специально подготовленной дискеты, двоичный образ которой можно скачать на Интернет-сайте фирмы производителя, например на http://www.award. com. Надо только проследить, чтобы номер версии погибшего BIOS'а точно совпадал с указанным в read.me скачиваемого файла. Загрузившись с этой дискеты и запустив специальную перезаписывающую программу, можно восстановить содержимое flash-BIOS. Одна тонкость - Boot-блок не умеет инициализировать современные PCI-видеокарты, и для того чтобы хоть что-то увидеть на дисплее компьютера в процессе восстановления, вам надо временно заменить ее на старую ISA-карту. Говорят, что некоторые компьютерные фирмы Самары проделывают эту операцию за минимальную оплату.
Если вам удалось восстановить flash-BIOS, то это еще не означает, что вы сможете немедленно начать работу на вашем компьютере. Скорее всего, системные области вашего винчестера сильно повреждены, и машина сможет загрузиться в лучшем случае с дискеты. Частично восстановить информацию помогут программы Fdisk и Unformat из стандартного набора MsDos и программы DiskEdit и NDD из нортоновских утилит. Крайне желательно, чтобы программа NDD умела поддерживать длинные имена, то есть входила в состав Norton Utilities for Windows 95/98. Так как на одну загрузочную дискетку весь этот набор явно не поместится, лучше всего заниматься "лечением", поставив винчестер вторым в пару к "здоровому".
Первым делом восстанавливаем код Master Boot Record при помощи команды Fdisk /mbr. Затем при помощи DiskEdit переносим в сектор 0/1/1 содержимое аналогичного сектора с какого-нибудь "здорового" винчестера. Перезагрузившись после этого, мы видим, что "погибший" диск уже виден в списке доступных, хотя и не читается. Запускаем NDD c ключом /rebuild. Это позволит перестроить таблицу размещения (Partition Table) главной загрузочной записи и исправить неправильные поля в вoot-секторе. Все, диск уже "живой", но в данных наблюдается месиво, поскольку таблицы размещения файлов (FAT) все еще испорчены. Теперь можно поступить двояко.
Во-первых, можно при помощи DiskEdit вручную синхронизировать содержимое обеих таблиц, либо имея перед глазами список повреждаемых вирусом секторов (который можно найти в Интернете), либо сравнивая обе копии FAT визуально. Работа это сложная, долгая, но приводит в итоге к неплохим результатам. Удается восстановить до 90% информации.
Во-вторых, можно заново отформатировать винчестер или просто переразметить его при помощи Fdisk со старыми параметрами. Данная операция очищает FAT-таблицы. После этого программой Unformat в автоматизированном режиме можно попытаться восстановить данные. Эта операция дает несколько худшие результаты, но не требует больших трудовых затрат.
Итак, оказалось, что поражение вирусом Win32.СIH не так уж фатально, как это пытаются представить народная молва и некоторые падкие на сенсацию средства массовой информации. Только не надо расслабляться: у вируса Win32.CIH существуют еще две модификации (правда, гораздо меньше распространенные), которые активизируются 26-го числа каждого месяца, а не только в апреле. Будьте бдительны!
Сам себе антивирус
Иногда возникает ситуация, когда антивирус предупреждает о возможном присутствии на вашем компьютере вируса, но не может его вылечить. Это обычно бывает, когда вы пользуетесь слишком старой антивирусной программой. Не беда! Имея голову на плечах, в отдельных случаях можно обойтись и без антивируса. Рассмотрим типичные ситуации.
Антивирус сообщает о наличии "заразы" в загрузочном секторе вашей дискеты. Просто сохраните информацию с дискеты на винчестере, отформатируйте дискету и скопируйте информацию назад.
Более сложный случай: антивирус "ругается" на загрузочный сектор вашего винчестера. Загрузитесь с чистой дискеты и выполните команду fdisk/mbr - загрузочный сектор будет исправлен. Одно важное исключение: эту операцию ни в коем случае нельзя производить при наличии на диске вируса OneHalf, поскольку он шифрует информацию на винчестере и, пока машина заражена, "на лету" расшифровывает, так что пользователь не замечает этого. Формально удалив вирус из загрузочного сектора без расшифровки данных, можно потерять информацию. Но вирус OneHalf легко опознать визуально, просмотрев нулевую дорожку винчестера при помощи программы DiskEdit. Если несколько секторов заполнены непонятным "мусором" и явственно выделяется надпись "Dis is one half", то лучше все-таки не рисковать.
Еще случай - вам прислали новый WinWord-документ, необходимо срочно работать с ним, а антивирусу он "не нравится". Выходим из Win-Word и удаляем файл NORMAL.DOT. При повторном запуске WinWord создаст новый, заведомо "здоровый". Для WinWord 6.0/7.0 в меню "Файл" выбираем "Шаблоны", потом "Организатор", потом "Закрыть файл" и "Открыть файл". Выбираем в качестве рабочего шаблона "подозрительный" документ и, если в окошечке появляется список макросов, просто поочередно удаляем их всех при помощи кнопки "Удалить". Документ "здоров", с ним можно спокойно работать. Для WinWord 97 кнопку "Организатор" можно найти, последовательно выбирая пункты меню либо "Сервис", "Макрос", "Макросы", либо "Сервис", "Шаблоны и надстройки". Дальше последовательность действий аналогична.
Выводы
В отличие от авторов некоторых антивирусных публикаций, я не пытался напугать читателя или, наоборот, развлечь его. Также в мои задачи не входило склонить читателя к использованию какой-либо конкретной антивирусной программы.
Я попытался трезво и объективно рассмотреть проблему, показать, что вирус - это серьезно, но не фатально, заставить читателя отнестись к компьютерным вирусам серьезно и бороться с ними "не числом, но уменьем".
В заключение несколько советов. Регулярно пользуйтесь свежими антивирусами. Не скапливайте на винчестере залежи старых версий антивирусных программ, они столь же опасны, как и просроченные таблетки. Если у вас есть доступ в Интернет, изредка наведывайтесь на http://www.avp.ru, http://www. dials.ru и http://virus.komi.ru, где можно не только прочитать достоверную информацию о новинках, но и скачать свежие обновления антивирусных баз.
Как это ни прискорбно, хакерство и компьютерные вирусы давно стали элементом мировой культуры и объективным фактором в жизни каждого пользователя. И относиться к ним надо примерно так же, как и к погодным условиям - внимательно следить за "прогнозом погоды": своевременно надевать плащ и брать зонтик, а если простудился, то пить правильную микстуру.
И не надо их бояться.
www.neuch.ru