Комп'ютерний вірус розмножується, створюючи свою копію. Що таке комп'ютерний вірус? Види комп'ютерних вірусів

Комп'ютерні віруси

Комп'ютерний вірус- вид шкідливого програмного забезпечення, здатного створювати копії самого себе та впроваджуватись у код інших програм, системні області пам'яті, завантажувальні сектори, а також розповсюджувати свої копії по різноманітних каналах зв'язку з метою порушення роботи програмно-апаратних комплексів, видалення файлів, приведення в непридатність структур розміщення даних, блокування роботи користувачів або приведення в непридатність апаратних комплексів комп'ютера.

Створення та поширення шкідливих програм (у тому числі вірусів) переслідується в Росії згідно з Кримінальним кодексом РФ (глава 28, стаття 273). Згідно з доктриною інформаційної безпеки РФ, в Росії повинен проводитися правовий лікнеп у школах та вузах при навчанні інформатики та комп'ютерної грамотності з питань захисту інформації в ЕОМ, боротьби з комп'ютерними вірусами.

Етимологія назви:

Комп'ютерний вірус названо за аналогією з біологічними вірусами за подібний механізм поширення. Очевидно, вперше слово «вірус» стосовно програми було вжито Грегорі Бенфордом (Gregory Benford) у фантастичному оповіданні «Людина у шрамах», опублікованому в журналі Venture у травні 1970 року.

Історія:

Віруси засновані на теорії програм, що самовідтворюються.

Основи теорії механізмів, що самовідтворюються, заклав американець Джон фон Нейман, який у 1951 році запропонував метод створення таких механізмів. З 1961 року відомі робочі приклади таких програм.

існує багато різних версійщодо дати народження першого комп'ютерного вірусу Однак більшість фахівців сходяться на думці, що комп'ютерні віруси як такі вперше з'явилися в 1986 році, хоча спроби завдавати шкоди за допомогою вірусів спостерігалися ще в 1981 р., коли вірус Virus 1,2,3 і Elk Cloner атакував ПК Apple II, тоді ж і з'явилися перші антивірусні утиліти - CHK4BOMB та BOMBSQAD авторства Енді Хопкінса.

Перші вірусні епідемії відносяться до 1987-1989 років: Zotkin.A, (понад 18 тисяч заражених комп'ютерів, за даними McAfee), Jerusalem (проявився в п'ятницю 13 травня 1988 року, знищуючи програми при їх запуску), черв'як Морріса (понад 62 більшість мереж вийшло з ладу терміном до п'яти діб), DATACRIME (близько 100 тисяч заражених ПЕОМ лише Нідерландах).

Тоді ж оформилися основні класи двійкових вірусів: мережеві черви (хробак Морріса, 1987), "троянські коні" (AIDS, 1989), поліморфні віруси (Chameleon, 1990), стелс-віруси (Frodo, Whale, 2-а половина 1997).

У 1992 році з'явилися перший конструктор вірусів для PC - VCL (для Amiga конструктори існували і раніше), а також готові поліморфні модулі (MtE, DAME та TPE) та модулі шифрування для вбудовування у нові віруси.

Крім того, з'явилися віруси, що заражають об'єктні файли (Shifter, 1994) та вихідні тексти програм (SrcVir, 1994). З поширенням пакета Microsoft Office набули поширення макровіруси (Concept, 1995).

У 1996 році з'явився перший вірус для Windows 95 – Win95.Boza, а в грудні того ж року – перший резидентний вірус для неї – Win95.Punch.

З поширенням мереж та Інтернету файлові віруси дедалі більше орієнтуються ними як у основний канал роботи.

Наприкінці 1990-х - початку 2000-х років із ускладненням ПЗ та системного оточення, масовим переходом на порівняно захищені Windows сімейства NT, закріпленням мереж як основного каналу обміну даними, а також успіхами антивірусних технологій у виявленні вірусів, побудованих за складними алгоритмами, останні стали дедалі більше замінювати використання файли використання в операційну систему (незвичайний автозапуск, руткити) і замінювати поліморфізм безліччю видів (кількість відомих вірусів зростає експоненційно).

Разом з тим, виявлення в Windows та іншому поширеному програмному забезпеченні численних уразливостей відкрило дорогу хробакам-експлоїтам.

Класифікація:

Нині існує чимало різновидів вірусів, що відрізняються за основним способом поширення та функціональності.

За середовищем проживання віруси можна розділити на такі види:

1. Завантажувальні віруси.

2. Файлові віруси.

3. файлово-завантажувальні віруси.

4. Мережеві віруси.

5. Документні віруси.

Завантажувальні вірусипроникають у завантажувальні сектори пристроїв зберігання даних (жорсткі диски, дискети, переносні пристрої, що запам'ятовують). При завантаженні операційної системи із зараженого диска відбувається активація вірусу. Його дії можуть полягати у порушенні роботи завантажувача операційної системи, що призводить до неможливості її роботи, або зміни файлової таблиці, що робить недоступним певні файли.

Файлові вірусинайчастіше впроваджуються у виконавчі модулі програм (файли з допомогою яких виробляється запуск тієї чи іншої програми), що дозволяє їм активуватися в останній момент запуску програми, впливаючи її функціональність. Рідше файлові віруси можуть впроваджуватися в бібліотеки операційної системи або прикладного програмного забезпечення, виконавчі пакетні файли, файли реєстру Windows, файли сценаріїв, файли драйверів Впровадження може проводитися або зміною коду файлу, що атакується, або створенням його модифікованої копії. Таким чином, вірус, перебуваючи у файлі, активується при доступі до цього файлу, що ініціюється користувачем або ОС. Файлові віруси – найпоширеніший вид комп'ютерних вірусів.

Файлово-завантажувальні вірусизбіднюють можливості двох попередніх груп, що дозволяє їм представляти серйозну загрозу роботі комп'ютера.

Мережеві вірусипоширюються у вигляді мережевих служб і протоколів. Таких як розсилка пошти, доступ до файлів FTP, доступ файлів через служби локальних мереж. Що робить їх дуже небезпечними, оскільки зараження не залишається в межах одного комп'ютера або навіть однієї локальної мережі, а починає поширюватися різноманітними каналами зв'язку.

Документні віруси(їх часто називають макровірусами) заражають файли сучасних офісних систем (Microsoft Office, Open Office ...) через можливість використання цих систем макросів. Макрос – це певний, заздалегідь визначений набір дій, мікропрограма, вбудована в документ і викликана безпосередньо з нього модифікації цього документа чи інших функцій. Саме макрос є метою макровірусів.

За методом існування у комп'ютерному середовищі віруси поділяються на такі види:

1. Резидентні

2. Нерезидентні

Резидентний вірус, будучи викликаний запуском зараженої програми, залишається у пам'яті навіть після завершення. Він може створювати додаткові процеси у пам'яті комп'ютера, витрачаючи ресурси. Може заражати інші запущені програми, спотворюючи їхню функціональність. Може “спостерігати” за діями користувача, зберігаючи інформацію про його дії, введені паролі, відвідані сайти тощо.

Нерезидентний вірусє невід'ємною частиною зараженої програми та може функціонувати лише під час її роботи.

Однак не всі комп'ютерні віруси становлять серйозну загрозу. Деякі віруси тяжких наслідків після завершення своєї роботи не викликають; вони можуть завершити роботу деяких програм, відображати певні візуальні ефекти, програвати звуки, відкривати сайти або просто знижувати продуктивність комп'ютера, резервуючи під себе системні ресурси. Таких вірусів переважна більшість. Однак є і дійсно небезпечні віруси, які можуть знищувати дані користувача, документи, системні області, непридатні операційну систему або навіть апаратні компоненти комп'ютера.

За принципом свого функціонування віруси можна поділити на кілька типів:

2. Віруси-реплікатори (Worm)- віруси, основне завдання яких якнайшвидше розмножиться про всі можливі місця зберігання даних і комунікацій. Найчастіше самі не роблять ніяких деструктивних дій, а є транспортом інших видів шкідливого коду.

3. Трояни (Trojan)– отримали свою назву на честь “Троянського коня”, оскільки мають схожий принцип дії. Цей вид вірусів масажує свої модулі під модулі використовуваних програм, створюючи файли зі схожими іменами і параметрами, а також підмінюють записи в системному реєстрі, змінюючи посилання робочих модулів програм на свої, що викликають модулі вірусу. Деструктивні дії зводяться до знищення даних користувача, розсилки СПАМу та стеження за діями користувача. Самі розмножаться часто не можуть. Виявляються досить складно, оскільки простого скануванняфайлової системи мало.

4. Віруси-невидимки (Stealth)– названі на ім'я літака-невидимки "stealth", найбільш складні для виявлення, оскільки мають свої алгоритми маскування від сканування. Маскуються шляхом підміни шкідливого коду корисним під час сканування, тимчасовим виведенням функціональних модулів із роботи у разі виявлення процесу сканування, приховуванням своїх процесів у пам'яті тощо.

5. віруси, що самошифруються– віруси шкідливий код яких зберігається та поширюється у зашифрованому вигляді, що дозволяє їм бути недоступними для більшості сканерів.

6. віруси, що матуються.- Віруси не мають постійних сигнатур. Такий вірус постійно змінює ланцюжки свого коду у процесі функціонування та розмноження. Таким чином, стає невразливим для простого антивірусного сканування. Для виявлення необхідно застосовувати евристичний аналіз.

7. "Відпочиваючі" віруси– є дуже небезпечними, оскільки можуть дуже тривалий час перебувати у стані спокою, поширюючись по комп'ютерним мережам. Активація вірусу відбувається за певної умови, найчастіше за певною датою, що може спричинити величезні масштаби одночасного зараження. Прикладом такого вірусу є CHIH або Чорнобиль, який активувався в день річниці аварії на ЧАЕС, викликавши вихід з ладу тисяч комп'ютерів.

Таким чином, комп'ютерний вірус може становити досить серйозну загрозу.

Комп'ютерні віруси можуть існувати в системі на різних стадіях функціонування:

1. Латентна стадія.На цій стадії код вірусу знаходиться в системі, але жодних дій не робить. Для користувача не помітний. Може бути обчислений скануванням файлової системи та самих файлів.

2. Інкубаційна стадія.На цій стадії код вірусу активується і починає створювати свої копії, розповсюджуючи їх по пристроях зберігання даних комп'ютера, локальних та глобальних комп'ютерних мереж, розсилаючи у вигляді поштових повідомлень і так далі. Для користувача може бути помітний, тому що починає споживати системні ресурси та канали передачі даних, в результаті чого комп'ютер може працювати повільніше, завантаження інформації з Інтернету, пошти та інших даних може сповільнюватися.

3. Активна стадія.На цій стадії вірус, продовжуючи розмножувати свій код доступними йому способами, починає деструктивні дії, на які орієнтований. Помітний користувачеві, оскільки починає виявлятися основна функція вірусу – пропадають файли, відключаються служби, порушується функціонування мережі, відбувається псування обладнання.

На сьогоднішній день існує багато комп'ютерних вірусів. Щодня з'являється тисяча нових. Однак усе це безліч піддається класифікації.

Є. КАСПЕРСЬКИЙ та Д. ЗЕНКІН

Епідемія комп'ютерного вірусу "LoveLetter" ("Любовні листи"), що спалахнула в травні цього року, ще раз підтвердила небезпеку, яку таїть у собі подібна "комп'ютерна фауна". Проникнувши в сотні тисяч комп'ютерів по всьому світу, вірус знищив величезну кількість важливої ​​інформації, буквально паралізувавши роботу найбільших комерційних та державних організацій.

Так виглядають "любовні листи", що розсилаються вірусом "LoveLetter" електронній пошті. Щоб запустити вірус, достатньо натиснути на значок.

Такий малюнок показує вірус "Tentacle" ("Щупальце") при спробі переглянути будь-який файл із розширенням GIF на заражених комп'ютерах. Напис на малюнку: Я вірус Щупальце.

Вірус "Marburg" показує ці чарівні хрестики та... видаляє файли з дисків.

Скрипт-вірус "Monopoly" знущався з глави компанії Microsoft Білла Гейтса. Крім показу кумедної картинки, вірус непомітно відсилає з комп'ютера секретну інформацію.

На жаль, феномен "комп'ютерного вірусу" досі викликає швидше забобонний трепет, ніж бажання тверезо розібратися в ситуації та вжити заходів безпеки. Які вони – ці віруси? Наскільки вони небезпечні? Які методи антивірусного захисту існують сьогодні та наскільки вони ефективні? На ці та інші теми міркують фахівці провідного виробника антивірусних програм "Лабораторії Касперського".

ЩО ТАКЕ КОМП'ЮТЕРНИЙ ВІРУС?

На це, здавалося б, просте питання досі не знайдено однозначної відповіді. У спеціалізованій літературі можна знайти сотні визначень поняття "комп'ютерний вірус", при цьому багато хто з них відрізняються чи не діаметрально. Вітчизняна "вірусологія" зазвичай дотримується наступного визначення: комп'ютерним вірусом називається програма, яка без відома користувача впроваджується в комп'ютери і робить там різні несанкціоновані дії. Це визначення було б неповним, якби ми не згадали про ще одну властивість, обов'язкову для комп'ютерного вірусу. Це його здатність "розмножуватися", тобто створювати свої дублікати та впроваджувати їх у обчислювальні мережі та/або файли, системні області комп'ютера та інші об'єкти, що виконуються. Причому дублікати вірусу можуть і не співпадати з оригіналом.

Здатність вірусів до "розмноження" викликає в деяких людей бажання порівнювати їх з "особливою формою життя" і навіть наділяти ці програми якимось "злим інтелектом", що змушує їх робити мерзенні витівки задля досягнення поставленої мети. Проте це лише вигадка і гра фантазії. Подібне сприйняття подій нагадує середньовічні уявлення про злих духів та відьом, яких ніхто не бачив, але всі боялися. "Розмноження" вірусів нічим не відрізняється від, наприклад, копіювання програмою файлів з однієї директорії до іншої. Відмінність лише тому, що ці дії виконуються без відома користувача, тобто на екрані не з'являється жодних повідомлень. У всьому іншому вірус - звичайнісінька програма, що використовує ті чи інші команди комп'ютера.

Комп'ютерні віруси - одне із підвидів великого класу програм, званих шкідливими кодами. Сьогодні ці поняття часто ототожнюють, однак, з наукового погляду це не так. До групи шкідливих кодів входять також так звані "хробаки" та "Троянські коні". Їхня головна відмінність від вірусів у тому, що вони не можуть "розмножуватися".

Програма-хробак поширюється по комп'ютерних мережах (локальним чи глобальним), не вдаючись до "розмноження". Натомість вона автоматично, без відома користувача, розсилає свій оригінал, наприклад, електронною поштою.

"Троянські" програми взагалі позбавлені будь-яких вбудованих функцій поширення: вони потрапляють на комп'ютери виключно "за допомогою" своїх авторів або осіб, які їх незаконно використовують. Згадаймо "Іліаду" Гомера. Після багатьох безуспішних спроб взяти Трою штурмом, греки вдалися до хитрощів. Вони збудували статую коня і залишили її троянцям, вдавши, що відступають. Проте кінь був усередині порожнім і приховував загін грецьких солдатів. Троянці, які поклонялися божеству образ коня, самі втягнули статую у ворота міста. "Троянські" програми використовують схожий спосіб впровадження: вони потрапляють у комп'ютери під виглядом корисних, кумедних і часто прибуткових програм. Наприклад, користувачеві надходить лист електронною поштою з пропозицією запустити надісланий файл, де лежить, скажімо, мільйон рублів. Після запуску цього файлу в комп'ютер непомітно потрапляє програма, яка робить різні небажані дії. Наприклад, вона може шпигувати за власником зараженого комп'ютера (стежити, які сайти він відвідує, які використовує паролі для доступу до Інтернету тощо) і потім надсилати отримані дані своєму автору.

Останнім часом почастішали випадки появи так званих "мутантів", тобто шкідливих кодів, що поєднують у собі особливості одразу кількох класів. Типовий приклад - макровірус "Melissa", що спричинив велику епідемію в березні минулого року. Він поширювався мережами як класичний Інтернет-хробак. "LoveLetter" - також суміш мережевого черв'яка і вірусу. У складніших випадках шкідлива програмаможе містити в собі характеристики всіх трьох типів (такі, наприклад, вірус "BABYLONIA").

ПОХОДЖЕННЯ КОМП'ЮТЕРНИХ ВІРУСІВ

Хоч як це дивно, ідея комп'ютерних вірусів виникла задовго до появи персональних комп'ютерів. У 1959 році американський вчений Л. С. Пенроуз (L. С. Penrose) опублікував у журналі "Scientific American" статтю, присвячену самовідтворюваним механічним структурам. У цій статті було описано найпростішу модель двомірних структур, здатних до активації, розмноження, мутацій, захоплення. Незабаром дослідник США Ф. Г. Сталь (F. G. Stahl) реалізував цю модель за допомогою машинного коду на IBM 650.

У ті часи комп'ютери були величезними, складними в експлуатації та надзвичайно дорогими машинами, тому їх володарями могли стати лише великі компанії чи урядові обчислювальні та науково-дослідні центри. Але ось 20 квітня 1977 року з конвеєра сходить перший "народний" персональний комп'ютер AppleІІ. Ціна, надійність, простота та зручність у роботі визначили його широке поширення у світі. Загальний обсяг продажів комп'ютерів цієї серії становив понад три мільйони штук (не враховуючи його численних копій, таких, як Правец 8М/С, Агат та інших.), що значно перевищувала кількість всіх інших ЕОМ, що були на той час. Тим самим доступ до комп'ютерів отримали мільйони людей різних професій, соціальних верств і складу розуму. Не дивно, що саме тоді й з'явилися перші прототипи сучасних комп'ютерних вірусів, адже було виконано дві найважливіші умови їх розвитку – розширення "життєвого простору" та поява засобів розповсюдження.

Надалі умови ставали дедалі сприятливішими для вірусів. Асортимент доступних пересічному користувачеві персональних комп'ютерів розширювався, крім гнучких 5-дюймових магнітних дисків з'явилися жорсткі, бурхливо розвивалися локальні мережі, а також технології передачі інформації за допомогою звичайних комутованих телефонних ліній. Виникли перші мережеві банки даних BBS (Bulletin Board System), або "дошки оголошень", які значно полегшували обмін програмами між користувачами. Пізніше багато хто з них переріс у великі онлайнові довідкові системи(CompuServe, AOL та ін.). Усе це сприяло виконанню третього найважливішого умови розвитку та поширення вірусів - почали з'являтися окремі особи та групи людей, які займаються їх створенням.

Хто пише вірусні програми та навіщо? Це питання (з проханням вказати адресу та номер телефону) особливо хвилює тих, хто вже зазнав вірусної атаки і втратив результати багаторічної копіткої роботи. Сьогодні портрет середньостатистичного "вірусописача" виглядає так: чоловік, 23 роки, співробітник банку або фінансової організації, який відповідає за інформаційну безпекуабо мережеве адміністрування. Однак за нашими даними, його вік дещо нижчий (14-20 років), він навчається чи не має заняття взагалі. Головне, що об'єднує всіх творців вірусів – це бажання виділитися та проявити себе, хай навіть на геростратовій ниві. У повсякденному житті такі люди часто виглядають зворушливими тихонями, які й мухи не скривдять. Вся їхня життєва енергія, ненависть до світу та егоїзм знаходять вихід у створенні дрібних "комп'ютерних мерзотників". Вони тремтять від задоволення, коли дізнаються, що їхнє "дітище" викликало справжню епідемію в комп'ютерному світі. Втім, це вже сфера компетенції психіатрів.

90-ті роки, що ознаменувалися розквітом глобальної мережі Інтернет, виявились найбільш благодатним часом для комп'ютерних вірусів. Сотні мільйонів людей по всьому світу мимоволі стали "користувачами", а комп'ютерна грамотність стала майже так само необхідна, як вміння читати і писати. Якщо раніше комп'ютерні віруси розвивалися переважно екстенсивно (тобто зростала їх кількість, але з якісні характеристики), сьогодні завдяки вдосконаленню технологій передачі можна говорити про протилежне. На зміну "примітивним предкам" приходять дедалі "розумніші" і "хитріші" віруси, набагато краще пристосовані до нових умов проживання. Сьогодні вірусні програми вже не обмежуються псуванням файлів, завантажувальних секторів або відтворенням нешкідливих мелодій. Деякі з них здатні знищувати дані на мікросхемах материнських плат. При цьому технології маскування, шифрації та поширення вірусів часом дивують навіть найбувалих фахівців.

ЯКІ БУВАЮТЬ ВІРУСИ

На сьогоднішній день зареєстровано близько 55 тисяч комп'ютерних вірусів. Їх кількість постійно зростає, з'являються нові, раніше невідомі типи. Класифікувати віруси стає важче рік у рік. У випадку їх можна розділити на групи за такими основними ознаками: довкілля, операційна система, особливості алгоритму роботи. Згідно з цими трьома класифікаціями відомий вірус "Чорнобиль", наприклад, можна віднести до файлових резидентних неполіморфічних Windows-вірусів. Пояснимо докладніше, що це означає.

1. Середовище проживання

Залежно від довкілля розрізняють файлові, завантажувальні та макровіруси.

Спочатку найпоширенішою формою комп'ютерної "зарази" були файлові віруси, що "мешкають" у файлах і папках операційної системи комп'ютера. До них належать, наприклад, " overwriting " - віруси (від англ. " записувати поверх " ). Потрапляючи в комп'ютер, вони записують свій код замість коду файлу, що заражається, знищуючи його вміст. Природно, що файл перестає працювати і не відновлюється. Однак це досить примітивні віруси: вони, як правило, дуже швидко виявляють себе і не можуть стати причиною епідемії.

Ще більш "хитро" поводяться "companion"-віруси (від англ. "Приятель", "компаньйон"). Вони не змінюють сам файл, але створюють йому файл-двійник таким чином, що при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус. Наприклад, "companion"-віруси, що працюють під DOS, використовують особливість цієї операційної системи в першу чергу виконувати файли з розширенням СОМ, а потім вже з розширенням ЕХЕ. Такі віруси створюють для ЕХЕ-файлів двійники, що мають те саме ім'я, але з розширенням СОМ. Вірус записується в СОМ-файл і не змінює ЕХЕ-файл. При запуску зараженого файлу DOSпершим виявить і виконає саме СОМ-файл, тобто вірус, а вже потім вірус запустить файл із розширенням ЕХЕ.

Іноді "соmpanion"-віруси просто перейменовують файл, що заражається, а під старим ім'ям записують на диск свій власний код. Наприклад, файл XCOPY.EXE перейменовується на XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску файлу керування отримує код вірусу, який вже запускає оригінальний XCOPY, що зберігається під ім'ям XCOPY.EXD. Подібного типу віруси були виявлені в багатьох операційних системах - не тільки в DOS, а й у Windows та OS/2.

Є й інші способи створення файлів-двійників. Наприклад, віруси типу "path-companion" "грають" на особливостях DOS PATH - ієрархічного запису розташування файлу в системі DOS. Вірус копіює свій код під ім'ям файлу, що заражається, але поміщає його не в ту ж директорію, а на один рівень вище. У цьому випадку DOS першим виявить та запустить саме файл-вірус.

Принцип дії завантажувальних вірусівґрунтується на алгоритмах запуску операційної системи. Ці віруси заражають завантажувальний сектор (boot-сектор) дискети або вінчестера - спеціальну область на диску, що містить програму початкового завантаження комп'ютера. Якщо змінити вміст завантажувального сектора, можливо, ви навіть не зможете запустити ваш комп'ютер.

Макровіруси- Різновид комп'ютерних вірусів, створених за допомогою макромов, вбудованих в популярні офісні додатки на кшталт Word, Excel, Access, PowerPoint, Project, Corel Draw та ін (див. "Наука і життя" № 6, 2000). Макромовки використовуються для написання спеціальних програм(макросів), що дозволяють підвищити ефективність роботи офісних додатків. Наприклад, у Word можна створити макрос, що автоматизує процес заповнення та розсилки факсів. Тоді користувачеві достатньо буде ввести дані в поля форми і натиснути кнопку - все інше макрос зробить сам. Біда в тому, що, крім корисних, в комп'ютер можуть потрапити і шкідливі макроси, що мають здатність створювати свої копії та здійснювати деякі дії без відома користувача, наприклад, змінювати зміст документів, прати файли або директорії. Це і є макровірус.

Чим ширші можливості тієї чи іншої макромови, тим хитрішими, витонченішими і небезпечнішими можуть бути написані на ньому макровіруси. Найпоширеніша сьогодні макромова - Visual Basic for Applications (VBA). Його можливості стрімко зростають із кожною новою версією. Таким чином, чим досконалішими будуть офісні програми, тим небезпечніше працюватиме в них. Тому макровіруси становлять сьогодні реальну загрозу. комп'ютерним користувачам. За нашими прогнозами, з кожним роком вони ставатимуть все більш невловимими і небезпечними, а швидкість їхнього поширення скоро досягне небувалих величин.

2. Операційна система, що використовується..

Кожен файловий чи мережевий вірус заражає файли якоїсь однієї чи кількох операційних систем - DOS, Windows, OS/2, Linux, MacOS тощо. На цьому ґрунтується другий спосіб класифікації вірусів. Наприклад, вірус "BOZA", що працює тільки в Windows і ніде більше, відноситься до Windows-вірусів. Вірус "BLISS" - до Linux-вірусів і т.д.

3. Алгоритми роботи.

Віруси можна також розрізняти за використовуваними ними алгоритмами роботи, тобто різним програмним хитрощам, що робить їх настільки небезпечними та важколовимими.

По-перше, всі віруси можна розділити на резидентні та нерезидентні. Резидентний вірус подібний до шпигуна, що постійно працює в чужій країні. Потрапивши під час завантаження в оперативну пам'ятькомп'ютера, вірус залишається в ній, поки комп'ютер не буде вимкнений або перезавантажений. Саме звідти вірус-резидент і здійснює усі свої деструктивні дії. Нерезидентні віруси не заражають пам'ять комп'ютера і здатні "розмножуватись" тільки якщо їх запустити.

До резидентних можна також віднести всі макровіруси. Вони присутні в пам'яті комп'ютера протягом усього часу зараженого ними програми.

По-друге, віруси бувають видимими та невидимими. Для простого обивателя невидимість вірусу - мабуть, найзагадковіша його властивість. Проте нічого демонічного у цьому немає. "Невидимість" полягає в тому, що вірус за допомогою програмних хитрощів не дає користувачеві або антивірусній програмі помітити зміни, які він вніс у заражений файл. Постійно перебуваючи в пам'яті комп'ютера, вірус-невидимка перехоплює запити операційної системи на читання та запис таких файлів. Перехопивши запит, він підставляє замість зараженого файлу початковий незіпсований варіант. Таким чином, користувачеві завжди трапляються на очі тільки "чисті" програми, в той час як вірус непомітно вершить свою "чорну справу". Одним із перших файлових вірусів-невидимок був "Frodo", а першим завантажувальним невидимкою - вірус "Brain".

Щоб максимально замаскуватись від антивірусних програм, практично всі віруси використовують методи самошифруванняабо поліморфічностітобто вони можуть самі себе зашифровувати і видозмінювати. Змінюючи свій зовнішній вигляд(програмний код), віруси повністю зберігають здатність здійснювати ті чи інші шкідливі дії. Раніше антивірусні програми вміли виявляти віруси тільки "в обличчя", тобто за їх унікальним програмним кодом. Тому поява вірусів-поліморфіків кілька років тому справила справжню революцію у комп'ютерній вірусології. Нині вже існують універсальні методи боротьби з такими вірусами.

МЕТОДИ БОРОТЬБИ З КОМП'ЮТЕРНИМИ ВІРУСАМИ

Необхідно пам'ятати головну умову боротьби з комп'ютерними вірусами – не панікувати. Цілодобово на варті комп'ютерної безпеки перебувають тисячі висококласних антивірусних фахівців, професіоналізм яких у багато разів перевищує сукупний потенціал усіх комп'ютерних хуліганів - хакерів. У Росії антивірусними дослідженнями займаються дві комп'ютерні компанії - "Лабораторія Касперського" (www.avp.ru) та "СалД" (www.drweb.ru).

Для того щоб успішно протистояти спробам вірусів проникнути у ваш комп'ютер, необхідно виконувати дві найпростіші умови: дотримуватись елементарних правил "комп'ютерної гігієни" і користуватися антивірусними програмами.

Відколи існує антивірусна індустрія, було винайдено безліч способів протидії комп'ютерним вірусам. Строкатість і різноманітність пропонованих сьогодні систем захисту воістину вражає. Спробуємо розібратися, у чому переваги та недоліки тих чи інших способів захисту та наскільки вони ефективні щодо різним типамвірусів.

На сьогоднішній день можна виділити п'ять основних підходів щодо забезпечення антивірусної безпеки.

1. Антивірусні сканери.

Піонер антивірусного руху - програма-сканер, що з'явилася світ практично одночасно з самими комп'ютерними вірусами. Принцип роботи сканера полягає у перегляді всіх файлів, завантажувальних секторів та пам'яті з ланцюгом виявлення в них вірусних сигнатур, тобто унікального програмного кодувірусу.

Головний недолік сканера – нездатність відстежувати різні модифікації вірусу. Наприклад, існує кілька десятків варіантів вірусу Melissa, і майже для кожного з них антивірусним компаніям доводилося випускати окреме оновлення антивірусної бази.

Звідси випливає і друга проблема: на час між появою нової модифікації вірусу та виходом відповідного антивіруса користувач залишається практично незахищеним. Щоправда, пізніше експерти придумали та впровадили у сканери оригінальний алгоритм виявлення невідомих вірусів – евристичний аналізатор, який перевіряв код програми на можливість присутності в ньому комп'ютерного вірусу. Однак цей метод має високий рівеньхибних спрацьовувань, недостатньо надійний і, крім того, не дозволяє ліквідувати виявлені віруси.

І, нарешті, третя вада антивірусного сканера - він перевіряє файли тільки тоді, коли ви його про це "попросите", тобто запустіть програму. Тим часом користувачі часто забувають перевіряти сумнівні файли, завантажені, наприклад, з Інтернету, і в результаті своїми власними руками заражають комп'ютер. Сканер здатний визначити факт зараження лише після того, як у системі вже з'явився вірус.

2. Антивірусні монітори.

По суті антивірусні монітори - це різновид сканерів. Але на відміну від останніх вони постійно перебувають у пам'яті комп'ютера та здійснюють фонову перевірку файлів, завантажувальних секторів та пам'яті в масштабі реального часу. Для увімкнення антивірусного захисту користувачеві достатньо завантажити монітор під час завантаження операційної системи. Усі файли, що запускаються, будуть автоматично перевірятися на віруси.

3. Ревізори змін.

Робота цього виду антивірусних програм заснована на знятті оригінальних "відбитків" (CRC-сум) з файлів та системних секторів. Ці "відбитки" зберігаються у базі даних. При наступному запускуревізор звіряє "відбитки" з їх оригіналами і повідомляє користувачеві про зміни, що відбулися.

У ревізорів змін також є недоліки. По-перше, вони не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. По-друге, вони не можуть виявити вірус у нових файлах (електронною поштою, на дискетах, у файлах, що відновлюються з резервної копії, або при розпакуванні файлів з архіву), оскільки в базах даних ревізорів інформація про ці файли відсутня. Цим і користуються деякі віруси, заражаючи лише знову створювані файлиі залишаючись таким чином невидимими для ревізорів. По-третє, ревізори вимагають регулярного запуску – чим частіше це робити, тим надійнішим буде контроль за вірусною активністю.

4. Імунізатори.

Антивірусні програми-імунізатори поділяються на два види: імунізатори, що повідомляють про зараження, та імунізатори, що блокують зараження будь-яким типом вірусу.

Перші зазвичай записуються наприкінці файлів (за принципом файлового вірусу) і запуску файлу щоразу перевіряють його за зміну. Недолік у таких імунізаторів лише один, але він важливий: вони абсолютно не здатні виявляти віруси-невидимки, котрі хитро приховують свою присутність у зараженому файлі.

Другий тип імунізаторів захищає систему від ураження певним вірусом. Для цього файли модифікуються так, щоб вірус приймав їх за вже заражені. Наприклад, щоб запобігти зараженню СОМ-файлу вірусом "Jerusalem" достатньо дописати до нього рядок MsDos. А для захисту від резидентного вірусу на згадку про комп'ютер заноситься програма, що імітує копію вірусу. При запуску вірус натикається на неї і вважає, що система вже заражена і нею не можна займатися.

Звичайно, не можна імунізувати файли від усіх відомих вірусів: кожен з них має свої прийоми визначення зараженості. Саме тому імунізатори не набули великого поширення і в даний час практично не використовуються.

5. Поведінкові блокатори.

Усі перелічені вище типи антивірусів не вирішують головну проблему - захисту від невідомих вірусів. Таким чином, комп'ютерні системи виявляються беззахисними перед ними, доки виробники антивірусів не розроблять протиотрути. Іноді на це йде кілька тижнів. За цей час можна втратити всю важливу інформацію.

Однозначно відповісти на запитання "що ж робити з невідомими вірусами?" нам вдасться лише у майбутньому тисячолітті. Проте, вже сьогодні можна зробити деякі прогнози. На наш погляд, найбільш перспективний напрямок антивірусного захисту – це створення так званих поведінкових блокаторів. Саме вони здатні практично зі стовідсотковою гарантією протистояти атакам нових вірусів.

Що таке поведінковий блокатор? Це програма, що постійно перебуває в оперативній пам'яті комп'ютера і "перехоплює" різні події в системі. У разі виявлення "підозрілих" дій (які може виробляти вірус або інша шкідлива програма) блокатор забороняє цю дію або запитує дозвіл у користувача. Іншими словами, блокатор не шукає код вірусу, але відстежує та запобігає його діям.

Теоретично блокатор може запобігти поширенню будь-якого як відомого, так і невідомого (написаного після блокатора) вірусу. Але проблема полягає в тому, що "вірусоподібні" дії може робити і сама операційна система, а також корисні програми. Поведінковий блокатор (тут мається на увазі "класичний" блокатор, який використовується для боротьби з файловими вірусами) не може самостійно визначити, хто саме виконує підозрілу дію - вірус, операційна система або якась програма, і тому змушений запитувати підтвердження у користувача. Таким чином користувач, який приймає кінцеве рішення, повинен мати достатні знання та досвід для того, щоб дати правильну відповідь. Але таких людей замало. Саме тому блокатори досі не стали популярними, хоча сама ідея створення з'явилася досить давно. Достоїнства цих антивірусних програм часто ставали їхніми недоліками: вони здавались надто нав'язливими, обтяжуючи користувача своїми постійними запитами, і користувачі їх просто видаляли. На жаль, цю ситуацію може виправити лише використання штучного інтелекту, який самостійно розбирався б у причинах тієї чи іншої підозрілої дії.

Проте вже сьогодні поведінкові блокатори можуть успішно застосовуватись для боротьби з макровірусами. У програмах, написаних на макромові VBA, можна з дуже великою ймовірністю відрізняти шкідливі дії від корисних. Наприкінці 1999 року "Лабораторія Касперського" розробила унікальну систему захисту від макровірусів пакету MS Office (версій 97 та 2000), засновану на нових підходах до принципів поведінкового блокатора - AVP Office Guard. Завдяки проведеному аналізу поведінки макровірусів, були визначені послідовності їх дій, що найчастіше зустрічаються. Це дозволило впровадити в програму блокатора нового високоінтелектуальну систему фільтрації дій макросів, що практично безпомилково виявляє ті з них, які являють собою реальну небезпеку. Завдяки цьому блокатор AVP Office Guard, з одного боку, ставить користувачеві набагато менше питань і не настільки "нав'язливий", як його файлові побратими, а з іншого - практично на 100% захищає комп'ютер від макровірусів як відомих, так і ще не написаних.

AVP Office Guard перехоплює та блокує виконання навіть багатоплатформних макровірусів, тобто вірусів, здатних працювати відразу в кількох додатках. Крім того, програма AVP Office Guard контролює роботу макросів. зовнішніми програмами, у тому числі з поштовими програмами. Тим самим унеможливлюється поширення макровірусів через електронну пошту. Адже саме таким способом у травні цього року вірус "LoveLetter" вразив десятки тисяч комп'ютерів по всьому світу.

Ефективність блокатора була б нульовою, якби макровіруси могли довільно відключати його. (У цьому полягає один із недоліків антивірусного захисту, вбудованого в додатки MS Office.) В AVP Office Guard закладено новий механізм протидії атакам макровірусів на нього самого з метою його відключення та усунення із системи. Зробити це може лише сам користувач. Таким чином, використання AVP Office Guard позбавить вас від вічного головного болю щодо завантаження та підключення оновлень антивірусної бази для захисту від нових макровірусів. Якось встановлена, ця програма надійно захистить комп'ютер від макровірусів аж до виходу. нової версіїмови програмування VBA з новими функціями, які можуть бути використані для написання вірусів.

Хоча поведінковий блокатор і вирішує проблему виявлення та запобігання поширенню макровірусів, він не призначений для їх видалення. Тому його треба використовувати разом із антивірусним сканером, який здатний успішно знищити виявлений вірус. Блокатор дозволить безпечно перечекати період між виявленням нового вірусу та випуском оновлення антивірусної бази для сканера, не перериваючи роботу комп'ютерних системчерез страх назавжди втратити цінні дані або серйозно пошкодити апаратну частину комп'ютера.

ПРАВИЛА "КОМП'ЮТЕРНОЇ ГІГІЄНИ"

" У жодному разі не відкривайте файли, що надсилаються електронною поштою невідомими вам людьми. Навіть якщо адресат вам відомий - будьте обережні: ваші знайомі та партнери можуть і не підозрювати, що в їхньому комп'ютері завівся вірус, який непомітно розсилає свої копії на адреси з їх адресної книги.

Обов'язково перевіряйте антивірусним сканером з максимальним рівнемперевірки всі дискети, компакт-диски та інші мобільні носії інформації, а також файли, що отримуються з Інтернету та інших публічних ресурсів (BBS, електронних конференцій і т. д.).

Проводьте повну антивірусну перевірку комп'ютера після отримання його з ремонтних служб. Ремонтники користуються одними і тими ж дискетами для перевірки всіх комп'ютерів - вони дуже легко можуть занести "зараз" з іншої машини!

" Своєчасно встановлюєте "латки" від виробників операційних систем і програм, що використовуються вами.

Будьте обережні, допускаючи інших користувачів до комп'ютера.

" Для підвищення безпеки ваших даних періодично проводьте резервну архівацію інформації на незалежні носії.

Комп'ютерний вірус (КВ)- Це програма, здатна створювати свої копії (не обов'язково повністю збігаються з оригіналом), впроваджувати їх у різні об'єкти або ресурси комп'ютерних систем, мереж та здійснювати певні дії без відома користувача.

Своя назва КВотримав за деяку схожість із біологічним вірусом. Наприклад, у зараженій програмі відтворюється інша програма-вірус, а інфікована програма може тривалий час працювати без помилок, як у стадії інкубації.

Програма, всередині якої міститься вірус, називається зараженою (інфікованою)програмою.

Коли інфікована програма починає роботу, спочатку управління отримує вірус. Він заражає інші програми, і навіть виконує заплановані деструктивні дії. Для маскування своїх дій вірус активізується не завжди, а лише при виконанні певних умов (закінчення певного часу, виконання певної кількості операцій, настання деякої дати або дня тижня тощо). Після того, як вірус виконає потрібні йому дії, він передає управління програмі, в якій він знаходиться. Зовнішньо заражена програма може працювати так само, як і звичайна програма. Подібно до справжніх вірусів КВ ховаються, розмножуються і шукають можливості перейти на інші ЕОМ.

Незважаючи на широку поширеність антивірусних програм, віруси продовжують розмножуватися. У середньому щодня з'являється близько 300 нових різновидів.

Різні віруси виконують різні дії:

Виводять на екран заважають текстові повідомлення (вітання, політичні гасла, фрази із претензією на гумор тощо);

Створюють звукові ефекти(Гімн, гамма, популярна мелодія);

Створюють відео ефекти(перевертають або зсувають екран, імітують землетрус, викликають опадання букв у тексті, виводять картинки тощо);

Уповільнюютьроботу ЕОМ, що поступово зменшують обсяг вільної оперативної пам'яті;

Збільшують знособладнання (наприклад, головок дисководів);

Викликають відмоваокремих пристроїв, зависання чи перезавантаження комп'ютера та крах роботи всієї ЕОМ;

Знищують FAT, форматують жорсткий диск, стирають BIOS, знищують або змінюють дані, стирають антивірусні програми;

Здійснюють науковий, технічний, промисловий та фінансовий шпигунство;

Виводять із ладу системи захистуінформації та ін.

Головна небезпека кодів, що самовідтворюються, полягає в тому, що програми-віруси починають жити власним життям, практично не залежить від розробника програми. Так само, як і ланцюгової реакції в ядерному реакторі, запущений процес важко зупинити.

Симптомивірусного зараження ЕОМ:

• Уповільнення роботи деяких програм
• Збільшення розмірів файлів (особливо виконуваних)
• Поява не існували раніше «дивних» файлів
• Зменшення обсягу доступної оперативної пам'яті (порівняно зі звичайним режимом роботи)
• Різноманітні відео та звукові ефекти, що раптово виникають.
• Поява збоїв у роботі ОС (у т.ч. зависання)
• Запис інформації на диски в моменти часу, коли це не повинно відбуватися
• Припинення роботи або неправильна робота програм, які раніше нормально функціонували.

Існує велика кількість різних класифікаційвірусів:

1. Середовище проживання:
   • Мережеві– поширюються мережами (Melissa).

   Файлові– інфікують виконувані файли з розширеннями .exe, .com. Також до цього класу відносяться макровіруси, які заражають файли, що не виконуються (наприклад, в MS WORD або в MS EXCEL).

   Завантажувальні– впроваджуються в завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска(Master Boot Record – MBR). Деякі віруси записують своє тіло у вільні сектори диска, позначаючи їх у FAT як «погані».

   • Файлово-завантажувальні- здатні заражати і завантажувальні сектори та файли.
2. За способом зараження:

   Резидентні- Залишають в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення програм до ОС і впроваджується в них. Свої деструктивні дії вірус може повторювати багаторазово.

   Нерезидентні– не заражають оперативну пам'ять і виявляють свою активність лише одноразово під час запуску зараженої програми.

3. За ступенем небезпеки:

   Безпечні– наприклад, на екрані з'являється повідомлення: "Хочу чучу". Якщо набрати на клавіатурі слово «чуча», вірус тимчасово «заспокоюється».

   Небезпечні- Знищують частину файлів на диску.

   Дуже небезпечні- Самостійно форматують жорсткий диск. (CIH - активізується 26 числа кожного місяця і здатний знищувати дані на жорсткому диску та в BIOS).

4. За особливостями алгоритму:

   Віруси-компаньйони– створюють для ехе-файлів нові файли-супутники, що мають те саме ім'я, але з розширенням com. Вірус записується в com-файл і не змінює однойменний ехе-файл. Під час запуску такого файлу ОС першим виявить і виконає com-файл, тобто. вірус, який потім запустить і ехе-файл.

   Реплікатори (хробаки)– поширюються у мережі. Вони проникають у пам'ять комп'ютера з мережі, обчислюють адреси мережі інших комп'ютерів і розсилають на ці адреси свої копії. Хробаки зменшують пропускну спроможністьмережі, що уповільнюють роботу серверів. Можуть розмножуватися без запровадження інших програм і мати «начинку» з комп'ютерних вірусів. («Черве Морріса» наприкінці 80-х паралізував кілька глобальних мереж у США).

   Невидимки (стелс)- маскують свою присутність в ЕОМ, їх важко виявити. Вони перехоплюють звернення ОС до уражених файлів чи секторів дисків і «підставляють» незаражені ділянки файлів.

   Мутанти (привиди, поліморфні віруси, поліморфіки)- їх важко виявити, т.к. їх копії практично не містять ділянок коду, що повністю збігаються. Це досягається тим, що до програм вірусів додаються порожні команди (сміття), які не змінюють алгоритм роботи вірусу, але ускладнюють їх виявлення. (OneHalf – локальні епідемії його виникають регулярно).

   Макро-віруси- Використовують можливості макромов, вбудованих в системи обробки даних (Word, Excel).

   «Троянські коні»– маскуються під корисну або цікаву програму, виконуючи під час свого функціонування ще й руйнівну роботу (наприклад, стирає FAT) або збирає на комп'ютері інформацію, яка не підлягає розголошенню. Не мають властивості самовідтворення.

5. За цілісністю:

   Монолітні – програма вірусу – єдиний блок, який можна виявити після інфікування.

   Розподілені- Програма розділена на частини. Ці частини містять інструкції, які вказують комп'ютеру, як зібрати їх докупи, щоб відтворити вірус.

Для боротьби з вірусами розробляють антивірусні програми. Говорячи медичною мовою, ці програми можуть виявляти (діагностувати), лікувати (знищувати) віруси та робити щеплення «здоровим» програмам.

Видиантивірусних програм:

Програми-детектори (сканери)– розраховані виявлення конкретних вірусів. Засновані на порівнянні характерної (специфічної) послідовності байтів ( сигнатурабо масок вірусів), що містяться в тілі вірусу, з байтами програм, що перевіряються. Ці програми необхідно регулярно оновлювати, т.к. вони швидко старіють і не можуть виявляти нових видів вірусів. Якщо програма не впізнається детектором як заражена, це ще не означає, що вона здорова. У ній може бути вірус, який не занесений до бази даних детектора.

Програми-лікарі (фаги, дезінфектори)-Не тільки знаходять файли, заражені вірусом, але і лікують їх, видаляючи з файлу тіло програми-вірусу. Поліфаги дозволяють лікувати велику кількість вірусів. Широко поширені програми-детектори, що одночасно виконують і функції програм-лікарів. Приклади: AVP(Автор Є. Касперський), Aidstest(Д. Лозінський), Doctor Web(І. Данилов).

Програми-ревізори– аналізують поточний стан файлів та системних областей дисків та порівнюють його з інформацією, збереженою раніше в одному з файлів ревізора. При цьому перевіряється стан Boot-сектору, FAT, а також довжина файлів, їх час створення, атрибути, контрольні суми (підсумовування модулем 2 всіх байтів файлу). Приклад такої програми – Adin f(Д. Мостовий).

Програми-фільтри (сторожі, монітори)– резидентні програми, які сповіщають користувача про всі спроби будь-якої програми виконати підозрілі дії, а користувач приймає рішення про дозвіл чи заборону виконання цих дій. Фільтри контролюють такі операції: оновлення програмних файлів та системної області дисків; форматування диска; резидентне розміщення програм у ОЗП. Прикладом є програма Vsafe. Вона не здатна знешкодити вірус, для цього потрібно використовувати фаги.

Програми-імунізатори– записують у програму, що вакцинується, ознаки конкретного вірусу так, що вірус вважає її вже зараженою, і тому не виробляє повторне інфікування. Ці програми найменш ефективні та морально застаріли.

Заходиіз захисту ЕОМ від зараження вірусами:

Оснащення ЕОМ сучасними антивірусними програмами та регулярне оновлення їх версій.

Встановлення програми-фільтра під час роботи у глобальній мережі.

Перевірка дискети на наявність вірусів перед зчитуванням з дискет інформації, записаної інших ЕОМ.

При перенесенні на свій ПК файлів в архівованому вигляді перевірка їх одразу після розархівації.

Захист дисків від запису при роботі на інших ПК.

Створення архівних копій цінної інформації інших носіях інформації.

Не залишати дискету в дисководі під час увімкнення або перезавантаження ПК, т.к. можливе зараження завантажувальними вірусами. Наявність аварійної завантажувальної дискети, з якої можна буде завантажитись, якщо система відмовиться зробити це звичайним чином.

При встановленні великого програмного продуктуспочатку перевірити всі дистрибутивні файли, а після інсталяції продукту повторно провести контроль наявності вірусів.

Як зазначалося, комп'ютер працює виключно під управлінням програм (програмного забезпечення). Це робить його по-справжньому універсальним пристроєм, яке може виконувати роль музичного центру, ТБ, друкарської машинки і т. д. Програми пишуть програмісти і в деяких з них з'являється бажання придумати щось таке собі. Іноді це - безневинні витівки, в інших випадках вони мають явну зловісну спрямованість. Доки людина, яка сидить за комп'ютером, могла контролювати роботу всіх програм і знала, що і навіщо вона запустила, все було нормально. Але потім з'явилися програми, які, не питаючи нічиєї дозволу, запускалися, копіювалися в різні місця диска та "заражали" інші програми (замінювали частину корисного коду робочої програмисвоїм чи змінювали його). З цього моменту і потрібно починати розмову про "комп'ютерні віруси".

Окремо хочеться підкреслити, що практично всі віруси функціонують в операційних системах сімейства MS Windows та MS DOS.

Комп'ютерним вірусомназивається програма (деяка сукупність виконуваного коду/інструкцій), яка здатна створювати свої копії (не обов'язково повністю збігаються з оригіналом) і впроваджувати їх у різні об'єкти/ресурси комп'ютерних систем, мереж тощо без ведення користувача. У цьому копії зберігають здатність подальшого поширення.

Комп'ютерні віруси, як і біологічні, ставлять перед собою три завдання. заразити, виконати, розмножитися.

Заражається комп'ютер "зовні", коли людина запускає на виконання якусь програму, яка або заражена вірусом (тобто при її виконанні запускається і вірус), або сама є вірусом.

Поведінка вірусів різноманітна. Деякі віруси просто "обсипали" літери з монітора або малювали невинні малюнки. Такі вважаються найбільш нешкідливими. Інші можуть перейменувати файли на диск, прати їх. Ці, без сумніву, набагато небезпечніші. А вірус "Win95.CIH" може зіпсувати мікросхему BIOS комп'ютера. Важко сказати, що гірше - втрата інформації або вихід із ладу комп'ютера.

І, нарешті, вірус розмножується, тобто дописує себе скрізь, де має шанс виконатися.

Є віруси, які досить один раз запустити, після чого вони постійно при завантаженні комп'ютера активно включаються в роботу і починають заражати всі файли, що виконуються.

З'явилися віруси, які використовують можливості внутрішньої мови програм Microsoft Office. Вони містяться у файлах, підготовлених у редакторі Word або в електронних таблицях Excel. Для зараження комп'ютера достатньо відкрити такий документ.

Оскільки все більше людей використовує Інтернет, останній все частіше стає розсадником зарази. Тепер достатньо зайти на якийсь сайт і натиснути на кнопку форми, щоб отримати якийсь вірус.

Останнім часом широко поширився вид поштових вірусів, які грають цікавості людей. Наприклад, вам приходить лист із освідченням у коханні та доданими фотографіями. Перший рух – подивитися вміст листа. І як результат, - всі фотографії та музика на вашій машині зникли, а замість них - злісний вірус "I Love You(або подібний до нього). Крім того, він ще й пошле себе всім, хто записаний у вашій адресній книзі.

Троянські програми відрізняються від вірусів тим, що вони замість руйнівних дій збирають і відправляють на відомі їм адреси паролі та іншу секретну інформацію користувача. Така програма може давати зловмиснику повний доступ до ваших програм та даних.

Методи боротьби з вірусами та троянцями описані у багатьох місцях. На жаль, єдиний дієвий метод - не включати комп'ютер зовсім. Можна ще порадити нічого не встановлювати та нічого не запускати. Тільки тоді який сенс мати комп'ютер?

Тому широко використовуються антивіруси-- програми, покликані виявляти і видаляти відомі їм " погані програми " . Найбільш представницькими є DrWeb, Antiviral Tolkit Pro (AVP), ADInf. При використанні таких програм головне – постійне оновлення антивірусних баз.

І все-таки дуже важливо не запускати невідомо що. Або встановити антивірусний монітор(який відрізняється від антивірусного сканера, що займається тотальною перевіркою файлів). Коли ви запускаєте той же DrWeb на перевірку дисків – це антивірусний сканер. А в комплекті з ним іде якийсь Spider – ось це антивірусний монітор.

Однак при боротьбі з вірусами не варто впадати в крайність і прати все підряд. При цьому ви можете випадково видалити важливі системні файлищо призведе до неможливості роботи на комп'ютері. На цьому побудовано дію "психологічних" вірусів, розрахованих саме на те, що користувач своїми руками зруйнує систему.

Основні ознаки появи у системі вірусу:

• уповільнення роботи деяких програм;
• збільшення розмірів файлів (особливо виконуваних), хоча це досить складно помітити (спробуйте Adinf);
• поява не існували раніше "дивних" файлів, особливо в каталозі Windows або кореневому;
• зменшення обсягу доступної оперативної пам'яті;
• різноманітні відео і звукові ефекти, що раптово виникають;
• помітне зниження швидкості роботи в Інтернеті (вірус або троянець можуть передавати інформацію по мережі);
• скарги від друзів (або провайдера) про те, що до них приходять усілякі незрозумілі листи - віруси люблять розсилати себе поштою.

В операційній системі Linuxвіруси були виявлені тільки в лабораторних умовах. Незважаючи на те, що деякі зразки Linix-вірусів дійсно мали всі необхідні здібності до розмноження і автономного життя, жоден з них так і не був зафіксований в "дикому" вигляді.

Використання ОС Linux захищає від вірусів набагато краще ніж будь-які антивірусні програми в MS Windows.

Більшість користувачів персонального комп'ютера чули безліч страшних історій про комп'ютерні віруси. Серед «чайників» навіть існує думка про можливість поширення комп'ютерних вірусів чи не повітряно-краплинним шляхом. Ця стаття покликана дати базові знання про віруси та способи їх поширення.

Ми рекомендуємо вам ознайомитись із змістом цієї статті навіть якщо у вас немає проблем з вірусами і на вашому комп'ютері є налаштована мережна безпека від smartnet.ua

Вірус - це програма, яка здатна розмножуватися на комп'ютері, дописуючи свій код до тіла інших програм, тим самим заражаючи їх. Здатність до розмноження – основна риса всіх комп'ютерних вірусів.

Вірус починає створювати безліч своїх копій та поширювати їх скрізь, де тільки можливо. Деякі віруси можуть поширюватися навіть у мережі.

Такі віруси називаються мережевими хробаками. Віруси можуть маскувати свою присутність у системі, а багато хто навіть здатний протидіяти спробам їх видалити.

Але все ж таки будь-який вірус - це звичайна комп'ютерна програма, Така ж як «Провідник» або браузер. Принципово вірус відрізняється від них тільки тим, що виконує на комп'ютері не корисні, а шкідливі дії. До речі, далеко не всі віруси завдають системі серйозної шкоди.

Багато хто з них зайнятий лише власним розмноженням. Єдина шкода таких вірусів полягає у витрачанні ними системних ресурсів, що, втім, теж здатне завдати користувачеві деякі неприємності.

Звідси випливає: якщо вірус — це звичайна програма, отже, для того, щоб він почав свою руйнівну дію на комп'ютері, його треба спочатку запустити. Якщо вірус не був запущений, може пролежати на жорсткому диску багато років без найменшої шкоди для системи. Саме тому головним завданнямдля хакера, який написав вірус, є перший його запуск на комп'ютері жертви.

Далі запущений вірус бере управління системою він і починає жити своїм життям, обірвати яку буває дуже складно. Способів його запуску існує багато, але найпоширенішим досі є відкриття зараженого користувача. Тому користувачеві варто бути уважним до того, якими файлами він робить подвійний клік мишею. Перш за все, не слід бездумно кликати по файлах, що виконуються. Але як вирізнити ці файли від інших? Покладатися на значки файлів у Провіднику не варто. Хакер може їх легко підробити.

Краще визначати тип файлу для його розширення. Розширення – це точка та три (іноді більше) латинські літери після імені файлу. Розширення позначає тип файлу і система визначає, що саме треба робити з файлом при подвійному кліку на ньому. Оскільки Провідник Windows не відображає його за промовчанням, слід налаштувати його так, щоб розширення було видно.

Користувачу не слід без необхідності запускати файли з розширеннями .com, .cmd, .exe. Взагалі користувач повинен знати про розширення типів файлів, з якими він працює. Якщо якесь розширення йому не знайоме, краще пошукати інформацію про нього в інтернеті, і лише після цього розпочинати роботу з файлами цього типу.

Слід також уважно ставитися до попереджень системи безпеки Windows. Якщо будь-яка програма під час запуску запитує у системи підвищені права, екран монітора затемняється, і нього виводиться питання про надання таких прав.

Слід зазначити, що переважна кількість корисних програмпідвищених прав ніколи не вимагають. Найчастіше такі права потрібні лише за встановлення програм, або за її оновленні. Вірусу для захоплення контролю над системою без таких прав просто не обійтися.

Тому якщо користувач не встановлює та не оновлює своє програмне забезпечення, зазвичай, слід відповідати це питання негативно. На шляху вірусів, що розповсюджуються через змінні носії, система теж ставить бар'єр у вигляді запиту про необхідність запуску програми з цього носія. З огляду на те, що з флешок програми практично ніхто ніколи не запускає, на це питання також слід давати негативну відповідь.

Таким чином, зараження системи вірусом не є чимось невідворотним. Користувачеві необхідно лише своєчасно оновлювати свою операційну систему, мати на комп'ютері антивірусну програму та виявляти елементарну обережність у поводженні зі сторонніми файлами.