Понятие, виды информационных технологий

После того, как вирус  выполнит нужные ему действия, он, как  правило, передает управление той программе, в которой он находится. При этом создается иллюзия, что программа работает как обычно. Это приводит к тому, что пользователь довольно долго не знает о наличии вируса, а вирус успевает заразить большое количество файлов, другие диски компьютера, дискеты, которые эксплуатировались в этом компьютере.

В настоящее время  большое распространение получили резидентные вирусы. Они не заканчивают свою работу после передачи управления той программе, в которой находятся, а остаются в памяти компьютера до тех пор, пока не будет произведена перезагрузка компьютера.

Следует отметить, что  для активизации вируса необходимо запустить на выполнение зараженную программу или произвести запуск операционной системы с диска, у  которого заражена системная область. В противном случае вирус находится  в "спящем" состоянии и никакого вреда нанести не может.

 

2. КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ  ВИРУСОВ

 

По величине наносимого вреда (деструктивным возможностям) компьютерные вирусы условно можно разделить на опасные и неопасные.

По способу  активизации вирусы подразделяют на нерезидентные и резидентные.

Нерезидентные вирусы не заражают память компьютера и остаются активными ограниченное время.

Резидентный вирус при  активизации оставляет в оперативной  памяти свою резидентную часть. Резидентные  вирусы, находящиеся в памяти, являются активными вплоть до выключения или перезагрузки компьютера. При этом вирус может продолжать размножаться и в любой момент может проявиться какими либо нежелательными действиями.

По среде  обитания вирусы делят на файловые,  загрузочные и файлово-загрузочные.

Файловые вирусы заражают программные файлы, загрузочные  вирусы заражают компоненты системной  области дисков, используемые при  загрузке DOS (Boot-сектор и Master Boot Record), файлово-загрузочные являются комбинированными.

По способу  маскировки вирусы делятся на немаскирующиеся и маскирующиеся. Маскирующиеся – маскируются под обычную программу-приложение (игру, утилиту, сервисную программу), а немаскирующиеся – этого не делают.

 

3. КАНАЛЫ РАСПРОСТРАНЕНИЯ  КОМПЬЮТЕРНЫХ ВИРУСОВ

 

Возможными каналами проникновения вирусов в компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации.

При использовании дискет вирусы могут распространяться следующими способами:

- копирование зараженных  файлов с винчестера на дискету, с дискеты на винчестер, с дискеты на дискету;

- если в оперативной  памяти компьютера имеется вирус,  он может заражать дискеты,  с которыми производится работа  на данном компьютере. При этом  неважно, производится ли запись  на эти дискеты. Исключение  составляют дискеты, защищенные от записи;

- при загрузке операционной  системы с зараженной дискеты  вирус активизируется в памяти  компьютера и может заражать  винчестер, а так же дискеты,  с которыми производится работа  на этом компьютере;

В последнее время  значительная часть программ и информации распространяется посредством оптических (лазерных) дисков. CD ROM не позволяют производить на них перезапись информации. Поэтому распространение вирусов через них весьма ограничено. Однако, имеются сведения о том, что и на этих носителях информации вирусы встречаются. Заражение таких дисков происходит при их создании (обычно это "пиратские" диски).

В случае использования  перезаписываемых оптических дисков вирусы смогут распространяться через лазерные диски так же, как сегодня через дискеты.

В настоящее время  широкое распространение получили компьютерные сети. В связи с этим появилась возможность распространения вирусов между компьютерами, объединенными в сеть. Исключение составляют компьютеры, оборудованные средствами защиты от записи.

 

 

4. МЕТОДЫ БОРЬБЫ С  КОМПЬЮТЕРНЫМИ ВИРУСАМИ

Методы борьбы можно  разделить на три группы:

а). профилактические меры - профилактика заражения и снижение возможного вреда;

б). своевременное обнаружение  компьютерных вирусов в случае, если заражение все же произошло;

в). уничтожение обнаруженных вирусов - "лечение" зараженных программ, носителей информации, "больного" компьютера.

 

4.1. Профилактические  меры

Резервное копирование важных программ и информации.

Резервное копирование является самым простым и в то же время эффективным средством для снижения ущерба от последствий, которые могут наступить при заражении вирусами.

Защита BIOS от изменений 

Специальным способом защищают BIOS компьютера от изменений, например, путем установки соответствующего параметра в Setup.

Защита дискет от записи

На дискетах размером 3,5" для включения защиты открывают  специальную защелку. При этом полностью  исключает проникновение вируса с зараженного компьютера на дискету. Данная мера может использоваться только тогда, когда нет необходимости производить запись на дискету. Защита от записи должна быть включена на дискетах, содержащих резервные копии.

Защита жестких дисков от записи

Предотвращение доступа  посторонних лиц к компьютерам  и носителям информации. Данная мера может быть реализована двумя способами. Во-первых - просто не впускать посторонних в помещения, где находятся компьютеры, а носители хранить в закрытых хранилищах (например, в сейфе). Во-вторых - организовать разделение прав пользователей. Для этого на компьютере создаются логические диски, защищенные паролями. Пользователь, не знающий пароля, не может получить доступ к защищенным дискам, или получает доступ только на чтение. Разделение прав пользователей может производиться и с использованием электронных ключей. Это специальные устройства, которые подключаются к компьютеру. Без подключенного электронного ключа использование компьютера ограничено или полностью невозможно. Использование паролей, защищенных от записи дисков и электронных ключей применимо не только при прямом доступе пользователя к компьютеру, но и при подключении к компьютеру через сети.

Использование лицензионных программ

Подавляющее количество вирусов передается при "пиратском" копировании программ. Зачастую программа переписывается у одного пользователя другим, у того - третьим и т.д. Чем длиннее эта цепочка, тем больше риск, что на одном из компьютеров, где программа побывала, она могла быть заражена. Особенно это характерно для компьютерных игр, перезапись которых наиболее распространена. Следует оговориться, что зарегистрированы и случаи, когда легально приобретенные программы были заражены вирусами. Но таких случаев единицы, т.к. фирмы-распространители в настоящее время уделяют большое внимание недопущению подобного. Ведь пострадавшие пользователи могут предъявить фирме иск и это обернется для нее убытками.

Проверка вновь приобретенных  программ на наличие вирусов

Как понятно из предыдущего пункта, данная мера касается в основном программ, переписанных у кого-либо ("пиратских"). Для проверки программ используются специальные антивирусные программы для обнаружения вирусов или их проявлений (программы-детекторы и программы-сторожа). Антивирусные программы будут рассмотрены ниже.

Проверка вновь приобретенных  или побывавших в чужих руках дискет

Что касается новых дискет, то, как правило, они распространяются в неформатированном виде. При форматировании с диска удаляется вся информация, поэтому новые диски проверять обычно нет необходимости. Для проверки применяются программы-детекторы и программы-сторожа, которые будут описаны ниже.

Вакцинация

Данная мера защиты основана на применении специальных антивирусных программ-иммунизаторов, которые будут  рассмотрены ниже. Вакцинация является малоэффективной и в настоящее  время практически не применяется.

 

4.2. Своевременное  обнаружение заражения

Обнаружение по внешним проявлениям

При работе на компьютере некоторые признаки деятельности вирусов могут быть обнаружены пользователем "на глазок". Это может быть внезапное "зависания" компьютера, самопроизвольная перезагрузка, заметное замедление работы, некоторые программы могут начать работать не так как всегда, словом, компьютер ведет себя необычно. Любой из перечисленных признаков может указывать на деятельность вирусов. При этом не следует поддаваться панике, т.к. подобные проявления могут быть вызваны и другими причинами. Во всяком случае желательно прекратить работу и проверить диски компьютера имеющимися антивирусными программами-детекторами. Порядок работы с ними описан ниже.

Периодическая проверка программами-детекторами

Для своевременного обнаружения вирусов, не дожидаясь внешних проявлений, описанных в предыдущем пункте, рекомендуется использовать программы-детекторы регулярно. В зависимости от количества пользователей, работающих на данном компьютере, от важности обрабатываемой информации, от других факторов, проверки могут производиться ежемесячно, еженедельно и даже ежедневно. При необходимости можно организовать автоматическую ежедневную проверку.

Использование программ-ревизоров

При работе вирусов на дисках происходят различные изменения. Изменения фиксируются программами-ревизорами, при обнаруженные изменений об этом выдаются соответствующие сообщения пользователю. Работа с программами-ревизорами будет описана ниже. Изменения на дисках не обязательно свидетельствуют о деятельности вирусов, поэтому при появлении сообщений об изменениях пользователю необходимо проанализировать, что изменилось. Например, информация на диске может быть изменена самим пользователем. Если это не так, необходимо использовать программы-детекторы.

 

4.3. Лечение  зараженных компьютера и дисков

Автоматическое  лечение при обнаружении вирусов  программами-детекторами.

Значительная часть  программ-детекторов при обнаружении  вирусов уничтожает их автоматически. Обычно после этого зараженные программы "излечиваются" т.е. восстанавливаются в исходном виде (это касается и системных областей дисков). Бывает, что после уничтожения вируса программа оказывается неработоспособной. В этом случае восстановление файлов возможно только при использовании заранее подготовленных резервных копий.

Удаление зараженных программ

Некоторые программы-детекторы  позволяют только обнаруживать вирусы, но не уничтожать их. Если не имеется других возможностей, то файлы с обнаруженными в них вирусами рекомендуется уничтожать средствами MS-DOS, Norton Commander и т.п. Эксплуатация компьютера с зараженными дисками приведет только к дальнейшему распространению вирусов, а может, и к более тяжелым последствиям (например, к потере всей информации).

Форматирование зараженных дисков

При обнаружении на диске  вирусов и невозможности избавиться от них, последним средством является форматирование зараженного диска. Особенно неприятно, если речь идет о жестком диске (винчестере). Разумеется, на эту меру идут только после того, как испробованы все остальные. При наличии резервных копий важной информации, хранившейся на подлежащем тформатированию диске, потери будут значительно меньше. Важно отметить, что после форматирования диска, с которого производился запуск компьютера (обычно это винчестер), для дальнейшей эксплуатации компьютера понадобится диск с операционной системой. Форматирование системного диска можно производить только при наличии соответствующих знаний, в противном случае необходимо привлекать специалистов.

 

5. АНТИВИРУСНЫЕ ПРОГРАММЫ

 

Исходя из рассмотренных  методов защиты, важное значение в  борьбе с компьютерными вирусами имеет использование антивирусных программ.

Классификация антивирусных программ

- программы-детекторы (сканеры), разновидность: детекторы-доктора

- программы-ревизоры

- программы-сторожа

- программы-иммунизаторы (вакцины)

- интегрированные антивирусные  пакеты

Программы-детекторы

Эти программы обеспечивают поиск известных вирусов в  файлах, системных областях дисков, в оперативной памяти. Поиск производится по определенным кодам, характерным для вирусов. У разных вирусов эти коды могут быть разными. Поэтому детектор может обнаружить только те вирусы, коды которых уже выявлены и заложены в данную версию программы-детектора. В связи с тем, что постоянно появляются новые вирусы, требуется использование все более современных программ-детекторов. Многие программы-детекторы постоянно обновляются (появляются все более новые их версии). При обнаружении вируса детектор выдает об этом сообщение, может появляться запрос: уничтожить зараженный файл, или оставить его. В настоящее время большое распространение получили комбинированные детекторы-доктора. Такие программы при обнаружении вируса имеют возможность удалять его. Эффективное спользование этих программ возможно только при постоянном обновлении их версий.

Недостаток - обнаружение  только тех вирусов, которые известны программе.

Типичные представители: Aidstest, DrWeb

Программы-ревизоры

Вирусы в процессе своей деятельности производят на дисках изменения. Например, когда вирус дописывается в программный файл, обычно увеличивается длина файла. Программа-ревизор при первом запуске просматривает диски и записывает в специальную таблицу сведения о состоянии дисков. К таким сведениям относятся количество и названия каталогов и файлов, даты их создания, размеры файлов и прочие данные, которые могут изменяться только при записи и перезаписи. При каждом следующем запуске ревизора состояние дисков проверяется и сравнивается с ранее записанной таблицей. В случае обнаружения изменений об этом выдается сообщение. Изменения могут быть произведены пользователем, а могут быть и результатом работы вирусов. Если нет уверенности в том, что данные изменения произвел пользователь, он должен произвести проверку имеющимися программами-детекторами. Обычно после просмотра изменений пользователь имеет возможность обновить таблицу, но может и не обновлять.