История возникновения и развития компьютерных вирусов

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

 

3.2. Эвристический анализ.

 

Эвристический анализ зачастую используется совместно со сканированием для  поиска шифрующихся и полиморфных  вирусов. В большинстве случаев  эвристический анализ позволяет  также обнаруживать и ранее неизвестные  вирусы. В этом случае, скорее всего их лечение будет невозможно.

Если эвристический анализатор сообщает, что файл или загрузочный  сектор, возможно, заражен вирусом, вы должны отнестись к этому с большим вниманием. Необходимо дополнительно проверить такие файлы с помощью самых последних версий антивирусных программ сканеров или передать их для исследования авторам антивирусных программ.

 

3.3. Обнаружение изменений.

 

Заражая компьютер, вирус делает изменения  на жестком диске: дописывает свой код  в заражаемый файл, изменяет системные области диска и т. д. На обнаружении таких изменений основываются работа антивирусных программ-ревизоров.

Антивирусные программы-ревизоры запоминают характеристики всех областей диска, которые могут подвергнутся нападению вируса, а затем периодически проверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможно на компьютер напал вирус.

Следует учитывать, что не все изменения  вызваны вторжением вирусов. Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.

 

3.4. Резидентные мониторы.

 

Антивирусные программы, постоянно  находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования. Они раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к вирусному заражению, в результате чего их отключают.

 

 

4. Основные меры по  защите от вирусов.

 

Для того, чтобы не подвергнуть  компьютер заражению вирусами и  обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

• оснастить компьютер современными антивирусными программами, например AVP, Aidstest, Doctor Web, и постоянно обновлять их версии;
• перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы;
• при переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
• периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты;
• всегда защищать дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации;
• обязательно делать архивные копии на дискетах ценной информации;
• не оставлять в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;
• использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;
• для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf, либо использовать полный комплект антивируса AVP.

 

4.1. Антивирусная профилактика.

 

Необходимо всегда иметь системную  дискету, созданную на не зараженном компьютере. На системную дискету надо записать последние версии антивирусных программ-полифагов, таких как Aidstest, Doctor Web или Antiviral Toolkit Pro. Кроме антивирусных программ, на дискету полезно записать драйверы внешних устройств компьютера, например драйвер устройства чтения компакт-дисков, программы для форматирования дисков - format и переноса операционной системы - sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.

Системная дискета будет полезна  не только в случае нападения вирусов. Ей можно воспользоваться для загрузки компьютера в случае повреждения файлов операционной системы.

Необходимо периодически проверять  компьютер на заражение вирусами. Лучше всего встроить вызов антивирусной программы в файл конфигурации autoexec.bat, чтобы проверка осуществлялась при каждом включении компьютера. Выполнять проверку не только выполнимых файлов, имеющих расширение COM, EXE, но также пакетных файлов BAT и системных областей дисков.

Если в компьютере записано много  файлов, их проверка антивирусами-полифагами, скорее всего, будет отнимать достаточно много времени. Поэтому во многих случаях предпочтительней для повседневной проверки использовать программы-ревизоры, а новые и изменившиеся файлы подвергать проверке полифагами.

Практически все ревизоры в случае изменения системных областей диска (главной загрузочной записи и загрузочной записи) позволяют восстановить их, даже в том случае если не известно, какой именно вирус их заразил. Лечащий модуль ADinf Cure Module даже позволяет удалять неизвестные файловые вирусы.

Практически все современные антивирусы могут правильно работать даже на зараженном компьютере, когда в его оперативной памяти находится активный вирус. Однако перед удалением вируса все же рекомендуется предварительно загрузить компьютер с системной дискеты, чтобы вирус не смог препятствовать лечению.

Когда производится загрузка компьютера с системной дискеты, следует  обратить внимание на два важных момента.

Во-первых, для перезагрузки компьютера надо использовать кнопку Reset, расположенную на корпусе системного блока, или даже временно выключить его питание. Не использовать для перезагрузки комбинацию из трех известных клавиш. Некоторые вирусы могут остаться в памяти даже после этой процедуры.

Во-вторых, перед перезагрузкой компьютера с дискеты проверить конфигурацию дисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузки операционной системы (должна быть установлена приоритетная загрузка с дискеты), записанную в энергонезависимой памяти. Существуют вирусы, ловко меняющие параметры, записанные в энергонезависимой памяти компьютера, в результате чего компьютер загружается с зараженного вирусом жесткого диска, в то время как  оператор думает, что загрузка происходит с чистой системной дискеты.

Обязательно проверять с помощью  антивирусных программ все дискеты  и все программы, поступающие на ПК через любые носители или через модем. Если компьютер подключен к локальной сети, необходимо проверять файлы, полученные через сеть от других пользователей.

С появлением вирусов, распространяющихся через макрокоманды текстового процессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо особенно внимательно проверять не только выполнимые файлы программ и системные области дисков, но также и файлы документов.

Крайне важно постоянно следить  за выходом новых версий применяемых  антивирусных средств и своевременно выполнять их обновления на системной дискете и компьютере; использовать для восстановления зараженных файлов и системных областей диска только самые последние версии антивирусов.

 

5. Антивирусная программа AntiViral Toolkit Pro  
для Windows 95 (Windows NT).

 

AVP представляет из себя полностью  32-ух разрядное приложение, оптимизированное для работы в популярной во всем мире среде Microsoft Windows 95 (Windows NT) и использующее все ее возможности. AVP имеет удобный пользовательский интерфейс, характерный для Windows 95, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.

В ходе работы AVP сканирует следующие  области:

• Оперативную память (DOS, XMS, EMS).
• Файлы, включая архивные и упакованные.
• Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).

 

AntiViral Toolkit Pro для Windows 95 имеет ряд  особенностей, характеризующих его  работу:

• детектирование и удаление огромного числа самых разнообразных вирусов, в том числе;
• полиморфных или самошифрующихся вирусов;
• стелс-вирусов или вирусов-невидимок;
• новых вирусов для  Windows 3.XX и Windows 95;
• макро вирусов, заражающих документы Word и таблицы Excel;
• сканирование внутри упакованных файлов (модуль Unpacking Engine);
• сканирование внутри архивных файлов (модуль Extracting Engine);
• сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;
• эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ вирусов;
• поиск в режиме избыточного сканирования;
• проверка объектов на наличие в них изменений;

“AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной  памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом;

• удобный пользовательский интерфейс;
• создание, сохранение и загрузка большого количества различных настроек;
• механизм проверки целостности антивирусной системы;
• мощная система помощи;

AVP Центр Управления – программа-оболочка, позволяющая организовать эффективную антивирусную защиту на ПК.

 

Опишем некоторые из них.

 

5.1. Механизм распаковки  исполняемых модулей  
(Unpacking Engine).

 

В настоящее время достаточно широко распространены утилиты упаковки исполняемых файлов. Они записывают упакованный файл на диск со специальным распаковщиком. При исполнении такого файла этот распаковщик распаковывает исполняемую программу в оперативную память и запускает ее.

Пораженные вирусом файлы могут  быть компрессированы такими паковщиками  так же, как и неинфицированные. При сканировании обычными антивирусными программами пораженные таким образом файлы будут определяться как неинфицированные, так как тело вируса упаковано вместе с кодом программы.

Unpacking Engine распаковывает файлы,  созданные наиболее популярными  утилитами упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и передает его на повторную проверку. Если внутри упакованного файла обнаружен известный вирус, то возможно его удаление. При этом исходный файл замещается распакованным и вылеченным. Механизм распаковки корректно работает и с многократно упакованными файлами.

Модуль распаковки работает также  с некоторыми версиями иммунизаторов (программы защищающие выполняемые файлы от заражения путем присоединения к ним контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ (CryptCOM).

Модуль Unpacking Engine³ будет обновляться для новых паковщиков, шифровщиков и иммунизаторов.

 

5.2. Механизм распаковки  из архивов  
(Extracting Engine).

 

Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR) становится в данный момент, пожалуй, одной из самых насущных. Инфицированный файл может затаиться на несколько месяцев и даже лет, и быстро распространиться при невнимательном обращении с такими архивами. Особую опасность представляют архивы, хранящиеся на BBS.

С такой ситуацией успешно справляется  механизм распаковки из архивов Extracting Engine. При сканировании архивов Extracting Engine распаковывает файлы из архива по заданной маске во временный файл и передает его для проверки основному  модулю. После проверки временный файл уничтожается.

Текущая версия Extracting Engine содержит коды для распаковки архивов формата ARJ, ZIP, LHA, RAR существующих версий.

ЗАМЕЧАНИЯ!

1. AVP не удаляет вирусы из архивов,  а только детектирует их.

2. Extracting Engine не распаковывает архивы, защищенные паролем.

AVP детектирует зараженный файл, даже если он зашифрован утилитой CryptCOM, затем упакован PKLITE и записан  в архив программой PKZIP.

 

 

 
 
5.3. Анализатор  кода 
(Code Analyzer).

 

Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по разным ветвям алгоритма сканируемой программы на наличие вирусоподобных инструкций и выдает сообщение, если обнаружена комбинация команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д.

Конечно, этот алгоритм может давать ложные срабатывания, как и любой  из подобных эвристических алгоритмов, но он был протестирован на очень большом количестве файлов, и при этом не было получено ни одного действительно ложного срабатывания.

При сканировании кода Code Analyzer⁴ проверяет много ветвей алгоритма программы (включая несколько подуровней). Вследствие этого AVP работает примерно на 20% медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же вероятностью.

Сообщения Code Analyzer:

Сообщения выдаются в формате:

: подозрение на вирус типа TYPE - подозрение на вирус , где "TYPE" является одной из строк:

Com - файл выглядит как зараженный  неизвестным вирусом, поражающим COM файлы;

Exe - файл выглядит как зараженный  неизвестным вирусом, поражающим EXE файлы;

ComExe - файл выглядит как зараженный  неизвестным вирусом, поражающим файлы формата COM и EXE;

ComTSR, ExeTSR, ComExeTSR - файл выглядит как  зараженный неизвестным резидентным вирусом, поражающим файлы формата COM, EXE, или COM и EXE файлы;

Boot - файл/сектор выглядит как  зараженный неизвестным boot-вирусом  или как инсталлятор boot-вируса;

Trojan - файл выглядит как троянская  программа;

 

5.4. Избыточное сканирование.

 

Избыточное сканирование - это механизм полного сканирования содержимого  исследуемых файлов вместо стандартной обработки только “точек входа” (т.е. тех мест,  где начинается обработка программ системой).

Этот режим рекомендуется использовать, когда вирус не обнаружен, но в  работе системы продолжаются “странные” проявления (частые “самостоятельные”  перезагрузки, замедление работы некоторых  программ и др.). В остальных случаях использование этого режима не рекомендуется, так как процесс сканирования замедляется в несколько раз и увеличивается вероятность ложных срабатываний при сканировании незараженных файлов.