Вредоносные программы и вирусы. Способы распространения и структура

Пользуясь советами "Как очистить зараженный компьютер", данными в этой статье, вы сможете удалить любой тип вредоносного ПО с вашего компьютера и вернуть его в рабочее состояние

1. Убедитесь, что компьютер действительно заражён

Прежде чем пытаться убрать какое-либо заражение с Вашего компьютера, нужно удостовериться, что компьютер в самом деле заражен. Чтобы сделать это, пожалуйста, обратитесь к рекомендациям, которые я даю в статье " ". Если в результате этого действительно будет видно, что ваш компьютер заражен, тогда продолжайте выполнять шаги следующего раздела. Следите за тем, чтобы вы выполняли их в должной последовательности.

2. Как очистить ваш компьютер и убедиться, что он действительно чист

Пожалуйста отметьте, что опытные пользователи здесь просто могут перейти к последней части о том, и очистить компьютер соответствующим образом. Это наиболее действенный подход, но он также один из самых трудоемких. Впрочем, при необходимости вы можете перейти сразу к тому разделу и затем снова вернуться обратно к началу, если заражение не было удалено полностью.

2.1 Очищение компьютера с помощью CCE и TDSSKiller

Загрузите Comodo Cleaning Essentials (CCE) вот с этой страницы . Убедитесь, что выбрали подходящую версию для своей операционной системы. Если вы не уверены, под управлением какой операционной системы работает ваш компьютер - 32-битной или 64-битной, - см. . Также, загрузите Kaspersky TDSSKiller вот с этой страницы . Если ни одну из этих программ вам не удастся скачать, или если не будет работать ваше интернет-соединение, вам нужно будет сделать это с помощью другого компьютера и перенести на зараженный, используя флеш-накопитель. Удостоверьтесь, что на флешке не было никаких других файлов. Будьте осторожны с флеш-устройством, поскольку вредоносное ПО может заразить его, когда вы его вставляете в компьютер. Следовательно, не подключайте его ни к каким другим компьютерам после переноса этих программ. Кроме того, я хотел бы заметить, что обе программы портативны. Это означает, что как только вы закончите их использовать, вам не придется их деинсталлировать. Просто удалите их папки, и они будут удалены.

После того, как вы скачали CCE, распакуйте файл, откройте папку и дважды щелкните файл с именем "CCE". Откроется основное окно программы Comodo Cleaning Essentials. Если открытие не произошло, нажмите клавишу Shift и, удерживая ее, дважды щелкните файл с именем "CCE". После того, как CCE успешно откроется, вы можете отпустить клавишу Shift. Однако, не отпускайте ее, пока программа полностью не загрузится в память. Если вы отпустите ее хотя бы во время запроса UAC, она не сможет корректно открыться даже форсированным методом. Удержание Shift поможет ей открыться даже на сильно зараженных компьютерах. Она делает это, подавляя многие ненужные процессы, которые могли помешать ее запуску. Если это все же не поможет ее запустить, тогда загрузите и запустите программу под названием RKill. Ее можно скачать вот с этой страницы . Эта программа остановит известные вредоносные процессы. Таким образом, после ее запуска CCE должна превосходно запуститься.

Как только она будет запущена, в CCE проведите "Разумное" сканирование (Smart Scan) и поместите в карантин все, что она обнаружит. Эта программа также просматривает системные изменения, которые могли быть произведены вредоносным ПО. Они будут показаны в результатах. Я бы посоветовал разрешить программе исправить и это тоже. Перезапустите компьютер, когда будет выведен запрос. После перезапуска компьютера запустите Kaspersky TDSSKiller, выполните сканирование и изолируйте в карантине то, что будет найдено.

Кроме того, если Ваше интернет-соединение ранее не работало, проверьте, работает ли оно теперь. Действующее соединение с интернетом потребуется для дальнейших шагов этого раздела.

Как только сканирование CCE завершится и вы убедитесь, что Ваше интернет-соединение работает, снова откройте CCE. Стоит надеяться, что на этот раз она откроется, но если нет, тогда откройте ее, удерживая клавишу Shift. Затем из меню "Инструменты" ("Tools") в CCE откройте KillSwitch. В KillSwitch в меню "Вид" ("View") выберите опцию "Скрыть безопасные процессы" ("Hide Safe Processes"). Затем щелкните правой кнопкой на всех процессах, которые отмечены как подозрительные или опасные, и выберите опцию их удаления. Вы должны также щелкнуть правой кнопкой на любых неизвестных процессах, которые остались, и выбрать опцию "Завершить процесс" ("Kill Process"). Не удаляйте процессы, отмеченные как FLS.Unknown. Далее, в CCE из меню инструментов запустите Autorun Analyzer и выберите опцию "Скрыть безопасные элементы" ("Hide Safe Entries") в меню "Вид" ("View"). Затем отключите любые элементы, принадлежащие файлам, которые отмечены как подозрительные или опасные. Вы можете сделать это, сняв флажки рядом с элементами. Вы должны также отключить все элементы, отмеченные как FLS.Unknown, но которые по-вашему, скорее всего, принадлежат вредоносным программам. Не удаляйте никаких элементов.

Теперь перезапустите компьютер. После перезагрузки снова проверьте свой компьютер, используя совет, который я даю в статье " ". Если все хорошо, тогда вы можете перейти к разделу " ". Помните, что отключенные записи реестра не опасны. Кроме того, отметьте, что даже если Ваш компьютер оказался чистым от активных заражений, на нем все еще могут быть части вредоносного ПО. Они не опасны, но не удивляйтесь, если сканирование в другой программе все же обнаружит вредоносное ПО на Вашем компьютере. Это бездействующие остатки того, что вы только что удалили. Если вас не устраивает наличие этих остатков на вашем компьютере, то вы можете удалить подавляющее их большинство путем сканирования в программах, упомянутых в следующем разделе.

Однако, если Ваш компьютер еще не очищен от активных инфекций, но по крайней мере одна из программ смогла запуститься, пройдите еще раз этапы, описанные в этом разделе, и посмотрите, позволит ли это удалить заражения. Но, если ни одна из программ так и не смогла запуститься, пожалуйста, переходите к следующему разделу. Кроме того, даже если повторное выполнение инструкций в этом разделе недостаточно, чтобы очистить Ваш компьютер, вам нужно перейти к следующему разделу.

2.2 Если компьютер все еще не очищен, просканируйте, используя HitmanPro, Malwarebytes и Emsisoft Anti-Malware

Если вышеупомянутые шаги не помогли полностью устранить заражение, то вам нужно загрузить HitmanPro вот с этой страницы . Установите программу и запустите "Default Scan" ("Сканирование по умолчанию"). Если она не установится, перейдите к следующему абзацу и установите Malwarebytes. Когда во время установки HitmanPro будет выведен соответствующий запрос, я рекомендую вам выбрать опцию выполнения только одноразовой проверки компьютера. Это должно подойти большинству пользователей. Также, если вредоносное ПО препятствует ее корректному запуску, тогда откройте программу, удерживая клавишу CTRL, пока она не загрузится в память. Перемещайте в карантин любое заражение, которое она найдет. Имейте в виду, что эта программа будет в состоянии удалять инфекции лишь в течение 30 дней после установки. Во время удаления Вас попросят активировать испытательную лицензию.

Как только HitmanPro удалил все обнаруженное заражение, или если Hitman Pro не смог инсталлироваться, вам нужно загрузить бесплатную версию Malwarebytes вот с этой страницы . Обратите внимание, что у нее есть технология хамелеона, которая должна помочь ей инсталлироваться даже на сильно зараженных компьютерах. Я вам советую, чтобы во время инсталляции вы сняли флажок "Включить бесплатный тестовый период Malwarebytes Anti-Malware Pro" ("Enable free trial of Malwarebytes Anti-Malware Pro"). Удостоверьтесь, что программа полностью обновлена и затем запустите быстрое сканирование. Изолируйте в карантине всю заразу, которую она находит. Если какая-либо программа попросит перезагрузить Ваш компьютер, обязательно перезагрузите его.

Затем загрузите Emsisoft Emergency Kit вот с этой страницы . Как только закончится ее загрузка, извлеките содержимое zip-файла. Затем дважды щелкните файл с именем "start" и откройте "Emergency Kit Scanner". Когда будет запрос, позвольте программе обновить базу данных. Как только она обновится, вернитесь в меню "Безопасность". Затем перейдите к "Проверка" и выберите "Быстрая", затем нажмите "Проверить". Как только завершится сканирование, поместите в карантин все обнаруженные элементы. Перезапускайте компьютер каждый раз, когда это требуется.

После сканирования вашего компьютера в этих программах вы должны перезагрузить его. Затем еще раз проверьте ваш компьютер, используя советы, которые я даю в статье " ". Если все хорошо тогда, вы можете перейти к разделу " ". Помните, что отключенные записи реестра не опасны. Однако, если Ваш компьютер все еще не очищен, тогда еще раз пройдите шаги, описанные в этом разделе и посмотрите, поможет ли это удалить инфекции. Если программы в разделе 2.1 ранее не были в состоянии корректно работать, то вы должны вернуться и попробовать запустить их снова. Если ни одна из вышеупомянутых программ не смогла запуститься, загрузитесь в Безопасном режиме с поддержкой сети и попытайтесь выполнить сканирование оттуда. Однако, если они смогли правильно запуститься, и угрозы все еще остаются даже после повторного следования совету в этом разделе, то вы можете перейти к следующему разделу.

2.3 Если необходимо, попробуйте эти не столь быстрые методы

Если вышеупомянутые меры не помогли полностью удалить заражение, тогда в вашей машине, вероятно, проживает некоторая весьма неотзывчивая вредоносная программа. Таким образом, методы, обсуждаемые в этом разделе, намного более мощны, но потребуют больше времени. Первая вещь, которую я советую сделать, состоит в том, чтобы просканировать Ваш компьютер в еще одном противоруткитовом сканере, который называется GMER. Его можно загрузить вот с этой страницы . Удалите все, что будет затенено красным. Обязательно нажмите кнопку Scan сразу после того, как программа закончит свой быстрый анализ системы. Кроме того, если у вас запущена 32-битная операционная система, вы должны загрузить программу для поиска и удаления руткита ZeroAccess. Информацию об этом рутките и ссылку к программе для его удаления из 32-битных систем можно найти вот на . Средство AntiZeroAccess можно загрузить по ссылке во втором абзаце.

После сканирования в вышеупомянутых программах следующим вы должны открыть CCE, перейти в настройки и выбрать опцию "Scan for suspicious MBR modification" ("Искать подозрительные изменения в MBR"). Затем нажмите "OK". Теперь в CCE выполните полное сканирование. Делайте перезагрузку, когда требуется, и помещайте в карантин все, что будет найдено. Обратите внимание, что эта опция может быть относительно опасной, поскольку она может выявить проблемы там, где их нет. Используйте ее с осторожностью и удостоверьтесь, что резервная копия всего важного уже сделана. Обратите внимание, что в редких случаях сканирование с помощью этих опций может сделать систему незагружаемой. Такое редко бывает, но даже если это произойдет, это поправимо. Если после выполнения этого сканирования ваш компьютер перестал запускаться, воспользуйтесь установочным диском Windows для восстановоления системы. Это должно помочь, чтобы ваш компьютер снова стал запускаться.

Как только CCE полностью закончит, снова откройте CCE при удерживании клавиши SHIFT. Это действие завершит большинство ненужных процессов, которые могут помешать вам сканировать. Затем откройте KillSwitch, перейдите в меню "Вид" ("View") и выберите "Скрыть безопасные процессы" ("Hide Safe Processes"). Теперь, еще раз удалите все опасные процессы. Затем, вы должны также щелкнуть правой кнопкой по всем неизвестным процессам, которые остались, и выбрать "Завершить процесс" ("Kill Process"). Не удаляйте их. вы должны следовать совету в этом абзаце каждый раз, когда вы перезапускаете ваш компьютер, чтобы иметь уверенность, что следующие сканирования будут максимально эффективны.

После завершения всех процессов, которые не были расценены как надежные, вы должны открыть программу HitmanPro при удерживании клавиши CTRL. Затем выполните сканирование по умолчанию ("Default Scan") и поместите в карантин все, что она найдет. Затем выполните полное сканирование в Malwarebytes и в Emsisoft Emergency Kit. Изолируйте в карантине то, что они найдут. После этого загрузите бесплатную версию SUPERAntiSpyware вот с этой страницы . Во время установки будьте очень осторожны, поскольку вместе с инсталлятором поставляются и другие программы. На первой странице убедитесь, что убрали флажки с обеих опций относительно установки Google Chrome. Теперь выберите опцию "Custom Install" ("Выборочная установка"). Во время выборочной установки Вы должны будете еще раз убрать два флажка с опции добавления Google Chrome.

Не считая этого, программа прекрасно установится. Когда появится предложение начать бесплатный испытательный период, я советую отказаться. Как только программа полностью загрузится, выберите опцию выполнения полного сканирования (Complete Scan) и нажмите кнопку "Scan your Computer..." ("Сканировать ваш компьютер..."). Затем нажмите кнопку "Start Complete Scan>" ("Начать полное сканирование>"). Удаляйте все обнаруживаемые файлы и перезапускайте компьютер, когда требуется.

После выполнения этих шагов вы должны перезагрузить компьютер. Затем еще раз проверьте его, используя совет, который я даю в статье " ". Если все хорошо, тогда вы можете перейти к разделу " ". Помните, что отключенные записи реестра - это не опасно. Однако, если Ваш компьютер все еще не очищен, тогда выполните шаги, описанные в этом разделе еще раз, и смотрите, поможет ли это в устранении заражения. Если нет, то вам нужно переходить к следующему разделу.

2.4 Если необходимо, сделайте загрузочный диск

Если вышеупомянутые методы не помогли полностью устранить заражение, или если вы не можете даже загрузить компьютер, то для того, чтобы очистить ваш компьютер вам может понадобиться загрузочный CD (или флешка), который еще называют загрузочным диском. Я знаю, что все это может показаться сложным делом, но это, в действительности, не так уж плохо. Просто не забудьте, что создать этот диск нужно на компьютере, который не заражен. Иначе файлы могут быть испорчены или даже заражены.

Поскольку это диск загрузочный, никакое вредоносное ПО не может укрыться от него, вывести его из строя или вмешаться в его работу каким-либо образом. Следовательно, сканирование в разных программах таким способом должно позволить очистить почти любую машину, неважно, насколько она может быть заражена. Единственное исключение здесь, это если на машине были заражены сами системные файлы. Если это так, то удаление заражения может причинить вред системе. Главным образом именно по этой причине вы зарезервировали все важные документы перед тем, как начать процесс очистки. Тем не менее, иногда можно обойти это, следуя совету, который я даю ниже.

Чтобы сделать это, вы должны загрузить . Это превосходная программа, которая позволит вам создать единый загрузочный диск с несколькими антивирусными программами. Она также имеет много других полезных функций, которые я не буду обсуждать в этой статье. Несколько очень полезных учебников для SARDU можно найти вот на этой странице . Будьте очень осторожны относительно дополнительных предложений, теперь включенных в инсталлятор. К сожалению, эта программа теперь пытается надувать людей в целях установки дополнительных программ, которые в основном не нужны.

После ее загрузки распакуйте содержимое и откройте папку SARDU. Затем запустите исполняемый файл, который соответствует вашей операционной системе, - либо sardu, либо sardu_x64. На вкладке Antivirus щелкните те антивирусные приложения, которые вы хотели бы записать на создаваемый вами диск. Вы можете добавлять так много или так мало, как посчитаете нужным. Я рекомендую, чтобы вы просканировали свой компьютер, по крайней мере, в программах Dr.Web LiveCD , Avira Rescue System и Kaspersky Rescue Disk . Одна из приятных вещей в Dr.Web - то, что в нем иногда есть возможность заменить зараженный файл чистой его версией, вместо того, чтобы его просто удалять. Это поможет Вам очистить некоторые компьютеры, не нанося вред системе. Таким образом я очень рекомендую включить Dr.Web в ваш загрузочный диск.

Щелканье по названиям различных антивирусных приложений часто будет направлять Вас на страницу, с которой можно будет скачать ISO-образ с соответствующим антивирусом. Иногда вместо этого вам будет предоставлена опция его загрузки непосредственно через SARDU, которую можно найти на вкладке Downloader. Если есть выбор, всегда выбирайте опцию загрузки ISO. Кроме того, после загрузки файла ISO вам может понадобиться переместить его в папку ISO, находящуюся в основной папке SARDU. Как только вы переместили ISO-образы всех нужных вам антивирусных продуктов в папку ISO, все готово к созданию аварийного загрузочного диска. Чтобы сделать его, перейдите на вкладку Antivirus и проверьте, что у всех выбранных вами антивирусов проставлены флажки. Теперь нажмите кнопку создания либо USB-устройства, либо диска. Любой из этих вариантов будет приемлем. Он зависит лишь от того, как вы хотите запускать аварийный диск - с USB или с CD.

После создания аварийного диска, вероятно, вам нужно будет изменить последовательность начальной загрузки в настройках вашего BIOS, чтобы гарантировать, что, когда вы вставите загрузочный CD или загрузочное флеш-устройство, компьютер загрузит его, а не операционную систему, как обычно. Для наших целей вы должны изменить порядок таким образом, чтобы на первом месте был пункт "CD/DVD Rom drive", если вы хотите загрузиться с CD или DVD, либо "Removable Devices" ("Сменные Устройства"), если вы хотите загрузиться с флеш-накопителя. Как только это сделано, загрузите компьютер с аварийного диска.

После загрузки с диска вы можете выбрать, с помощью какого антивируса вы хотели бы начать проверку своего компьютера. Как я упомянул ранее, я бы рекомендовал начать с Dr.Web. Когда эта программа закончит, и вы восстановите или удалите все, что она найдет, вам нужно будет выключить компьютер. Затем обязательно снова загрузитесь с диска и потом продолжайте сканировать в других антивирусах. Продолжайте этот процесс, пока вы не просканируете свой компьютер во всех антивирусных программах, которые вы записали на загрузочный диск.

После очистки компьютера в программах, которые вы записывали на диск, теперь вам нужно попробовать снова запустить Windows. Если компьютер в состоянии запуститься из-под Windows, тогда проверьте его, используя указания, которые я даю в статье " ". Если все хорошо, то вы можете перейти к разделу " ". Помните, что отключенные записи реестра не могут подвергнуть риску.

Если Ваш компьютер еще не очищен, но вы можете загрузиться из-под Windows, то я советовал бы попробовать очистить его, находясь в Windows, начав с данной статьи и следуя предложенным методам. Однако, если Ваш компьютер все еще не может загрузить Windows, то снова попробуйте привести его в порядок, используя установочный диск Windows. Это должно помочь в том, чтобы ваш компьютер снова начал запускаться. Если даже это не помогает его сделать загружаемым, тогда попробуйте добавить в аварийный загрузочный диск больше антивирусов и потом заново просканируйте компьютер. Если выполнение этого все еще не помогает, то прочтите .

3. Что делать, если вышеупомянутые методы не помогли очистить ваш компьютер

Если вы выполнили все вышеупомянутые указания и все еще не смогли очистить свой компьютер, но вы убеждены, что проблемы вызваны именно вредоносным ПО, мы будем очень признательны, если вы оставите комментарий и объясните, что вы пытались сделать, чтобы очистить компьютер, и какие остались признаки, которые заставляют думать, что компьютер все еще не очищен. Это очень важно в целях улучшения этой статьи. На самом деле надеемся, что никто никогда не дойдет до этого раздела. Эта статья предназначена для того, чтобы дать вам возможность полностью очистить зараженный компьютер.

Вы можете также обратиться за советом на специализированный форум, посвященный удалению вредоносного ПО. Очень полезный форум, который является нашим партнером - . Однако, если даже после обращения за помощью на форум по удалению вредоносного ПО ваш компьютер все еще не освободился от вредных программ, может потребоваться отформатировать ваш компьютер и запустить его так. Это означает, что вы потеряете все, что не скопировали заблаговременно. Если вы это делаете, обязательно произведите полное форматирование своего компьютера, прежде чем переустанавливать Windows. Это позволит уничтожить вредоносное ПО почти любого вида. Как только Windows будет переустановлена, выполните шаги, описанные в .

4. Что делать после того, как все вредоносное ПО окончательно определено для удаления

Убедившись в том, что ваш компьютер очищен, теперь вы можете попробовать восстановить что-либо утраченное. Вы можете воспользоваться утилитой Windows Repair (All In One) - инструмент все-в-одном, который позволяет исправить большое количество известных проблем Windows, включая ошибки реестра, права доступа файлов, Internet Explorer, обновления Windows, брандмауэр Windows. Если после выполнения всех процедур ваш компьютер работает нормально, то вы можете также открыть Comodo Autorun Analyzer и выбрать опцию удаления тех элементов реестра, которые вы ранее лишь отключили. Таким образом, их вообще больше не будет на вашем компьютере.

Как только вы благополучно убрали все заражения со своего компьютера и устранили остатки разрушительных последствий, вы должны предпринять шаги, чтобы гарантировать, что такое не произойдет снова. По этой причине я написал руководство "Как сохранять защищенность в онлайне" (скоро будет опубликована на нашем сайте). Пожалуйста, прочитайте его потом и реализуйте те методы, которые по-вашему лучше всего соответствуют вашим нуждам.

После обеспечения безопасности вашего компьютера вы теперь можете восстановить какие-либо из файлов, потерянных во время процесса очищения, которые были ранее сохранены в резервной копии. Надеюсь, что этот шаг не придется выполнять. Также, прежде чем восстанавливать их, удостоверьтесь, что ваш компьютер очень хорошо защищен. Если вы не защитите компьютер в достаточной мере, то вы можете случайно заразить его, и тогда снова придется на нем вычищать заражение. Кроме того, если вы использовали USB-устройство для перемещения каких-либо файлов на зараженный компьютер, вы можете теперь вставить его обратно в компьютер и убедиться, что на нем нет вредоносного ПО. Я рекомендую сделать это путем удаления всех оставшихся на нем файлов.

Нашли опечатку? Нажмите Ctrl + Enter

Алгоритм работы файлового вируса

Получив управление, вирус совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться):

 резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;

 выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.;

Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байт, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его. Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байт начала файла в случае COM-файла или несколько байтов заголовка в случае EXE-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует еще и специальные алгоритмы.

Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор внешнего носителя.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус заставляет систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска. Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах.

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска.

Если продолжение вируса размещается в секторах, которые принадлежат свободным кластерам диска (при поиске этих секторов вирусу приходится анализировать таблицу размещения файлов - FAT), то, как правило, вирус помечает в FAT эти кластеры как сбойные (так называемые псевдосбойные кластеры). Этот способ используется вирусами “Brain”, “Ping-Pong” и некоторыми другими.

В вирусах семейства “Stoned” задействован другой метод. Эти вирусы размещают первоначальный загрузочный сектор в неиспользуемом или редко используемом секторе - в одном из секторов винчестера (если такие есть), расположенных между MBR и первым boot-сектором, а на дискете такой сектор выбирается из последних секторов корневого каталога.

Некоторые вирусы записывают свой код в последние сектора винчестера, поскольку эти сектора используются только тогда, когда винчестер полностью заполнен информацией (что является довольно редким явлением, если учесть размеры современных дисков). Реже используется метод сохранения продолжения вируса за пределами диска. Достигается это двумя способами. Первый сводится к уменьшению размеров логических дисков: вирус вычитает необходимые значения из соответствующих полей BPB boot-сектора и Disk Partition Table винчестера (если заражается винчестер), уменьшает размер логического диска и записывает свой код в “отрезанные” от него сектора.

Второй способ - запись данных за пределами физического разбиения диска. Существуют вирусы, записывающие свой код за пределами доступного пространства винчестера, если, разумеется, это допускается установленным оборудованием.

Конечно, существуют и другие методы размещения вируса на диске, например, вирусы семейства “Azusa” содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.

При заражении большинство вирусов копирует в код своего загрузчика системную информацию, хранящуюся в первоначальном загрузчике (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет - BIOS Parameter Block). В противном случае система окажется неспособной загрузить себя, поскольку дисковые адреса компонент системы высчитываются на основе этой информации. Такие вирусы довольно легко удаляются переписыванием заново кода системного загрузчика в boot-секторе и MBR - для этого необходимо загрузиться с незараженной системной дискеты и использовать команды SYS для обезвреживания дискет и логических дисков винчестера или FDISK/MBR для лечения зараженного MBR-сектора.

Однако некоторые 100%-стелс вирусы не сохраняют эту информацию или даже более того - преднамеренно шифруют ее. При обращении системы или других программ к зараженным секторам вирус подставляет их незараженные оригиналы, и загрузка системы происходит без каких-либо сбоев, однако лечение MBR при помощи FDISK/MBR в случае такого вируса приводит к потере информации о разбиении диска (Disk Partition Table). В этом случае диск нужно переформатировать с потерей всей информации или восставить Disk Partition Table “вручную’, что требует определенной квалификации.

Следует также отметить тот факт, что загрузочные вирусы очень редко уживаются вместе на одном диске - часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию).

Пользователям новых операционных систем загрузочные вирусы также могут доставить неприятности. Несмотря на то, что перечисленные выше системы работают с дисками напрямую (минуя вызовы BIOS), что блокирует вирус и делает невозможным дальнейшее его распространение, код вируса все-таки, хоть и очень редко, получает управление при перезагрузке системы. Поэтому вирус “March6”, например, может годами “жить” в MBR сервера и никак не влиять при этом на работу и производительность компьютерной системы. Однако при случайной перезагрузке 6-го марта этот вирус полностью уничтожит все данные на диске.

Алгоритм работы загрузочного вируса

Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса:

 как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем некоторые вирусы “ждут” загрузки операционной системы и восстанавливают размер памяти в первоначальное значение. В результате они оказываются расположенными не за пределами операционной системы, а как отдельные блоки памяти, выделяемые под систему.

 перехватывает необходимые вектора прерываний (обычно INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Существуют нерезидентные загрузочные вирусы - при загрузке они заражают MBR винчестера и внешних носителей, если те присутствуют в дисководах. Затем такие вирусы передают управление оригинальному загрузчику и на работу компьютера больше не влияют.

Макро-вирусы

Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы), анимации и т.д. Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access, Flash-анимацию. На сегодняшний день известно множество систем, для которых существуют макро-вирусы. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:

 привязки программы на макроязыке к конкретному файлу;

 копирования макропрограмм из одного файла в другой;

 возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word, Office и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макроязыки: Word, Excel, Access, Office - Visual Basic for Applications. При этом:

 макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Office);

 макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (Word, Excel, Office);

 при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel, Office).

Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый “автоматизированный документооборот”. С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.

Физическое расположение вируса внутри файла зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен - каждый файл-документ Word или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. Этот формат носит название OLE2 - Object Linking and Embedding.

Большинство известных вирусов для Word несовместимы с национальными (в том числе с русской) версиями Word, или наоборот - рассчитаны только на локализованные версии Word и не работают под другой языковой версией. Однако вирус в документе все равно остается активным и может заражать другие компьютеры с установленной на них соответствующей версией Word.

Вирусы для Word могут заражать компьютеры любого класса, а не только IBM PC. Заражение возможно в том случае, если на данном компьютере установлен текстовый редактор, полностью совместимый с Microsoft Word.

Следует также отметить, что сложность форматов документов Word, таблиц Excel и особенно Office имеет следующую особенность: в файлах-документах и таблицах присутствуют “лишние” блоки данных, т.е. данные, которые никак не связаны с редактируемым текстом или таблицами, либо являются случайно оказавшимися там копиями прочих данных файла. Причиной возникновения таких блоков данных является кластерная организация данных в OLE2-документах и таблицах - даже если введен всего один символ текста, то под него выделяется один или даже несколько кластеров данных. При сохранении документов и таблиц в кластерах, не заполненных “полезными” данными, остается “мусор”, который попадает в файл вместе с прочими данными.

Следствием этого является тот факт, что при редактировании документа его размер изменяется вне зависимости от производимых с ним действий - при добавлении нового текста размер файла может уменьшиться, а при удалении части текста - увеличиться. То же и с макро-вирусами: при заражении файла его размер может уменьшиться, увеличиться или остаться неизменным.

При работе с документом Word любой версии выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом Word ищет и выполняет соответствующие “встроенные макросы” - при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs - FileSaveAs, при печати документов - FilePrint и т.д., если, конечно, таковые макросы определены.

Существует также несколько “авто-макросов”, автоматически вызываемые при различных условиях. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы - AutoExit, при создании нового документа - AutoNew.

Похожие механизмы (но с другими именами макросов и функций) используются и в Excel/Office, в которых роль авто- и встроенных макросов, выполняют авто- и встроенные функции, присутствующие в каком-либо макросе или макросах, причем в одном макросе могут присутствовать несколько встроенных и авто-функций.

Автоматически (т.е. без участия пользователя) выполняются также макросы/функции, ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. Word/Excel вызывают макрос/функцию при нажатии на какую-либо конкретную клавишу (или комбинацию клавиш) либо при достижении какого-либо момента времени. В Office возможности по перехвату событий несколько расширены, но принцип используется тот же.

Макро-вирусы, поражающие файлы Word, Excel или Office, как правило, пользуются одним из трех перечисленных выше приемов - в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Существуют также полувирусы, которые не используют всех этих приемов и размножаются, только когда пользователь самостоятельно запускает их на выполнение.

Таким образом, если документ заражен, при открытии документа Word вызывает зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и, таким образом, запускает код вируса, если это не запрещено системной переменной DisableAutoMacros. Если вирус содержит макросы со стандартными именами, они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs). Если же переопределен какой-либо символ клавиатуры, то вирус активизируется только после нажатия на соответствующую клавишу.

Большинство макро-вирусов содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не-макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда - полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда - зашифрованных), либо хранится в области переменных документа или в области Auto-text.

Алгоритм работы Word макро-вирусов

Большинство известных Word-вирусов при запуске переносят свой код (макросы) в область глобальных макросов документа (“общие” макросы), для этого они используют команды копирования макросов MacroCopy, OrganizerCopy либо при помощи редактора макросов - вирус вызывает его, создает новый макрос, вставляет в него свой код, который и сохраняет в документе.

При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, при следующем запуске редактора MS-Word вирус активизируется в тот момент, когда WinWord грузит глобальные макросы, т.е. сразу.

Затем вирус переопределяет (или уже содержит в себе) один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает, таким образом, команды работы с файлами. При вызове этих команд вирус заражает файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможной дальнейшие изменения формата файла, т.е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Таким образом, если вирус перехватывает макрос FileSaveAs, то заражается каждый DOC-файл, сохраняемый через перехваченный вирусом макрос. Если перехвачен макрос FileOpen, то вирус записывается в файл при его считывании с диска.

Второй способ внедрения вируса в систему используется значительно реже - он базируется на так называемых “Add-in” файлах, т.е. файлах, являющихся служебными дополнениями к Word. В этом случае NORMAL.DOT не изменяется, а Word при запуске загружает макросы вируса из файла (или файлов), определенного как “Add-in”. Этот способ практически полностью повторяет заражение глобальных макросов за тем исключением, что макросы вируса хранятся не в NORMAL.DOT, а в каком-либо другом файле.

Возможно также внедрения вируса в файлы, расположенные в каталоге STARTUP, - Word автоматически подгружает файлы-темплейты из этого каталога.

Алгоритм работы Excel макро-вирусов

Методы размножения Excel-вирусов в целом аналогичны методам Word-вирусов. Различия заключаются в командах копирования макросов (например, Sheets.Copy) и в отсутствии NORMAL.DOT - его функцию (в вирусном смысле) выполняют файлы в STARTUP-каталоге Excel.

Полиморфные вирусы

К полиморфным вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса. Существуют также другие, достаточно экзотические примеры полиморфизма - DOS-вирус “Bomber”, например, не зашифрован, однако последовательность команд, которая передает управление коду вируса, является полностью полиморфной.

Полиморфизм различной степени сложности встречается в вирусах всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже макро-вирусов.

Полиморфные расшифровщики

Простейшим примером частично полиморфного расшифровщика является следующий набор команд, в результате применения которого ни один байт кода самого вируса и его расшифровщика не является постоянным при заражении различных файлов:

MOV reg_1, count ; reg_1, reg_2, reg_3 выбираются из

MOV reg_2, key ; AX,BX,CX,DX,SI,DI,BP

MOV reg_3, _offset ; count, key, _offset также могут меняться

xxx byte ptr , reg_2 ; xor, add или sub

Более сложные полиморфные вирусы используют значительно более сложные алгоритмы для генерации кода своих расшифровщиков: приведенные выше инструкции (или их эквиваленты) переставляются местами от заражения к заражению, разбавляются ничего не меняющими командами типа NOP, STI, CLI, STC, CLC, DEC неиспользуемый регистр, XCHG неиспользуемые регистры и т.д.

Полноценные же полиморфные вирусы используют еще более сложные алгоритмы, в результате работы которых в расшифровщике вируса могут встретиться операции SUB, ADD, XOR, ROR, ROL и другие в произвольном количестве и порядке. Загрузка и изменение ключей и других параметров шифровки производится также произвольным набором операций, в котором могут встретиться практически все инструкции процессора Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) со всеми возможными режимами адресации.

В результате в начале файла, зараженного подобным вирусом, идет набор бессмысленных на первый взгляд инструкций, причем некоторые комбинации, которые вполне работоспособны, не берутся фирменными дизассемблерами (например, сочетание CS:CS: или CS:NOP). И среди этой “каши” из команд и данных изредка проскальзывают MOV, XOR, LOOP, JMP - инструкции, которые действительно являются “рабочими”.

Уровни полиморфизма

Существует деление полиморфных вирусов на уровни в зависимости от сложности кода, который встречается в расшифровщиках этих вирусов.

Уровень 1: вирусы, которые имеют некоторый набор расшифровщиков с постоянным кодом и при заражении выбирают один из них. Такие вирусы являются “полу-полиморфными” и носят также название “олигоморфные” (oligomorphic). Примеры: “Cheeba”, “Slovakia”, “Whale”.

Уровень 2: расшифровщик вируса содержит одну или несколько постоянных инструкций, основная же его часть непостоянна.

Уровень 3: расшифровщик содержит неиспользуемые инструкции – “мусор” типа NOP, CLI, STI и т.д.

Уровень 4: в расшифровщике используются взаимозаменяемые инструкции и изменение порядка следования (перемешивание) инструкций. Алгоритм расшифрования при этом не изменяется.

Уровень 5: используются все перечисленные выше приемы, алгоритм расшифрования непостоянен, возможно, повторное шифрование кода вируса и даже частичное шифрование самого кода расшифровщика.

Уровень 6: permutating-вирусы. Изменению подлежит основной код вируса - он делится на блоки, которые при заражении переставляются в произвольном порядке. Вирус при этом остается работоспособным. Подобные вирусы могут быть незашифрованны.

Приведенное выше деление не свободно от недостатков, поскольку производится по единственному критерию - возможность детектировать вирус по коду расшифровщика при помощи стандартного приема вирусных масок:

 Уровень 1: для детектирования вируса достаточно иметь несколько масок.

 Уровень 2: детектирование по маске с использованием “wildcards”.

 Уровень 3: детектирование по маске после удаления инструкций – “мусора”.

 Уровень 4: маска содержит несколько вариантов возможного кода, т.е. становится алгоритмической.

 Уровень 5: невозможность детектирования вируса по маске.

Недостаточность такого деления продемонстрирована в вирусе 3-го уровня полиморфичности, который так и называется – “Level3’. Этот вирус, являясь одним из наиболее сложных полиморфных вирусов, по приведенному выше делению попадает в Уровень 3, поскольку имеет постоянный алгоритм расшифровки, перед которым стоит большое количество команд- “мусора”. Однако в этом вирусе алгоритм генерирования “мусора” доведен до совершенства: в коде расшифровщика могут встретиться практически все инструкции процессора i8086.

Если произвести деление на уровни с точки зрения антивирусов, использующих системы автоматической расшифровки кода вируса (эмуляторы), то деление на уровни будет зависеть от сложности эмуляции кода вируса. Возможно детектирование вируса и другими приемами, например, расшифровка при помощи элементарных математических законов и т.д.

Изменение выполняемого кода

Наиболее часто подобный способ полиморфизма используется макро-вирусами, которые при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или меняют свой код каким-либо иным способом. Таким образом, алгоритм работы вируса остается без изменений, но код вируса практически полностью меняется от заражения к заражению.

Реже этот способ применяется сложными загрузочными вирусами. Такие вирусы внедряют в загрузочные сектора лишь достаточно короткую процедуру, которая считывает и диска основной код вируса и передает на него управление. Код этой процедуры выбирается из нескольких различных вариантов (которые также могут быть разбавлены “пустыми” командами), команды переставляются между собой и т.д.

Еще реже этот прием встречается у файловых вирусов - ведь им приходится полностью менять свой код, а для этого требуются достаточно сложные алгоритмы. На сегодняшний день известны всего два таких вируса, один из которых (“Ply”) случайным образом перемещает свои команды по своему телу и заменяет их на команды JMP или CALL. Другой вирус (“TMC”) использует более сложный способ - каждый раз при заражении вирус меняет местами блоки своего кода и данных, вставляет “мусор”, в своих ассемблерных инструкциях устанавливает новые значения смещений на данные, меняет константы и т.д. В результате, хотя вирус и не шифрует свой код, он является полиморфным вирусом - в коде не присутствует постоянного набора команд. Более того, при создании своих новых копий вирус меняет свою длину.

Министерство образования и науки РФ

Российский торгово-экономический университет

Казанский институт (филиал)

Кафедра математики и высшей математики

Контрольная работа №1

по дисциплине: «Информатика»

КОМПЬЮТЕРНЫЕ ВИРУСЫ

Выполнила:

студентка 1 курса заочного

отделения спец. факультета

«Финансы и кредит» группы

Проверил:

Казань, 2007

ПЛАН

Введение

1. Сущность и проявление компьютерных вирусов

2. Основные типы и виды компьютерных вирусов

3. Как распространяются вирусы?

4. Выявление компьютерных вирусов

5. Профилактические меры против вирусов

Заключение

Список используемой литературы

Введение

Компьютерный вирус – специально созданная программа, предназначенная для выполнения определенных действий, мешающих работать на компьютере. Многие программы – вирусы безобидны, но к сожалению далеко не все безобидны полностью. Во-первых, они занимают место в оперативной памяти и на диске. Во-вторых, они могут содержать ошибки, что может привести к сбоям системы и к перезагрузке. Поэтому, если вирус довольно безобиден, то от него все равно следует избавиться.

В настоящее время существует несколько типов и видов вирусов. Основными типами компьютерных вирусов являются: программные, загрузочные вирусы и макровирусы. В настоящее время известно более 5000 видов программных вирусов, их можно классифицировать по следующим признакам: среде обитания; способу заражения среды обитания; воздействию; особенностям алгоритма.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Но наиболее частым способом распространения вирусов является сеть компьютеров, и в частности Интернет, когда переписываются другие программы, например игровые, и их запускают. Могут быть и другие, довольно редкие случаи, когда в компьютер вставляется другой жесткий диск, который был заражен. Чтобы этого избежать, загрузитесь с системной дискеты и либо проверьте жесткий диск специальными антивирусными программами, либо, что лучше, разметьте и отформатируйте диск программами Fdisk и Format.

Для выявления вирусов существуют специальные антивирусные программы, которые позволяют обнаружить и уничтожить вирусы. Имеется довольно широкий выбор антивирусных программ. Это Aidstest (Лозинского), Dr Web, Norton antivirus для системы Windows, комплект DSAV и прочие.

1. Сущность и проявление компьютерных вирусов

Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.

Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнеси:

· прекращение работы или неправильная работа раннее успешно функционировавших программ;

· медленная работа компьютера;

· невозможность загрузки операционной системы;

· исчезновение файлов и каталогов или искажение их содержимого;

· изменение даты и времени модификации файлов;

· изменение размеров файлов;

· неожиданное значительное увеличение количества файлов на диске;

· существенное уменьшение размера свободной оперативной памяти;

· вывод на экран непредусмотренных сообщений или изображений4

· подача непредусмотренных звуковых сигналов;

· частые зависания и сбои в работе компьютера.

Однако по всем этим признакам нельзя с уверенностью сказать, что в компьютере завелся вирус. Так как могут быть другие неисправности, причиной которых являются неполадки или неотлаженность системы. Например, в купленном компьютере при его запуске вместо русских символов высвечиваются непонятные символы, которые вы впервые видите. Причиной этого может быть то, что не установлен драйвер кириллицы для дисплея. Этой же причиной – отсутствием драйвера для принтера – может объясняться и странное поведение принтера. Сбои системы могут иметь причиной плохой микросхемы внутри системного блока или в подключении шнура.

2. Основные типы и виды компьютерных вирусов

Основными типами компьютерных вирусов являются:

Программные вирусы;

Загрузочные вирусы;

Макровирусы.

К компьютерным вирусам примыкают и так называемые троянские

кони (троянские программы, троянцы).

Программные вирусы.

Программные вирусы – это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущий вирус, происходит запуск имплантированного в нее вирусного кода.

Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям: нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.

Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска – достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются умножением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой системы. В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежат. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ может оказаться исключительно высокой.

Считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечение настолько взаимосвязаны, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память ).

Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS.

В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо перепрограммирование с помощью специальных программных средств.

Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и т.п.) или принятых из Интернета. Особое внимание следует обратить на слова при запуске. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку

на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный прием распространения «троянских» программ – приложении к электронному письму с «рекомендацией» извлечь и запустить якобы полезную программу.

Загрузочные вирусы.

От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно заражение происходит при загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.

Макровирусы.

Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах. Имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение

Doc). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.

Основные виды компьютерных вирусов.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам (рис. 1):

· среде обитания;

· способу заражения среды обитания;

· воздействию;

· особенностям алгоритма.

г)

Рис.1 Классификация компьютерных вирусов:

а – по среде обитания; б – по способу заражения;

в – по степени воздействия; г – по особенностям алгоритмов.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

2. опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

3. очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

3. Как распространяются вирусы?

Имеется несколько путей, прежде всего, через гибкие дискеты. Если вы получили дискету от друга, у которого в компьютере вирус, то скорее всего, дискета будет заражена. Здесь возможны два варианта. Первый – вирус находится в системной области диска, и второй – имеется один или несколько зараженных файлов. Как уже было сказано, вирус должен получить управление, поэтому если это системная дискета, то при загрузке с нее можно заразить компьютер. Если это системная дискета, а вы попробовали загрузить с нее компьютер и на экране появилось сообщение: Non system disk (несистемный диск), то вы и в этом случае могли заразить свой компьютер, так как на любой дискете имеется загрузчик операционной системы и при включении он получит управление.

Второй вариант – это зараженные файлы. Не все файлы могут быть заражены. Так, например, если имеется текст письма или какого-то другого документа, набранный при помощи редактора Norton Commander, то там не будет вируса. Даже если он там случайно оказался, то, просмотрев файл при помощи этого же редактора или ему подобного, можно увидеть в самом начале или конце такого файла непонятные символы, которые лучше уничтожить. Другие редакторы создают файлы, в которых содержится управляющая информация, такая как размер или тип шрифта, отступы, разные таблицы перекодировки и др. Как правило, заразиться через такой файл практически невозможно. Однако редактор Word версии 6.0 и 7.0 имеет возможность в самом начале документа содержать макрокоманды, которым будет передаваться управление, и таким образом через документы может распространяться вирус.

Другие способы распространения вирусов – это перенос на других носителях информации, например на CD – ROM-дисках, что встречается довольно редко. Бывало, что при покупке лицензионного программного обеспечения оно оказывалось, заражено вирусом, но подобные случаи встречаются чрезвычайно редко.

Особенность CD – ROM-дисков в том, что на них не записывается информация. Если CD – ROM-диск, свободный от вирусов побывал в зараженном компьютере, от этого он не станет зараженным. Однако, если на нем записана информация, зараженная вирусом, то в этом случае никакие антивирусные программы не смогут почистить диск от вирусов.

Наиболее частым способом распространения вирусов является сеть компьютеров, и в частности Интернет, когда переписываются другие программы, например игровые, и их запускают. Могут быть и другие, довольно редкие случаи, когда в компьютер вставляется другой жесткий диск, который был заражен. Чтобы этого избежать, загрузитесь с системной дискеты и либо проверьте жесткий диск специальными антивирусными программами, либо, что лучше, разметьте и отформатируйте диск программами Fdisk и Format.

4. Выявление компьютерных вирусов

Для выявления вирусов существуют специальные антивирусные программы, которые позволяют обнаружить и уничтожить вирусы. Однако не все вирусы могут быть обнаружены, так как появляются все новые и новые их формы.

Антивирусная программа похожа на лекарство, то есть действует выборочно на одни вирусы, пропуская другие. Так что если на компьютере каждый день (неделю, месяц) запускается антивирусная программа, то все равно нет стопроцентной уверенности, что она обнаружит вирусы.

Имеется довольно широкий выбор антивирусных программ. Это Aidstest (Лозинского), Dr Web, Norton antivirus для системы Windows, комплект DSAV и прочие. По способу работы их можно разделить на три вида:

1) Детекторы , производящие сканирование . Это самая простая и распространенная форма, которая предполагает просмотр файлов и загрузочных записей с целью проверки их содержимого на предмет обнаружения сигнатуры (сигнатура – код вирусной программы). Помимо просмотра на сигнатуру, может быть использован метод эвристического анализа: проверяя коды с целью выявления характерных для вирусов кодов, детекторы удаляют обнаруженные вирусы, называемые полифагами. Такие программы могут проводить эвристический анализ и обнаруживать новые вирусы.

2) Ревизоры – программы, запоминающие состояние файлов и системных областей, часто подсчитывая контрольную сумму или размер файла.

3) Программы – фильтры, или резидентные сторожа , постоянно находящиеся в оперативной памяти компьютера и анализирующие запускаемые файлы и вставляемые дискеты. Они сообщают пользователю о попытке изменить загрузочный сектор, появлении резидентной программы, возможности записи на диск и т.д.

4) Аппаратная защита представляет собой контроллер, который вставляется в разъем расширения и следит за обращениями к гибким и жестким дискам. можно защитить определенные части, например загрузочные записи, исполняемые файлы, файлы конфигурации и пр. В отличие от предыдущих методов он может действовать и тогда, когда компьютер заражен.

5) Существуют и программы, установленные в BIOS компьютера, когда при попытке записи в загрузочный сектор на экране появляется сообщение об этом.

5. Профилактические меры против вирусов

Для профилактики нужно:

1. Проводить архивацию данных . Архивация – это запись файлов на съемные носители. Чаще всего в такой роли выступают гибкие дискеты или магнитные ленты, используемые в специальных устройствах (стримеры). Например, нет необходимости запоминать файлы Windows, если имеется установочная дискета, с которой можно перезагрузить систему и восстановить файлы. Поэтому, если на компьютере имеются из съемных устройств только гибкие диски, то запоминать нужно информацию, которую трудно восстановить.

Архивирование . Как правило, информацию записывают не на один диск. Допустим, информация помещается на одну дискету, и копирование производится раз в неделю. Сначала информация записывается 4 августа, в следующий раз 11 августа запись производится на другую дискету из тех же директорий. 18 августа запись происходит снова на первую дискету, 25 августа на вторую, затем снова на первую и так далее, для этого нужно иметь как минимум две дискеты. Дело в том, что при записи на дискету может произойти сбой и большая часть информации потеряется. На домашнем компьютере время от времени нужно проводить копирование, частоту же определяет сам пользователь.

2. Чтобы вся информация , получаемая от других компьютеров, проверялась антивирусными программами. Раньше было уже написано, что некоторые файлы, например с графической информацией, довольно безопасны с точки зрения заражения вирусом. Поэтому, если на дискете только такого рода информация, то эта информация неопасна. Если обнаружен вирус, то нужно проверить все компьютеры, которые были связаны с зараженным через дискеты, сеть. Необходимо удалить вирус не только с жесткого диска, но и с дискет, архивных файлов. Если имеется подозрение на существование вируса в компьютере или информация переносится на компьютер при помощи гибких дисков или системы Интернет, то можно установить антивирусные программы в Autoexec . В at , с тем чтобы при включении компьютера они начали работать.

3. Не производите загрузку с неизвестных дискет . При загрузке с жесткого диска убедитесь, что в дисководе А: или В: нет дискет, особенно с других машин.

Заключение

Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Компьютерный вирус – специально созданная программа, предназначенная для выполнения определенных действий, мешающих работать на компьютере.

Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.

Программа вируса пишется на языке Ассемблера, чтобы иметь небольшой размер и быстрое выполнение, хотя есть программы, написанные на Си, Паскале и др. языках. Многие программы-вирусы – резидентные используют принципы, разработанные в драйверах, то есть в таблице прерываний устанавливают адрес вирусной программы, а после окончания работы вируса передают управление обычной программе, адрес которой находился ранее в таблице прерываний. Это называется перехватыванием управления.

Существуют автоматизированные программы для создания новых вирусов, которые позволяют создать исходный текст вируса в диалоговом режиме на языке Ассемблера. При входе в пакет, можно установить опции, позволяющие указать, какие разрушительные действия будет выполнять вирус, будет ли он шифровать свой текст машинных кодов, насколько быстро он буде заражать файлы на дисках и так далее.

Главное, что нужно для вируса, - получить управление, с тем, чтобы начать свою работу. Если бы вирус сразу же начинал выполнять то действие, которое в нем заложено, то его легче было бы идентифицировать и очистить от него компьютер. Сложность заключается в том, что вирусы могут проявляться не сразу при появлении на компьютере, а через определенное время, например в определенный день.

В современном мире существует множество антивирусных программ, которые позволяют обнаружить и уничтожить вирусы. Однако не все вирусы могут быть обнаружены, так как появляются все новые и новые их формы.

Чтобы не дать программе – вирусу испортить антивирусную программу, ее следует загружать с системной дискеты, загружая компьютер с системного диска и запуская антивирусную программу.

Постоянно обновляйте антивирусные программы, так как поздние версии могут обнаружить больше видов вирусов. Для обновления последних версий антивирусных программ можно получать их через модем, а также можно вызвать специалистов из антивирусных компаний.

Список используемой литературы

1. А. Косцов, В. Косцов. Большая энциклопедия. Все о персональном компьютере. – М.: «Мартин», 2003. – 720с.

2. Информатика: Учебник. – 3-е перераб. изд. / Под ред. Н. В. Макаровой. – М.: Финансы и статистика, 2005. – 768 с.: ил.

3. Информатика для юристов и экономистов. / Под редакцией С. В. Симоновича и др. – СПб.: Санкт-Петербург, 2001. – 688 с.6 ил.

компьютерных вирусов

Файловые вирусы

Вирус может внедриться в файлы трех типов:

Командные (ВАТ);

Загружаемые драйверы (IO.SYS, MSDOS.SYS и др.);

Выполняемые двоичные файлы (EXE, COM).

Возможно внедрение вируса в файлы данных, но эти случаи возникают либо в результате ошибки вируса, либо при проявлении вирусом своих агрессивных свойств.

Внедрение вируса в SYS-файл происходит следующим образом: вирусы внедряются в SYS-файл, приписывают свои коды к "телу" файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера (встречаются вирусы, изменяющие адрес только одной из программ). При инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает его драйверу, ждет ответа на него, корректирует его и остается в оперативной памяти вместе с драйвером в одном блоке памяти. Такой вирус может быть чрезвычайно опасным и живучим, так как внедряется в оперативную память при загрузке DOS раньше любой антивирусной программы, если она, конечно, тоже является драйвером.

Зараженный файл-драйвер:

Возможно также инфицирование системного драйвера другим способом, когда вирус модифицирует его заголовок так, что DOS рассматривает инфицированный файл как цепочку из двух (или более) файлов.

Зараженный файл-драйвер:

Аналогично вирус может записать свои коды в начало драйвера, а если в файле содержится несколько драйверов, то и в середину файла.

Внедрение вируса в COM- и EXE-файлы происходит следующим образом: выполняемые двоичные файлы имеют форматы COM или EXE, отличаются заголовком и способом запуска программ на выполнение. Расширение имени файла (COM или EXE) не всегда соответствует действительному формату файла, что никак не влияет на работу программы. Файлы COM или EXE заражаются по-разному, следовательно, вирус должен отличать файлы одного формата от другого.

Вирусы решают эту задачу двумя способами: одни анализируют расширение имени файла, другие - заголовок файла. Первый способ далее будем называть заражением. COM- (.EXЕ-) файлов, второй способ заражения: COM- (EXE-) файлов. В большинстве случаев вирус инфицирует файл корректно, т. е. по информации, содержащейся в его теле, можно полностью восстановить зараженный файл. Но вирусы, как и большинство программ, часто содержат незаметные с первого взгляда ошибки. Из-за этого даже вполне корректно написанный вирус может необратимо испортить файл при его поражении. Например, вирусы, различающие типы файлов по расширению имени (.COM-, .EXE-), очень опасны, так как портят файлы, у которых расширение имени не соответствует внутреннему формату.

Файловые вирусы при распространении внедряются в тело заражаемого файла: начало, конец или середину. Существует несколько возможностей внедрения вируса в середину файла: он может быть скопирован в таблицу настройки адресов EXE-файла ("Boot - Exe"), область стека файла COMMAND.COM ("Lehigh"), может раздвинуть файл или переписать часть файла в его конец, а свои коды - в освободившееся место ("Apri l - 1- Exe", "Phoenix") и т. д. Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса. В этом случае файл может быть необратимо испорчен. Встречаются и другие способы внедрения вируса в середину файла, например, вирус "Mutant" применяет метод компрессирования некоторых участков файла.

Внедрение вируса в начало файла может происходить тремя способами. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конкатенацию на диск. При заражении третьим способом вирус записывает свои коды в начало файла, не сохраняя старого содержимого начала файла, естественно, что при этом файл перестает работать и не восстанавливается.

Внедрение вируса в начало файла применяется в подавляющем большинстве случаев при поражении COM-файлов. EXE-файлы заражаются таким методом либо в результате ошибки вируса, либо при использовании алгоритма вируса "Pascal".

Внедрение вируса в конец файла - наиболее распространенный способ заражения. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. В COM-файле это достигается изменением его первых трех (или более) байт на коды инструкции JMP Loc_Virus (или в общем случае - на коды программы, передающей управление на тело вируса). EXE-файл либо переводится в формат COM-файла и затем заражается как последний, либо модифицируется заголовок файла (длина, стартовые адреса).

Стандартным способом заражения будем называть способ, при котором вирус дописывается в конец файла и изменяет первые байты у COM-файла и несколько полей заголовка EXE-файла.

Вирус, после передачи ему управления, действует по следующему алгоритму:

Восстанавливает программу (но не файл) в исходном виде;

Если вирус резидентный, то он проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия не найдена; если вирус не резидентный, то он ищет незараженные файлы в текущем и корневом каталогах, в каталогах отмеченных в команде PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;

Выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты.

Возвращает управление основной программе.

Загрузочные вирусы

Загрузочные вирусы заражают загрузочный сектор флоппи-диска и Boot-сектор, или Master Boot Record винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный Boot-сектор в какой-либо другой сектор диска. Если длина вируса больше длины сектора, то в заражаемый сектор перемещается первая часть вируса, остальные размещаются в других секторах. Затем вирус копирует системную информацию, хранящуюся в первоначальном загрузчике, и записывает их в загрузочный сектор (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет - BIOS Parameter Block).

Алгоритм работы загрузочного вируса.

Внедрение в память осуществляется при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т. е. на вирус) управление. После этого начинают выполняться инструкции вируса, который уменьшает объем свободной памяти; считывает с диска свое продолжение; переносит себя в другую область памяти; устанавливает необходимые векторы прерываний; совершает дополнительные действия; копирует в память оригинальный Boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый вирус: перехватывает обращения операционной системы к дискам и инициирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.