悪意のあるプログラムとウイルス。 分配構造の方法

TIPを使用して「感染したコンピュータのクリア方法」データこの記事では、コンピュータから悪意のあるソフトウェアを削除して作業状態に戻すことができます。

1.コンピュータが本当に感染していることを確認してください

コンピュータからの汚染を削除する前に、コンピュータが実際に感染していることを確認する必要があります。 これを行うには、記事で贈る勧告を参照してください」。 その結果、コンピュータが感染していることは本当に見られ、次に次のセクションの手順を実行し続けます。 適切なシーケンスでそれらを実行したことを確認してください。

2.コンピュータを清掃し、それが本当にきれいであることを確認する方法

ここでの経験豊富なユーザーは、それに応じてコンピュータの最後の部分に移動することができます。 これが最も効果的なアプローチですが、最も時間がかかることもあります。 ただし、必要に応じて、感染が完全に削除されていない場合は、必要に応じてパーティションにすぐに行ってから最初に戻ることができます。

2.1 CCEとTDSSkillererを使用してコンピュータを洗浄する

このページからComodo Cleaning Essentials（CCE）をアップロードしてください。 あなたが選んだことを確認してください 適切なバージョン オペレーティングシステムの場合 コンピュータが実行されているかどうかわからない場合 - 32ビットまたは64ビットの場合は、参照してください。 また、このページからKaspersky Tdsskillerをダウンロードしてください。 これらのプログラムのどれもダウンロードすることができない場合、またはインターネット接続が機能しない場合は、別のコンピュータの助けを借りてFlashドライブを使用して感染して転送する必要があります。 フラッシュドライブに他のファイルがないことを確認してください。 悪意のあるソフトウェアがコンピュータに挿入すると感染できるため、フラッシュデバイスに注意してください。 その結果、これらのプログラムの転送後に他のコンピュータに接続しないでください。 また、両方のプログラムが移植性があることに気付きます。 これは、それらを使用し終わるとすぐに、それらをアンインストールする必要はありません。 フォルダを削除するだけで、削除されます。

CCEをダウンロードしたら、ファイルを解凍し、フォルダを開き、「CCE」という名前のファイルをダブルクリックします。 Comodo Cleaning Essentialsプログラムのメインウィンドウが開きます。 開口部が発生していない場合は、Shiftキーを押して保持し、「CCE」という名前のファイルをダブルクリックします。 CCEが正常に開いたら、Shiftキーを解放できます。 ただし、プログラムが完全にメモリにロードされるまで行くことはできません。 少なくともUAC要求中にリリースすると、強制メソッドでも正しく動作することはできません。 Shift Holdは、感染したコンピュータでさえも彼女を助けます。 彼女はこれを行い、彼女の打ち上げを妨げる可能性のある多くの不必要なプロセスを抑制します。 まだこれが実行されない場合は、Rkillというプログラムをダウンロードして実行してください。 このページからダウンロードできます。 このプログラムは有名な悪意のあるプロセスを停止します。 したがって、その起動後、CCEは完全に開始されるべきです。

CCEでは、実行されるとすぐに、「合理的な」スキャンスキャンを費やし、検疫で検出したものすべてを配置します。 このプログラムは、悪意のあるソフトウェアによって生成される可能性のあるシステムの変更も見ます。 それらは結果に示されます。 プログラムを修正することができるようにすることをお勧めします。 要求が表示されたら、コンピュータを再起動します。 コンピュータを再起動したら、Kaspersky Tdsskillerを実行し、検疫している検疫に絶縁して実行します。

また、インターネット接続が以前に機能していない場合は、今すぐ機能しているかどうかを確認してください。 このセクションのさらなるステップには、インターネットとの現在の接続が必要になります。

CCEスキャンが完了するとすぐに、インターネット接続が機能することを確認してください.CCEを開きます。 今回は開くことを願っていますが、そうでない場合は、Shiftキーを押しながら開きます。 その後、CCEオープンキルスイッチの[ツール]メニュー（「ツール」）から。 「ビュー」メニューのkillswitchで、「安全なプロセスを隠す」オプションを選択します（「安全なプロセスを隠す」）。 次に、不審または危険として認識されているすべてのプロセスを右クリックし、それらを削除するオプションを選択します。 また、残った未知のプロセスを右クリックし、[完了プロセス]オプション（「キルプロセス」）を選択する必要があります。 fls.nknownとしてマークされたプロセスを削除しないでください。 さらに、ツールメニューからCCEでは、AutoRun Analyzerを実行し、[表示]メニュー（[ビュー]]）で[セーフな要素を隠す]オプション（[セーフティエントリを隠す]を選択します。 次に、不審または危険として注目されているファイルに属する項目をすべて切断します。 要素の横にあるチェックボックスを削除することによってそれを行うことができます。 また、fls.nknownとしてマークされているすべてのアイテムを無効にする必要がありますが、これはマルウェアに属しています。 アイテムを削除しないでください。

コンピュータを再起動します。 再起動後、私が記事を贈るアドバイスを使って、コンピュータをもう一度確認してください。 すべてがうまくいったら、セクションに移動することができます。 無効なレジストリエントリが危険ではないことを忘れないでください。 さらに、コンピュータが積極的な感染から純粋であったとしても、それでもマルウェアの一部になることがあります。 彼らは危険ではありませんが、他のプログラムのスキャンがまだあなたのコンピュータ上の悪意のあるソフトウェアを検出している場合は驚かないでください。 これらは削除したものの不活性な残名です。 コンピュータ上のこれらの残余に満足していない場合は、次のセクションに記載されているプログラムでスキャンして圧倒的多数を削除できます。

ただし、コンピュータがまだアクティブな感染のクリアされていないが、少なくとも1つのプログラムを起動できましたが、このセクションで説明されている手順をもう一度渡して、感染を解除するかどうかを確認します。 しかし、いずれのプログラムも起動できない場合は、次のセクションに進んでください。 さらに、このセクションの指示の再実行がコンピュータのクリーニングに十分でない場合でも、次のセクションに進む必要があります。

2.2コンピュータがまだクリアされていない場合は、スキャン、HitmanPro、Malwarebytes、EmsiSoft Anti-Malwareを使用してスキャンします。

前述のステップが感染を完全に排除するのを助けなかった場合は、このページからHitmanProをダウンロードする必要があります。 プログラムをインストールして「デフォルトのスキャン」を実行します（「デフォルトのスキャン」）。 インストールされていない場合は、次の段落に移動してMalwarebytesをインストールしてください。 HitmanProのインストール中に対応する要求が表示されると、コンピュータのワンタイムスキャンのみを実行するオプションを選択することをお勧めします。 これはほとんどのユーザーに行くべきです。 また、悪意のあるソフトウェアが正しい起動を防止した場合は、CtrlキーをメモリにロードするまでCtrlキーを押してプログラムを開きます。 見つかった感染症を検疫します。 このプログラムはインストール後30日以内にのみ感染を削除できることに注意してください。 削除中に、テストライセンスを有効にするように求められます。

Hitmanproがすべての検出された感染を削除したらすぐに ヒットマンPR。 インストールできませんでした、あなたはダウンロードする必要があります 無料版 このページのマルウェアットここから。 彼女は高感染したコンピュータでさえもインストールするのに役立つカメレオン技術を持っていることに注意してください。 インストール中に「無料テスト期間MalwareBytes Anti-Malware Pro」を脱いでください（「Malwareytes Anti-Malware Proの無料試用を有効にする」）。 プログラムが完全に更新されてから高速スキャンを実行していることを確認してください。 彼女が見つけたすべての感染症の検疫に分離する。 プログラムがコンピュータの再起動するように依頼した場合は、必ず再起動してください。

その後、このページからここでEmsiSoft Emergency Kitをダウンロードしてください。 ダウンロードが完了するとすぐに、zipファイルの内容を削除します。 次に「START」という名前のファイルをダブルクリックして「緊急キットスキャナ」を開きます。 クエリがある場合は、プログラムにデータベースを更新してください。 更新されたら、「セキュリティ」メニューに戻ります。 次に「確認」に進み、「高速」を選択してから「チェック」をクリックしてください。 スキャンが完了するとすぐに、検出されたすべての要素を検疫に入れます。 必要な毎にコンピュータを再起動してください。

これらのプログラムでコンピュータをスキャンした後は、再起動する必要があります。 次に、私が記事に与えるヒントを使ってもう一度あなたのコンピュータをチェックしてください。」 すべてがうまくいったら、セクションに移動できます。 無効なレジストリエントリが危険ではないことを忘れないでください。 ただし、コンピュータがまだクリアされていない場合は、このセクションで説明されている手順をもう一度表示し、それが感染を解除するのに役立つかどうかを確認してください。 セクション2.1のプログラムが以前に正しく機能できなかった場合は、返品して再度実行してください。 上記のプログラムを起動しない場合は、ネットワークサポートで安全なモードで起動し、そこからスキャンしてみてください。 ただし、それらが正しく始動できなかった場合、このセクションの評議会を再録音しても脅威がまだ残ると、次のセクションに進むことができます。

2.3必要に応じて、それほど高速な方法ではありません。

前述の対策が感染を完全に除去するのを助けなかった場合、あなたの車の中ではおそらく非常に珍しい人が生きます 悪意のあるプログラム。 したがって、このセクションで説明した方法ははるかに強力ですが、もっと時間がかかります。 私があなたに忠告する最初のことは、GMERと呼ばれる別のアンチカースキャナーであなたのコンピュータをスキャンすることです。 このページからダウンロードできます。 赤く剃毛されるすべてのものを取り除きます。 プログラムがシステムの迅速な分析を終了した直後に、必ずスキャンボタンを押してください。 さらに、32ビットオペレーティングシステムを実行すると、ZeroAccess Rootkitを検索して削除するためにプログラムをダウンロードする必要があります。 このルートキットに関する情報とプログラムへのリンク32ビットシステムから削除するプログラムへのリンクを見つけることができます。 AntizeroAccessは、2番目の段落で参照によってダウンロードできます。

上記のプログラムでスキャンした後は、CCEを開く必要があります。設定に進み、[疑わしいMBR変更のスキャン]オプション（「MBRの不審な変更」を参照してください）を選択する必要があります。 次に「OK」をクリックしてください。 今CCEで、フルスキャンを完了してください。 必要に応じて再起動し、検疫にあるすべてを配置します。 このオプションは、それらがそうでない問題を特定できるので、比較的危険かもしれません。 注意してそれを使用して、すべての重要なバックアップコピーがすでに行われていることを確認してください。 まれな場合は、これらのオプションでのスキャンはシステムをアンロードさせることができます。 それはめったに起こりませんが、それが起こったとしてもそれは固定されています。 このスキャンを実行した後、コンピュータが実行中の実行を停止した場合は、Windowsインストールディスクを使用してシステムを復元してください。 それはあなたのコンピュータが再び起動されるのを助けるべきです。

CCEが完全に完了するとすぐに、Shiftキーを押したときにもう一度CCEを開きます。 この操作は、スキャンを防ぐことができるほとんどの不要なプロセスを完了します。 その後、Killswitchを開き、[表示]メニューに移動して[安全なプロセスを隠す]（[Safe Processionを隠す]を選択します。 さて、もう一度すべての危険なプロセスを削除します。 次に、残っているすべての未知のプロセスを右クリックし、「完全な処理」（「キルプロセス」）を選択する必要があります。 それらを取り除かないでください。 コンピュータを再起動するたびに、次のスキャンができるだけ効率的になることを確認するたびに、この段落のアドバイスに従う必要があります。

信頼性と見なされなかったすべてのプロセスが完了したら、Ctrlキーを押したときにHitManproプログラムを開く必要があります。 その後、デフォルトのスキャン（「デフォルトスキャン」）を実行し、検索にあるすべてのものを配置します。 次に、MalwarebytesとEmsiSoft Emergence Kitのフルスキャンを完了してください。 彼らが見つけたものを検疫して分離します。 その後、このページからここでSuperAntIspywareの無料版をダウンロードしてください。 インストール中は、他のプログラムがインストーラと一緒に供給されるため、非常に注意してください。 最初のページで、インストールに関して両方のオプションでフラグが削除されていることを確認してください。 グーグルクローム。。 「カスタムインストール」オプションを選択します。 サンプルのインストール中に、Google Chromeを追加するオプションで2つのチェックボックスをもう一度削除する必要があります。

これを数えないと、プログラムは完全にインストールされます。 無料の試用期間を開始するための提案が拒否することをお勧めします。 プログラムが完全にロードされるとすぐに、[スキャンの完了]オプションを選択して[コンピュータのスキャン]ボタン（[コンピュータをスキャンします] ...」をクリックします。 次に「Start Complete Scan\u003e」をクリックします（「フルスキャンの開始」\u003e」）。 すべてのファイル検出器を削除して、必要に応じてコンピュータを再起動します。

これらの手順を実行した後は、コンピュータを再起動する必要があります。 それから私が記事で与えるアドバイスを使ってもう一度チェックしてください。 すべてがうまくいったら、セクションに移動することができます。 無効なレジストリエントリが危険ではないことを忘れないでください。 ただし、コンピュータがまだクリアされていない場合は、このセクションで説明されている手順に従って、それが感染を排除するのに役立つかどうかを確認してください。 そうでない場合は、次のセクションに移動する必要があります。

2.4必要に応じてブートディスクを作成します

前述のメソッドが感染を完全に排除しなかった場合、またはコンピュータをダウンロードすることすらできない場合は、コンピュータをクリアするために、ブートCD（またはフラッシュドライブ）が必要な場合があります。これはブートディスクとも呼ばれます。 私はこれが複雑なビジネスに思えるかもしれないかもしれませんが、これは現実ではありません。 感染していないコンピュータにこのディスクを作成する必要があることを忘れないでください。 それ以外の場合は、ファイルを台無しにするか、さらに感染させることもできます。

これはブートディスクですので悪意のあるソフトウェアは起こらないようにしてください。 その結果、このようにさまざまなプログラムでのスキャンは、それがどれだけかわいがることができなくても、ほとんどの車の洗浄を可能にするはずです。 ここでの唯一の例外は、システムファイル自体がマシンに感染している場合です。 もしそうなら、感染の除去はシステムに損傷を与える可能性があります。 主に、このため、クリーニングプロセスを開始する前にすべての重要な文書を予約しました。 しかし、私が下記のアドバイスに従って、時にはこれを回避することができます。

これを行うには、ダウンロードする必要があります。 これはあなたがいくつかのウイルス対策プログラムを持つ単一のブートディスクを作成することを可能にする優れたプログラムです。 この記事では議論しない他の多くの便利な機能もあります。 Sarduのためのいくつかの非常に便利な教科書をこのページに見つけることができます。 追加の提案については非常に注意してください。これでインストーラに含まれています。 残念ながら、このプログラムはインストールの目的で人々を膨らませようとしています。 追加のプログラムこれはほとんど必要ありません。

ダウンロードしたら、内容を解凍してSARDUフォルダを開きます。 その後、オペレーティングシステムと一致する実行可能ファイルをSARDUまたはSARDU_X64にします。 [ウイルス対策]タブで、作成したドライブに書き込もうとするアンチウイルスアプリケーションをクリックします。 あなたがそれを考慮するとあなたはそれをたくさん追加することができます。 少なくともDr.Web LiveCD、Avira Rescue SystemとKaspersky Rescueディスクで、コンピュータをスキャンすることをお勧めします。 Dr.Webで楽しいことの1つは、それが単にそれを削除するのではなく、感染したファイルをクリーンバージョンで置き換える機会があることがあることです。 これにより、システムを損傷することなく一部のコンピュータを消去できます。 そのため、ブートディスクにDr.Webをオンにすることを強くお勧めします。

さまざまなウイルス対策アプリケーションの名前をクリックすると、ISOイメージを適切なウイルス対策でダウンロードできるページに向けられます。 代わりに、代わりに、ダウンローダタブで見つけることができるSARDUを通して直接ダウンロードするオプションを備えています。 選択がある場合は、必ずISOダウンロードオプションを選択してください。 さらに、ISOファイルをダウンロードした後は、メインフォルダSARDUにあるISOフォルダに移動する必要があります。 ISOフォルダに必要なすべてのアンチウイルス製品のISOイメージを移動したら、すべてが緊急事態を作成する準備ができています ブートディスク。 それをするために、ウイルス対策タブに行き、選択したすべてのアンチウイルスがフラグを立てていることを確認してください。 [作成]ボタンまたはUSBデバイスまたはディスクを押します。 これらのオプションのいずれかは受け入れられます。 USBまたはCDを使用して、緊急ドライブを実行する方法だけが依存します。

緊急ディスクを作成した後は、BIOSの設定で起動シーケンスを変更して、ブートCDまたはブートフラッシュデバイスを挿入するときに、コンピュータがオペレーティングシステムではなくロードすることを確認する必要があります。いつものように。 私たちの目的のために、最初の場所で「CD / DVD ROMドライブ」項目があるように、あなたがCDやDVD、または「リムーバブルデバイス」（ "Removable Devices"）がある場合は、注文を変更する必要があります。 Flash Driveで起動したいです。 これが完了したら、緊急ディスクからコンピュータをダウンロードしてください。

ディスクからダウンロードした後、あなたはあなたがコンピュータのチェックを始めたいのかを選択することができます。 私が前述したように、私はDr.Webから始めることをお勧めします。 このプログラムが終了したら、見つかったすべてのものを復元または削除すると、コンピュータをオフにする必要があります。 それから、必ずディスクから再度起動してから他のウイルス対策でスキャンし続けます。 ブートディスクに記録したすべてのウイルス対策プログラムでコンピュータを分散するまでこのプロセスを続行してください。

ディスクに記録したプログラム内のコンピュータを清掃した後、今度はWindowsを再起動しようとする必要があります。 コンピュータがWindowsの下から起動できる場合は、記事で贈る指示を使用して確認してください。 すべてがうまくいったら、セクションに移動できます。 無効なレジストリエントリはリスクに参加できないことを忘れないでください。

コンピュータがまだクリアされていないが、Windowsの下から起動することができますが、この記事から始めて提案したメソッドから始めて、Windowsに入っている間をクリアしようとするように勧めます。 ただし、コンピュータがまだWindowsをダウンロードできない場合は、もう一度インストールを使用して順番に入力してください。 windowsディスク。 これにより、コンピュータが再び起動し始めました。 たとえあなたがダウンロードされたのを助けても、より多くのウイルス対策を緊急起動ディスクに追加してからコンピュータをスキャンしてみてください。 その実行がまだ役に立たない場合は、読んでください。

3.前述のメソッドがコンピュータの清掃に役立っていない場合

上記の手順をすべて完了していて、まだコンピュータをクリアできなかったが、問題が悪意のあるソフトウェアによって引き起こされていると確信していると確信しているので、コメントを残してコンピュータを清掃するために何をしようとしたのかを説明した場合、非常に感謝します。そして、コンピュータがまだクリアされていないことを考えることをする残りの兆候。 この記事を改善するためには非常に重要です。 実際には、誰もこのセクションに届かないことを願っています。 この記事は、感染したコンピュータを完全に清掃する機会を提供することを目的としています。

マルウェアの削除専用の専門フォーラムへのアドバイスを申請することもできます。 私たちのパートナーである非常に便利なフォーラム。 ただし、フォーラムにマルウェアソフトウェアを削除するためのヘルプを要求した後も、コンピュータはまだ有害プログラムから解放されていないため、コンピュータをフォーマットして実行する必要があるかもしれません。 これは、あなたが事前にコピーされなかったすべてを失うことを意味します。 これを行った場合は、Windowsを再インストールする前に必ずコンピュータを完全にフォーマットしてください。 これはほとんどあらゆる種類の有害性を破壊するでしょう。 Windowsが再インストールされると、次の手順に従います。

4.すべての悪意のあるソフトウェアが最終的に削除するように定義された後に何をすべきか

コンピュータがきれいになっていることを確認してください。今、あなたは失われたものを復元しようとすることができます。 Windows Repaireユーティリティ（すべての1つ） - オールインワンツールを使用できます。これにより、大量の修正を行うことができます。 有名な問題 レジストリエラー、ファイルのアクセス許可、Internet Explorer、Windowsの更新など、Windows、 windowsファイアウォール。 すべてのプロシージャを実行した後、コンピュータが正常に実行されている場合は、Comodo Autorunアナライザを開き、以前に無効になっているレジストリ要素を削除するオプションを選択することもできます。 したがって、彼らはもうあなたのコンピュータにはもうありません。

あなたがあなたのコンピュータからのすべての感染を安全に削除して破壊的な結果の残骸を排除するとすぐに、それが再び起こらないことを確実にするためにステップを取る必要があります。 このため、私はガイド「セキュリティをオンラインにする方法」（すぐに私たちのウェブサイトに公開されます）を書いています。 後で読んで、必要なニーズがあなたのニーズに最適な方法を実装してください。

コンピュータのセキュリティを確保したら、以前に保存されたクレンジングプロセス中に失われたファイルのいずれかを復元できるようになりました。 バックアップ。 このステップがする必要がないことを願っています。 また、それらを復元する前に、コンピュータが非常によく保護されていることを確認してください。 コンピュータを十分に保護しない場合は、誤ってそれに感染してから、再びそれを硫化させる必要があります。 さらに、USBデバイスを使用してファイルを感染したコンピュータに移動した場合は、コンピュータに戻して、悪意のあるソフトウェアがないことを確認できるようになりました。 その上に残っているすべてのファイルを削除することでこれをすることをお勧めします。

タイプミスを見つけましたか？ Ctrl + Enterを押します

ファイルウイルス操作アルゴリズム

コントロールを受信した場合、ウイルスは次のアクションを実行します（ウイルスの最も一般的なアクションのリストはその実行中にリストされています。特定のウイルスに対してリストされています。リストは補完され、アイテムを場所で変更して大幅に拡大することができます）。

居住ウイルスチェック 羊 そのコピーでは、ウイルスのコピーが見つからない場合は、コンピュータのメモリに感染します。 非常駐ウイルスは、現在および（または）ルート目の内容、PATHコマンドでマークされたテーブル内の（または）、論理ディスクディレクトリツリーをスキャンしてから、検出されたファイルに感染しています。

もしあれば、追加機能：破壊的な行動、グラフィックまたは効果音など。 現在の時間、システム構成、内部ウイルスメーター、またはその他の条件に応じて、常駐ウイルスの追加機能は、起動後の時点の後に呼び出すことができます。 この場合、ウイルスがシステム時間の状態を処理するときのウイルスは、そのカウンタなどを設定します。

プログラムを復元する方法は最初にファイル感染症によって異なります。 ウイルスがファイルの先頭に埋め込まれている場合、それは感染したプログラムコードをウイルスの長さに等しいバイト数にシフトするか、またはプログラムコードの一部をその終わりから始めに移動するか、または回復するかディスク上のファイルを起動してから起動します。 ウイルスがファイルの末尾にサインアップされている場合は、プログラムを復元するときに、ファイルの感染時にそのボディに保存されている情報を使用します。 これは、ファイルの長さ、COMファイルの場合はファイルの先頭に数バイト、またはEXEファイルの場合は複数のヘッダーバイトです。 ウイルスが特別な方法でファイルの中央に記録されている場合は、ファイルを回復するときに、特別なアルゴリズムも使用します。

ブートウイルス

ブートウイルスは、フロッピーディスクセクタのブート（起動）とハードドライブのブートセクタまたはマスターブートレコード（MBR）に感染します。 ロードウイルスの原則は、コンピュータの電源を入れるか再起動すると、インストールされた機器の必要なテスト（メモリ、ディスクなど）の後、システムロードプログラムが最初の物理セクタを読み取るときに、オペレーティングシステムの起動アルゴリズムに基づいています。ブートディスク（BIOSセットアップに設定されているパラメータに応じて、A：、C：またはCD-ROM）とトランスファーを転送します。

フロッピーディスクまたはCDの場合、制御はディスクパラメータテーブル（BPB - BIOSパラメータブロック）を分析するブートセクタを受信し、システムオペレーティングシステムシステムファイルのアドレスを計算し、それらをメモリに読み込み、実行を開始します。 起動ディスクにオペレーティングシステムファイルがない場合、ディスクブートセクタにあるプログラムはエラーメッセージを発行し、ブートディスクを置き換えるためのオファーを提供します。

ハードドライブの場合、制御はMBRウィンチェスターにあるプログラムを受信します。 このプログラムはディスクパーティションテーブル（ディスクパーティションテーブル）を分析し、アクティブブートセクタのアドレスを計算します（通常はセクタはC :)ディスクのディスクにそれをロードしてコントロールを転送します。 コントロールを受け取ったことで、ウィンチェスターのアクティブなブートセクタは、外部媒体のブートセクタと同じステップを作ります。

ディスクが起動すると、起動ウイルスがシステムがロードされたときにコントロールを受信したプログラムの代わりにコードを置き換えます。 したがって、感染の原則は、上記のすべての方法で同じようになります。ウイルスは、リードされてメモリに読み込まれ、オリジナルのブートロードコードを制御しないようにシステムがシステムになりますが、ウイルスコード。

感染ディスクは唯一の既知の方法で実行されます。ウイルスは元のブートセクタコーダの代わりにそのコードを記録します。 ウィンチェスターは3人に感染します 可能なメソッド - ウイルスは、MBRコードの代わりに、またはブートディスクブートセクタコード（通常はC :)ディスクの代わりに、またはMBRウィンチェスターにあるディスクパーティションテーブル内のアクティブなブートセクタのアドレスを変更するか、または変更されます。

ディスクに感染すると、ほとんどの場合ウイルスは元のブートセクタ（またはMBR）を他のディスクセクタに転送します。 ウイルスの長さがセクタ長より長い場合、ウイルスの最初の部分が汚染されたセクタに入れられ、残りの部分は他のセクタに配置されます。

元のブートセクタのディスク上に配置し、ウイルスを継続するためのオプションがいくつかあり、論理ディスクの空きクラスタのセクタでは、未使用またはめったに使用されていないシステムセクタ、ディスクの外側にあるセクタ内で。

ウイルスの継続が空きディスククラスタに属するセクタに配置されている場合（これらのセクタを検索するとき、ウイルスはファイル配置テーブル - FATを分析する必要があります）、その後、ウイルスはこれらのクラスタを失敗としてマークします（いわゆる疑似フリークラスタ）。 この方法はウイルス「脳」、「ピンポン」、そして他のものによって使用されます。

「石」ファミリーのウイルスでは、別の方法が関与しています。 これらのウイルスは、最初のブートセクタを未使用またはめったに使用されていないセクター（MBRと最初のブートセクタの間に配置されている場合）で、およびディスケット上で、最後のセクタから同じセクタが選択されます。ルートディレクトリの。

これらのセクタは、ハードドライブの最後のセクターにコードを記録します。これらのセクターは、ハードドライブの情報（現代のディスクのサイズを考慮した場合はかなりまれな場合はかなりまれです）です。 ディスクの外側のウイルスの継続を保存する方法を頻繁に使用します。 これは2つの方法で達成されます。 最初のものは論理ディスクのサイズの減少に減少します。ウイルスは、対応するBPBブートセクタフィールドから必要な値を減算し、Winchesterのディスクパーティションテーブル（ハードドライブが感染している場合）を減らし、サイズを縮小します。ロジックディスクのうち、そのコードを「スライス」セクタに記録します。

第二の方法は、ディスクの物理的な内訳の外側のデータを記録することです。 もちろん、インストールされている機器で許可されている場合は、利用可能なウィンチャーのスペースの外側にコードを記録するウイルスがあります。

もちろん、例えば、ウイルスをディスクに配置する方法は他の方法もあります。たとえば、Azusaファミリのウイルスは、標準的なMBRローダーに含まれており、保存せずに感染した場合にはオリジナルのMBRの上に記録されます。

感染した場合、ほとんどのウイルスは、オリジナルのローダーに格納されているシステム情報（MBRの場合、この情報は、ブートセクタFLOP-BIOSパラメータブロックの場合はディスクパーティションテーブルです）にコピーされます。 それ以外の場合は、システムのディスクアドレスコンポーネントがこの情報に基づいて計算されるため、システムはロードできなくなります。 このようなウイルスは、ブートセクタ内のシステムブートローダの再コードとMBRを書き換えることによって、かなり簡単に削除されています。これは、調整されていないシステムフロッピーディスクで起動し、SYSコマンドを使用してディスケットとハードドライブまたはFDISK / MBRを中和する必要があります。感染したMBR部門の治療のために。

ただし、一部の100％シェルウイルスはこの情報を保存したり、さらに意図的に暗号化したりしません。 システムまたは他のプログラムを感染したセクタに連絡するとき、ウイルスはそれらの非平らな原文を置き換え、そしてシステムの負荷は失敗なしに行われますが、そのようなウイルスの場合はFDISK / MBRを使用したMBRの治療は情報の損失をもたらします。ディスクパーティション化（ディスクパーティションテーブル）。 この場合、ディスクをすべての情報の損失で再フォーマットするか、ディスクパーティションテーブル「手動」を復元する必要があります。これには、特定の資格が必要です。

ブータブルウイルスは1つのディスク上で非常にめったにめったにロールされていないことに注意すべきです。しばしば、それらのコード/データをホストするために同じディスクセクタを使用します。 その結果、第2のウイルスに感染したときに第1のウイルスのコード/データが損なわれることが判明し、システムはロード時にハングしたり、ループしたりする（それも凍結する）。

新しいオペレーティングシステムの起動ウイルスのユーザーもトラブルを提供できます。 上記のシステムがディスクを直接ディスクで動作させ、それをさらに分散させることを不可能にすることは、ウイルスコードはまだ非常にまれであるが、システムを再起動するときに制御を受信する。 したがって、「3月6日」ウイルスは、MBRサーバーで何年も住んでおり、コンピュータシステムの作業とパフォーマンスには影響しません。 ただし、3月6日のランダムな再起動で、このウイルスはディスク上のすべてのデータを完全に破棄します。

ローディングウイルスのアルゴリズム

ほとんどすべてのロードウイルスは居住者です。 感染したディスクからロードするとき、それらはコンピュータのメモリに導入されます。 この場合、システムローダは、ダウンロードが行われたディスクの第1のセクタの内容を読み出し、情報をメモリに入れて、（すなわちウイルス）制御に転送する。 その後、ウイルスの指示が開始されます。

原則として、空きメモリの量を削減し、そのコードを解放場所にコピーし、ディスクから続く（そうであれば）を読み取ります。 将来的には、いくつかのウイルスは、オペレーティングシステムのロードと元の値のメモリサイズを復元するのを待っています。 その結果、オペレーティングシステムの外側ではなく、システムに割り当てられた別々のメモリブロックとして配置されていることが判明しています。

必要な割り込みベクトル（通常はINT 13H）を傍受し、元のブートセクタをメモリに読み込み、制御を転送します。

さらに ブートウイルス それは常駐ファイルと同じように動作します。いくつかの条件に応じて、オペレーティングシステムへのアクセスをディスクに傍受し、それらに感染します。

非常駐ブートウイルス - ロードすると、それらがドライブに存在する場合は、MBBハードドライブと外部メディアに感染します。 その後、このようなウイルスは元のローダーの制御を伝送し、もはやコンピュータに影響を与えません。

マクロウイルス

マクロウイルス（マクロウイルス）は、データ処理システム（テキストエディタ、スプレッドシート）、アニメーションなどに組み込まれている言語（マクロ言語）です。 その複製のために、そのようなウイルスはマクロ言語の機能を使用し、彼らの助けを借りて、ある感染ファイル（文書）から他の感染ファイル（文書）を使用します。 Microsoft Word、Excel、Officeのマクロウイルスは最大の配布を受けました。 AMI Proと基本文書に感染するマクロウイルスもあります マイクロソフトデータ アクセス、フラッシュアニメーション。 今日まで、マクロウイルスが存在する多くのシステムがあります。 これらのシステムでは、ウイルスは感染したファイルを開閉するとき、標準のファイル関数を傍受し、次に魅力的なファイルに感染します。

特定のシステム（編集者）のウイルスの存在については、機能を使用して組み込みマクロ言語を構築する必要があります。

マクロ言語でのバインディングを特定のファイルにプログラムします。

マクログラムをあるファイルから別のファイルにコピーします。

ユーザーの介入なしにマクロプログラムの管理を受信する機能（自動または標準マクロ）。

これらの条件は、Microsoft Word、Office、Amiproの編集者、およびExcelスプレッドシートとMicrosoft Accessデータベースを満たしています。 これらのシステムにはマクロ言語が含まれています：Word、Excel、Access、Office - アプリケーションのためのVisual Basic。 において、

マクロプロマグログラムは、特定のファイル（AMIPRO）に関連付けられているか、ファイル内（Word、Excel、Office）内にあります。

マクロ言語では、ファイル（AMIPRO）をコピーするか、マクログラムをシステムサービスファイルと編集可能ファイルに移動できます（Word、Excel、Office）。

特定の条件（開始、閉鎖など）でファイルを操作するときは、特別な方法で定義されているか、標準名（Word、Excel、Office）を持つマクロフレームが呼び出されます。

マクロ言語のこの機能は、大規模な組織の自動データ処理を目的としています。 グローバルネットワーク そして、いわゆる「自動文書管理」を整理することができます。 一方、マクロ言語の機能により、ウイルスは自分のコードを他のファイルに転送することを可能にし、したがってそれらに感染します。

ファイル内部のウイルスの物理的な場所はそのフォーマットによって異なります。これはマイクロソフト製品の場合には非常に複雑です。 wordファイル文書 またはExcelテーブルは、多数のサービスデータと組み合わされた一連のデータブロック（それぞれのフォーマットも持っています）です。 このフォーマットはOLE2 - オブジェクトリンクと埋め込みと呼ばれます。

単語のための有名なウイルスのほとんどは、国内（ロシア語を含む）バージョンの単語（ロシア語を含む）の単語、またはその逆のバージョンとは互換性がありません。これは、ローカライズされた単語バージョンに対してのみ設計されており、別の言語バージョンの下では機能しません。 ただし、ドキュメント内のウイルスはアクティブなままであり、他のコンピュータに対応するバージョンの単語がインストールされていると感染できます。

Wordウイルスは、IBM PCだけでなく、どのクラスのコンピュータに感染する可能性があります。 テキストエディタがMicrosoft Wordと完全に互換性のあるこのコンピュータにインストールされている場合は、感染が可能です。

単語文書フォーマットの複雑さは、 エクセルテーブル 特にオフィスには次の機能があります。ファイルファイルとテーブルでは、「不要な」データブロック、すなわち 編集可能なテキストやテーブルに関連しないデータは、他のファイルデータのコピーでランダムに説明されています。 そのようなデータブロックの原因は、OLE2文書および表のクラスタデータ編成です - 1つのテキストシンボルだけが入力されていても、1つか複数のデータクラスタが割り当てられています。 "便利な"データで埋められていないクラスタ内の文書やテーブルを保存するときは、他のデータと一緒にファイルに入っています。

その結果、ドキュメントを編集するときに、それを使用して生成されたアクションに関係なく、ファイルサイズが減少する可能性があり、テキストの一部が削除される可能性があります。を増やす。 マクロウイルスと同じ：ファイルを感染させると、そのサイズは減少、増減、または変更されないままになります。

Word文書を操作するときは、任意のバージョンがさまざまなアクションを実行します。文書を開く、保存、印刷、閉じるなどを開きます。 同時に、Wordは対応する「組み込みマクロ」を実行しています。ファイル/ saveコマンドにファイルを保存するときに、ファイル/ saveAsコマンドを保存しながら、ファイル/ saveAs macroが呼び出されます。 - ファイルプリントなど、もちろん、そのようなマクロが定義されている場合。

異なる条件下で自動的に発生する「自動マクロ」もいくつかあります。 たとえば、Word文書を開くときは、オートオフマクロをチェックしてください。 そのようなマクロが存在する場合、Wordはそれを実行します。 Word文書を閉じると、オートクロセマクロを実行すると、新しい文書を作成するときに、Opace-AutoExitが開始されると、AutoExecマクロが呼び出されます。

類似のメカニズム（しかし他のマクロおよび機能を持つ）はExcel / Officeで使用されており、自動および組み込みマクロの役割は、任意のマクロまたはマクロに存在する自動および組み込み関数を実行し、1つのマクロ作成された1つのマクロに存在する可能性があります。 -inと自動関数

自動（すなわち、ユーザ参加なしで）、マクロ/機能もまた、任意のキーまたは日時、すなわち日時に関連付けられている。 Word / Excelは、特定のキー（またはキーの組み合わせ）を押すと、またはいつでも到達したときにマクロ/機能が発生します。 オフィスでは、イベントを傍受する能力はやや拡大されていますが、原則は同じです。

Word、Excel、またはOfficeファイルに影響を与えるマクロウイルスは通常、上記の3つのメソッドの1つによって使用されます。ウイルス内または自動マクロ（自動機能）、または標準の全身マクロの1つが過大展開されている（関連付けられている（関連付けられている）。任意の項目。メニュー）、またはウイルスマクロは、任意のキーまたはキーの組み合わせをクリックすると自動的に呼び出されます。 これらの手法をすべて使用しないでください。ユーザーが独立して実行するときにのみ掛ける準イメージもあります。

したがって、文書が感染している場合は、Word文書を開くときに、感染した自動操縦自動マクロ（または文書を閉じるときにオートクロース）、したがって、これがDisableAutomacrosシステム変数によって禁止されていない場合は、ウイルスコードを起動します。 ウイルスに標準名を持つマクロが含まれている場合は、対応するメニュー項目を呼び出すときにコントロールを受け取ります（ファイル/オープン、ファイル/閉じる、ファイル/ SAVEAS）。 キーボードシンボルがオーバーライドされている場合、ウイルスは対応するキーを押した後にのみアクティブになります。

ほとんどのマクロウイルスには、標準のWord / Excel / Officeマクロの形ですべてのそれらの機能が含まれています。 しかしながら、それらのコードを隠すことの受容を使用し、それらのコードを非マクロの形で保持するウイルスがある。 そのようなレセプションは3つあり、それらはすべて他のマクロを作成、編集、実行する機能を使用します。 原則として、同様のウイルスは、組み込みマクロエディタを引き起こし、新しいマクロを作成し、それをウイルスの基本コードで埋め、実行し、その後、ルールとして埋めます。破壊する（ウイルスの存在の痕跡を隠すため）。 そのようなウイルスのメインコードは、テキスト文字列（時々暗号化されている）の形式のウイルスマクロ自体のいずれか、または文書変数または自動テキスト領域に格納されています。

ワードマクロウイルスのアルゴリズム

大部分のよく知られた単語ウイルスのほとんどは、それらがマクロ編成のマクロスコープ、Orgincopy Macrosコマンドを使用するか、マクロエディタの使用を使用するために、コード（マクロ）をドキュメントのグローバルマクロ（ "一般的な"マクロ）の領域に転送するために起動されます。 - ウイルスはそれを引き起こし、新しいマクロを作成し、それがドキュメント内で保存されている独自のコードを挿入します。

Word Globalマクロ（ウイルスを含む）を終了すると、グローバルマクロのドットファイルに自動的に記録されます（通常はファイルはnormal.dotです）。 したがって、次回MS-Word Editorを起動したときに、ウィンドウズがグローバルマクロを発送する瞬間にウイルスが起動されます。 すぐに。

その後、ウイルスは1つ以上の標準マクロ（たとえば、FileOpen、FileSave、FileSaveAS、ファイルプリントなど）を再定義します（たとえば、FileOpen、FileAve、FileSaveAs、ファイルプリント）、ファイルを操作するためのコマンドをコマンドします。 これらのコマンドを呼び出すと、ウイルスは控訴があるファイルに感染します。 これを行うために、ウイルスはファイルをテンプレート形式に変換します（これにより、ファイル形式をさらに変更すること、すなわちテンプレート以外の形式に変換することは不可能にし、自動マクロを含むファイルに書き込みます。

したがって、ウイルスがFileSaveASマクロを傍受すると、各DOCファイルはウイルスによって傍受されたMacroを介して保存されます。 FILEOPENマクロが傍受されている場合、ディスクから読み込んだときにウイルスはファイルに書き込まれます。

ウイルスを実装するための2番目の方法は、はるかに少ない頻度で使用されます - それはいわゆる "アドイン"ファイルに基づいています、すなわち Wordへのサービスアドオンのファイル。 この場合、normal.dotは変更されず、Wordは起動時に「アドイン」と定義されているファイル（またはファイル）からウイルスマクロをロードします。 このメソッドは、ウイルスのマクロがnormal.dotに格納されていないが、他のファイルには、グローバルマクロの感染をほぼ完全に繰り返します。

スタートアップディレクトリにあるファイルにウイルスを実装することも可能です.Wordはこのディレクトリからテンプレートファイルを自動的にロードします。

Excelアルゴリズムマクロウイルス

Excelウイルスの再現方法は一般にワードウイルス法と同様です。 違いは、マクロ（たとえばsheets.copyなど）をコピーすることです。

多型ウイルス

多型ウイルスには、特定のウイルスに特異的な定数コードのセクションを介して検出することが不可能である（または極めて困難）することが不可能である。 これは、非永続キーとDecryRコマンドのランダムなセットまたは非常にウイルスコードの変化を持つ基本的なウイルスコードの暗号化の2つの主な方法によって実現されます。 たとえば、Dos-Virusの「爆撃機」は暗号化されていませんが、ウイルスコードコントロールを転送するコマンドのシーケンスは完全に多型です。

様々な程度の複雑さの多型は、起動およびファイルDOSウイルスからWindowsウイルスおよびマクロウイルスまでのすべてのタイプのウイルスに見られます。

多形デコーダ

一部多型デカプタの最も単純な例は、その使用の結果として、ウイルス自体のコードのバイトがさまざまなファイルに感染したときに永久的なものではないため、次のコマンドのセットです。

MOV REG_1、カウント。 REG_1、REG_2、REG_3が選択されています

MOV REG_2、キー; AX、BX、CX、DX、SI、DI、BP

MOV REG_3、_OFFSET; カウント、キー、_OFFSETも変更できます

xXXバイトPTR、REG_2; XOR、追加またはサブ

より複雑な多型ウイルスは、それらのデコーダのコードを生成するためのより多くの複雑なアルゴリズムを使用する：上記の指示（または同等物）は感染から感染の場所によって並べ替えられ、それらはNOP、STI、CLIのいかなる非変化のコマンドで希釈される。 STC、CLC、DEC未使用レジスタ、XCHG未使用レジスタなど

フル多型ウイルスはさらに複雑なアルゴリズムを使用し、その結果、任意の量のサブ、添加、XOR、ROL、ROL、およびその他の任意の量がウイルスデコーダで満たすことができる。 鍵やその他の暗号化パラメータは、ほとんどすべての指示が発生する可能性がある任意の操作セットによっても行われます。 インテルプロセッサー （追加、サブ、テスト、XOR、または、SHR、SHL、ROR、MOV、XCHG、JNZ、プッシュ、POP ...）の可能なすべてのアドレッシングモード。

その結果、そのようなウイルスに感染したファイルの先頭には、一連の無意味な命令があり、完全に作業可能な組み合わせはブランドの逆アセンブラー（例えば、CS：CS：またはCSの組み合わせの組み合わせ）にはありません。 ：NOP）。 そして、この「お粥」のうち、コマンドとデータの中から、時折スリップMOV、XOR、ループ、JMP - 本当に「労働者」である指示。

多型レベル

これらのウイルスの復号器に見られるコードの複雑さに応じて、レベルに多型ウイルスの分割がある。

レベル1：定数コードを持ついくつかの復号化器と感染したときにいくつかのセットを持つウイルスがそれらのうちの1つを選択されます。 そのようなウイルスは「半多型」であり、また「オリゴモルフィック」（オリゴモルフィック）の名前を着用する。 例：「Cheeba」、「スロバキア」、「クジラ」。

レベル2：ウイルス復号化には1つ以上の永続的な指示が含まれていますが、その主要部分は不可欠です。

レベル3：デコリタには未使用の命令が含まれています - NOP、CLI、STIなどの「ゴミ」

レベル4：デコリッターは交換可能な命令を使用し、以下の命令の順序を変更します（攪拌）。 復号化アルゴリズムは変わりません。

レベル5：上記のすべての技術が使用され、復号化アルゴリズムは目立たない、おそらく、ウイルスコードの暗号化および検出器コード自体の部分暗号化でさえも繰り返されます。

レベル6：順列ウイルス ウイルスのメインコードは変更されることがあります - それは任意の順序で並べ替えられたブロックに分割されます。 ウイルスは運用的なままです。 そのようなウイルスは暗号化されていない可能性があります。

上記の部門は、ウイルスマスクの標準的な受信を使用してデコーダコードのウイルスを検出する能力を使用して、デコーダコード上のウイルスを検出する能力であるため、上記の部門は不具合から解放されません。

レベル1：ウイルスを検出するには、いくつかのマスクを持つことが十分です。

レベル2：「ワイルドカード」を使用したマスク検出。

レベル3：命令を削除した後のマスク検出 - 「ゴミ」。

レベル4：マスクには、可能なコードのためのいくつかのオプション、すなわち アルゴリズムになります。

レベル5：マスク上のウイルスを検出できない。

そのような分裂の不十分なものは、3番目のレベルの多型のウイルスにおいて実証されており、これは「レベル3」と呼ばれる。 このウイルスは、上記の部門によると、最も複雑な多型ウイルスの1つである、上記の分割によると、恒久的な復号化アルゴリズムがあるため、これは多数のチーム「ゴミ」を犠牲にしています。 ただし、このウイルスでは、「ゴミ」生成アルゴリズムが完璧さにされています。エグゼクターコードでは、I8086プロセッサのほとんどすべての命令が満たすことができます。

ウイルスコードの自動復号化システム（エミュレータ）を使用しているウイルス対策の観点からのレベルに分割されている場合、レベルの分割はウイルスコードエミュレーションの複雑さに依存します。 例えば、初等数学的則などの復号化などのウイルスおよび他の技術を検出することが可能である。

実行されたコードを変更します

ほとんどの場合、マクロウイルスの同様の方法はマクロウイルスによって使用されます。これは、それらの新しいコピーをランダムに変更すると、空の文字列の名前を無作為に変更するか、または他の方法でコードを変更します。 したがって、ウイルスアルゴリズムは変化しないままであるが、ウイルスコードは感染からの感染からほぼ完全に変化する。

より少ない場合、この方法は複雑な起動可能なウイルスによって適用されます。 そのようなウイルスはブートセクタに実装されており、メインウイルスコードを読み取り、コントロールを送信するのに十分な短い手順のみが実装されています。 この手順のコードは、いくつかの異なるオプションから選択されます（「空の」コマンドで希釈することもできます）、コマンドは互いに並べ替えられます。

さもなければ、このレセプションはファイルウイルスにあります - それらはコードを完全に変更しなければならず、そしてこれについては非常に複雑なアルゴリズムを必要とします。 今日まで、2つのそのようなウイルスだけが知られています。そのうちの1つは、そのコマンドをランダムに自分のボディに動かし、それらをJMPまたはCallコマンドに置き換えます。 他のウイルス（ "TMC"）はもっと使います 複雑な方法 - ウイルスがコードとデータのブロックを所定の位置に変更するたびに、「Trash」をアセンブラ命令で挿入します。命令は、データへの変位の新しい値、定数などを設定します。 その結果、ウイルスはそのコードを暗号化しないが、それは多形性ウイルスです - コードに恒久的なコマンドのセットはありません。 さらに、その新しいコピーを作成するとき、ウイルスはその長さを変えます。

ロシア連邦の文部科学科学省

ロシアの商工大学

カザン研究所（支店）

数学科および高数学科

検査番号1

規律によって：「情報学」

コンピュータウイルス

行った：

学生1コースの不在

部門は特別です。 学部

「金融と信用」グループ

チェック：

2007年カザン。

予定

前書き

1.コンピュータウイルスの本質と現れました

2.主な種類とコンピュータウイルスの種類

3.ウイルスはどのように適用されますか？

コンピュータウイルスの検出

ウイルスに対する予防策

結論

参考文献

前書き

コンピュータウイルス - コンピュータの作業を妨げる特定のアクションを実行するように設計された特別に作成されたプログラム。 多くのプログラムは無害なウイルスですが、残念ながらすべて無害で完全に無害ではありません。 まず、彼らはRAMとディスクの場所を占有します。 第二に、それらはシステムの障害につながり、再起動することができるエラーを含めることができます。 したがって、ウイルスが非常に無害であれば、それを取り除くべきです。

現在、いくつかの種類やタイプのウイルスがあります。 コンピュータウイルスの主な種類は、ソフトウェア、ブートウイルス、マクロウイルスです。 現在、5,000以上の種が知られています。 ソフトウェアウイルスそれらは以下の徴候に従って分類することができます：生息地。 生息地による感染の方法 影響; アルゴリズムの特徴

コンピュータへのウイルスの侵入の主な経路は 取り外し可能なディスク （フレキシブルとレーザー）、コンピュータネットワーク。 ウイルスを含むハードディスク感染は、ウイルスを含むフロッピーディスクからコンピュータが起動されると発生する可能性があります。 そのような感染は、例えば、フロッピーディスクがドライブAから削除された場合、およびコンピュータを再起動し、ディスケットは全身ではないかもしれない。 フロッピーディスクに感染するのははるかに簡単です。 フロッピーディスクが感染したコンピュータのドライブに挿入された場合でも、ウイルスはそれを取得することができ、その目次を読むことができます。 しかし、ウイルスを拡散させる最も頻繁な方法はコンピュータのネットワーク、特にインターネットは、ゲームなどの他のプログラムが書き直され、そしてそれらが起動されます。 他のハードディスクが感染しているコンピュータに挿入されている場合は、他のものがあるかもしれません。 これを回避するには、システムディスケットから起動し、特別なウイルス対策プログラムを使用してハードドライブを確認するか、FDISKプログラムとフォーマットプログラムを使用してディスクを表示してフォーマットします。

ウイルスを識別するために、ウイルスを検出して破壊するための特別なウイルス対策プログラムがあります。 ウイルス対策プログラムのかなり広い選択があります。 これはAIDStest（Lozinsky）、Web、Norton Antivirusです。 windowsシステム、DSAVキットなど。

1. コンピュータウイルスのエンティティと宣言

パーソナルコンピュータの大規模な使用は、残念ながら、ディスクのファイル構造を破壊し、コンピュータに格納されている情報を損傷するコンピュータの通常の動作を妨げる自己再生ウイルスプログラムの出現に関連することが判明した。 1つのコンピュータに侵入すると、コンピュータウイルスは他のコンピュータに拡散することができます。

一方では、コンピュータウイルスの外観と分布の理由は、人間の人格の心理学に隠されており、その影の側面（羨望、復讐、認識されていないクリエイターの虚偽）は不足によるものです。ハードウェア保護とパーソナルコンピュータのオペレーティングシステムを対抗する。

コンピュータ犯罪と闘う法律にもかかわらず、多くの国で採用されている ソフトウェア ウイルスに対する保護、新しいソフトウェアウイルスの数は絶えず成長しています。 これには、ウイルスの性質、ウイルスを感染させる方法、それらからの保護に関する知識のパーソナルコンピュータが必要です。

コンピュータへのウイルスの侵入の主な経路は、リムーバブルホイール（フレキシブルおよびレーザー）、ならびにコンピュータネットワークである。 ウイルスを含むハードディスク感染は、ウイルスを含むフロッピーディスクからコンピュータが起動されると発生する可能性があります。 そのような感染は、例えば、フロッピーディスクがドライブAから削除された場合、およびコンピュータを再起動し、ディスケットは全身ではないかもしれない。 フロッピーディスクに感染するのははるかに簡単です。 フロッピーディスクが感染したコンピュータのドライブに挿入された場合でも、ウイルスはそれを取得することができ、その目次を読むことができます。

コンピュータがウイルスに感染しているとき、それをタイムリーに検出することは非常に重要です。 これを行うには、ウイルスの徴候の主な兆候について知っておくべきです。 これらは以下のとおりです。

・作業の終了または不適切な作業早期のプログラムの機能に成功しました。

・コンピュータのゆっくり操作。

・オペレーティングシステムをロードできない。

・ファイルやディレクトリの消失やその内容を歪める。

・ファイル変更日時を変更する。

・ファイルサイズの変更

・ディスク上のファイル数が予期しない大幅な増加。

・無料RAMのサイズの大幅な削減。

・予期しないメッセージまたはイメージの画面への出力

・予期しない音声信号の送り。

・コンピュータ内の頻繁なフリーズと誤動作。

ただし、これらすべての機能については、ウイルスがコンピュータで始まったことを確認できません。 他の誤動作があるかもしれないので、その原因は問題や非天体のシステムです。 たとえば、購入したコンピュータでは、ロシアの文字の代わりに起動すると、最初に見てわかりやすい文字が表示されます。 その理由は、キリルドライバがディスプレイにインストールされていない可能性があります。 同じ理由は、プリンタの運転手の欠如です - プリンタの奇妙な行動を説明することができます。 システムの障害には内部の不良があります システムブロック コード接続で。

2. コンピュータウイルスの主な種類と種類

コンピュータウイルスの主な種類は次のとおりです。

ソフトウェアウイルス

ブートウイルス

マクロウイルス

コンピュータウイルスは隣接しています トロイの木馬

馬（トロイの木馬プログラム、トロイの木馬）。

ソフトウェアウイルス

ソフトウェアウイルスは、プログラムコードのブロックであり、意図的に他のアプリケーションプログラム内に埋め込まれています。 プログラムが開始されると、キャリアウイルス、その中に埋め込まれたウイルスコードが起動されます。

このコードの動作は、ハードドライブファイルシステムおよび/または他のプログラムのコンテンツ内のユーザーの隠された変更によって引き起こされます。 たとえば、ウイルスコードは他のプログラムの本文に自分自身を再現できます。このプロセスは呼び出されます。 再生。 一定時間後、十分な数のコピーを作成すると、ソフトウェアウイルスが破壊的なアクションに行くことができます。プログラムやオペレーティングシステムの操作、ハードディスクに格納されている情報の削除。 このプロセスは呼び出されます ウイルス攻撃

最も破壊的なウイルスは、ハードディスクのフォーマットを開始できます。 ディスクのフォーマットは、ユーザによって気付かれずに渡されるべきではない十分に長いプロセスであるので、多くの場合プログラムウイルスはハードディスクの損失と同等のハードディスクのシステムセクタ内のみデータを乗算することに限定される。 ファイルシステム。 この場合、ハードディスク上のデータはそのまま残りますが、ファイルが属するのはどのディスクセクタであるかは不明であるため、特別な方法を使用せずに使用することは不可能です。 この場合のデータを理論的に復元することはできますが、これらの作業の複雑さは非常に高いかもしれません。

ウイルスはコンピュータハードウェアを出力することができないと考えられています。 ただし、ハードウェアとソフトウェアが接続されている場合は、ハードウェアの交換によってソフトウェアの損傷を排除する必要がある場合があります。 たとえば、ほとんどの最新のマザーボードでは、基本I / Oシステム（BIOS）は書き換え可能な永久記憶装置（いわゆる）に格納されています。 フラッシュメモリー).

フラッシュメモリマイクロ回路内の情報を上書きする機能は、BIOSデータを破壊するためにいくつかのソフトウェアウイルスを使用します。

この場合、コンピュータの性能を復元するために、BIOSまたは再プログラミングを特別なソフトウェアと共に格納するマイクロ回路の交換が必要です。

ソフトウェアウイルスは、外部キャリア（フレキシブルディスク、CDなど）で取得された未確認のプログラムを実行するかインターネットから受信したときにコンピュータに到着します。 特別な注意を言葉に支払うべきです 始めるとき。 感染ファイルの通常のコピーでは、コンピュータは起こりません。 これに関して、インターネットから取られたすべてのデータが確認するために必要な必要があるはずです

安全性、そしてなじみのない源からの梱包可能なデータが得られた場合、それらは考慮せずに破壊されるべきです。 「Trojan」プログラムの配信の通常の受信 - 有用なプログラムを抽出して実行するための「推奨事項」を持つ電子メールへのアプリケーション。

ブートウイルス

ソフトウェアウイルスから、ローディングウイルスは分布方法が異なります。 それらはプログラムファイル、磁気媒体の特定のシステム領域（柔軟性とハードドライブ）の影響を受けません。 また、コンピュータでは、一時的にRAMに配置できます。

通常、感染はコンピュータが磁気キャリアからロードされたときに起こり、そのシステム領域はブートウイルスを含む。 たとえば、柔軟なディスクからコンピュータをダウンロードしようとすると、RAM内のウイルスの侵入が最初に、次にハードドライブのローディングセクターになります。 次に、このコンピュータ自体がブートウイルスの配布の原因となります。

マクロウイルス

この特定の様々なウイルスは、いくつかのアプリケーションプログラムで実行された文書を驚くべきものです。 いわゆる実行のための手段を持っている マクロサマンド 特に、そのような文書には、Microsoft Word Text Processor Documentsが含まれています（拡大があります）

doc）。 MacROSを実行する機能を無効にしない場合は、文書ファイルがプログラムウィンドウに開いていると感染が発生します。

他の種類のウイルスに関しては、攻撃の結果は比較的無害で破壊的であり得る。

コンピュータウイルスの主な種類

現在、5000を超えるソフトウェアウイルスが知られている、それらは以下の特徴に従って分類することができる（図1）。

・生息地。

・生息地感染の方法

・影響力;

・アルゴリズムの特徴。

d）

図1. コンピュータウイルスの分類：

a - 生息地について。 B - 感染の方法に従って。

インパクトの程度に応じて - G - アルゴリズムの特徴に従って。

に応じて 生息地環境 ウイルスは、ネットワーク、ファイル、起動、およびファイルの起動に分類できます。

ネットワークウイルス さまざまなコンピュータネットワークを介して配布する。

ファイルウイルス 主に実行可能モジュール、すなわち実装されている。 SOMとEXの拡張機能を持つファイルに。 ファイルウイルスは他の種類のファイルタイプに埋め込むことができますが、通常はそのようなファイルに記録され、それらはコントロールを受信することはありません。したがって、再現する能力を失います。

ブートウイルス ディスク（ブート）またはダウンロードプログラムを含むセクタのブートセクタに実装されている システムディスク （マスターブートレコード）

ファイルブートウイルス ディスクのファイルとブートセクタの両方に感染します。

感染の方法によると ウイルスは住民と非居住者に分けられます。

居住ウイルス コンピュータが感染しているとき、それはその常駐部分をRAMに残し、それは次にオペレーティングシステムの操作を感染の対象（ファイル、ブートセクタなど）に傍受し、それらに導入されます。 常駐ウイルスはメモリ内にあり、コンピュータのシャットダウンまたは再起動にアクティブになっています。

非居住ウイルス コンピュータメモリに感染しないでください。

衝撃の程度によると ウイルスは次の種類に分類することができます。

1. 危険な コンピュータの作業に干渉しないが、ディスク上の空きRAMおよびメモリの量が減少した場合、そのようなウイルスの動作は任意のグラフィックまたは効果音で現れます。

2. 危険な コンピュータ内のさまざまな障害につながる可能性があるウイルス。

3. すごく危ない そのような影響は、プログラムの損失、データ破壊、ディスクのシステム領域内の情報の消去につながる可能性があります。

3. ウイルスはどのように適用されますか？

まず第一に、柔軟なフロッピーディスクを通していくつかの方法があります。 コンピュータにウイルスを持っている友人からフロッピーディスクを受け取った場合、ディスケットは最も可能性が高いでしょう。 ここで2つのオプションが可能です。 最初のウイルスはディスクシステム領域にあり、2番目の感染ファイルがあります。 既に述べたように、ウイルスはコントロールを受信する必要があるので、これがシステムディスケットであれば、それからロードするとコンピュータに感染することができます。 これがシステムディスケットであり、それからコンピュータをダウンロードしてスクリーンに表示されたメッセージが表示された場合：以外のシステムディスク（非システムドライブ）に表示されます。その場合は、そこにあるディスケットでも、コンピュータに感染する可能性があります。オペレーティングシステムのブートローダであり、それがオンになったときに制御を行う。

2番目のオプションは感染ファイルです。 すべてのファイルを感染できるわけではありません。 たとえば、Norton Commander Editorを使用してレターテキストやその他の文書がある場合は、そこでウイルスはありません。 たとえ彼がそこに起こったとしても、同じエディタなどの助けを借りてファイルを見直した後、それは非常に破壊されたそのようなファイルの理解可能なシンボルの最初または終わりに見ることができます。 他の編集者は、ルールとして、サイズやフォントの種類や種類などの制御情報を含むファイルを作成します。ルールとして、そのようなファイルを介して感染することは事実上不可能です。 ただし、Wordバージョン6.0および7.0エディタは、送信されるマクロを含むマクロを含むことができ、したがって文書を介して配布することができます。

ウイルスを広げる方法は、CD - ROMディスクなどの他の媒体に転送され、これは非常にまれである。 それは、ライセンスされたソフトウェアを購入するとき、それがウイルスに感染することが判明したが、そのような場合は非常にまれであることが起こりました。

CD-ROMディスクの機能は、情報が記録されていないことです。 CDがROMディスクである場合、ウイルスが感染したコンピュータを訪問しましたが、それはそれに感染しません。 ただし、ウイルスに感染した情報がそれに記録されている場合、この場合、ウイルス対策プログラムはディスクをウイルスからクリーニングできません。

ウイルスを拡散させる最も頻繁な方法は、他のプログラムがゲームなどの書き換えられたときに、コンピュータのネットワーク、特にインターネットのネットワークです。 他のハードディスクが感染しているコンピュータに挿入されている場合は、他のものがあるかもしれません。 これを回避するには、システムディスケットから起動し、特別なウイルス対策プログラムを使用してハードドライブを確認するか、FDISKプログラムとフォーマットプログラムを使用してディスクを表示してフォーマットします。

4. コンピュータウイルスの検出

ウイルスを識別するために、ウイルスを検出して破壊するための特別なウイルス対策プログラムがあります。 ただし、ますます新しいものが現れるにつれて、すべてのウイルスを検出できるわけではありません。

ウイルス対策プログラムは医学と似ています、すなわち、それはいくつかのウイルスで選択的に行動し、他のものがありません。 したがって、アンチウイルスプログラムが毎日（週、月）コンピュータ上で起動された場合、それはウイルスを検出する100％の信頼を依然としてありません。

ウイルス対策プログラムのかなり広い選択があります。 これは、Windowsシステム、DSAVキットなどのためのDR Web、Web、Norton Antivirusです。 仕事の方法によって、それらは3つのタイプに分けられることができます：

1) 検出器 生産 走査 。 これは、シグニチャ検出（署名 - ウイルスプログラムのコード）の内容を確認するために、ファイルとブートレコードを表示することを示唆する最も簡単で最も一般的な形式です。 署名を見ることに加えて、ヒューリスティック分析方法を使用することができます。チェックコードの確認ウイルスの特定のコードを識別するために、検出器はPolyphagと呼ばれる検出ウイルスを削除します。 そのようなプログラムは発見的分析を行い、そして新しいウイルスを検出することができる。

2) 監査役 - プログラムは、ファイルのステータスとシステム領域を記憶し、チェックサムまたはファイルサイズをカウントします。

3) プログラム - フィルタ、 または 居住者の伝達 それは常にコンピュータのRAMにあり、起動されたファイルと挿入されたフロッピーディスクを分析します。 それらは、ブートセクタの変更、常駐プログラムの外観、ディスクへの書き込み機能などをユーザに知らせる。

4) ハードウェア保護 これは拡張コネクタに挿入され、監視が柔軟でハードディスクに魅力的なコントローラです。 たとえば、特定の部分を保護することができます ブートレコード以前の方法とは対照的に、実行可能ファイル、構成ファイルなどは、実行され、コンピュータが感染したときに行動することができます。

5）Inにインストールされたプログラムもあります BIOS コンピュータブートセクタに書き込もうとしたときに、メッセージが画面に表示されます。

5. ウイルスに対する予防策

防止のために必要なのに必要です：

1. データアーカイブを純粋にします 。 アーカイブは、リムーバブルメディア用のファイルの記録です。 ほとんどの場合、特別な装置（ストリーマ）で使用される柔軟なフロッピーまたは磁気リボンはそのような役割にあります。 たとえば、システムを再起動したりファイルを復元できるインストール・ディスケットがある場合は、Windowsファイルを記憶する必要はありません。 したがって、柔軟なディスクのみがコンピュータ上のリムーバブルデバイスからのものである場合は、復元が困難な情報を覚えておく必要があります。

アーカイブ 。 ルールとして、情報は1つのディスクには書き込まれません。 情報が1つのフロッピーディスクに配置され、コピーが週に1回行われます。 まず、8月4日に情報が記録され、次の11月11日、レコードは同じディレクトリから別のディスケットで行われます。 8月18日、8月25日、25日目、25目の最初のディスケットで再度録音が再び発生します。これについては、少なくとも2つのフロッピーディスクを持つ必要があります。 事実は、フロッピーディスクに記録するとき、障害が発生し、ほとんどの情報が失われる可能性があります。 ホームコンピュータでは、コピーする必要がある時期から、ユーザー自体がユーザーを決定します。

2.全部に 情報 他のコンピュータから派生した チェックしました ウイルス対策プログラム たとえばいくつかのファイルであることをすでに書き込まれていました グラフィック情報ウイルスによる感染の面では非常に安全です。 したがって、この種の情報だけがディスケットにある場合、この情報は危険ではありません。 ウイルスが見つかった場合は、フロッピーディスクを介して感染しているすべてのコンピュータをチェックする必要があります。 ハードディスクからだけでなく、ディスケット、ファイルのアーカイブからもウイルスを削除する必要があります。 コンピュータまたは情報のウイルス存在の疑いがある場合は、柔軟なディスクまたはインターネットシステムを使用してコンピュータに転送されます。 ウイルス対策プログラムをインストールします AUTOEXEC。 。 に at。 そのため、コンピュータの電源を入れると、作業が開始されました。

3. 不明なディスケットからダウンロードしないでください。 。 ハードディスクからロードするときは、ドライブAの中にあることを確認してください。またはIN：特に他のマシンからのフロッピーディスクはありません。

結論

パーソナルコンピュータの大規模な使用は、残念ながら、ディスクのファイル構造を破壊し、コンピュータに格納されている情報を損傷するコンピュータの通常の動作を妨げる自己再生ウイルスプログラムの出現に関連することが判明した。

コンピュータウイルス - コンピュータの作業を妨げる特定のアクションを実行するように設計された特別に作成されたプログラム。

1つのコンピュータに侵入すると、コンピュータウイルスは他のコンピュータに拡散することができます。

SI、Pascal、その他の言語に書かれたプログラムがあるが、ウイルスプログラムはアセンブラ言語では小さいサイズと高速な実行を持つように書かれています。 多くのウイルス - 住民はドライバで開発された原則、すなわち割り込みテーブルにウイルスプログラムのアドレスを設定し、ウイルスの終了後、従来のプログラムが管理されている、そのアドレスは予め割り込みにあったアドレスを管理しています。テーブル。 これは傍受管理と呼ばれます。

アセンブラ言語ダイアログでウイルスのソーステキストを作成できる新しいウイルスを作成するための自動化されたプログラムがあります。 パッケージを入力するときは、どの破壊的なアクションがウイルスを実行するかを指定できるオプションを設定できます。これは、マシンコードのテキストを暗号化するかどうか、ディスク上のファイルに影響を与えるかなど、どの程度かわいいかを指定できます。

ウイルスに必要な主なものはあなたの仕事を始めるために管理を得ることです。 ウイルスがすぐにそれに置かれたアクションを実行し始めた場合、それからコンピュータを識別して掃除するのが簡単です。 困難は、コンピュータがコンピュータ上に現れるときにすぐにウイルスが表示されない可能性があるという事実にありますが、 一定時間例えば、特定の日に。

現代の世界では、ウイルスを検出して破壊することを可能にする多くのウイルス対策プログラムがあります。 ただし、ますます新しいものが現れるにつれて、すべてのウイルスを検出できるわけではありません。

プログラムを与えないために - ウイルス対策プログラムを台無しにするウイルスは、システムディスクからコンピュータをダウンロードしてウイルス対策プログラムを実行することによってシステムディスケットからロードされるべきです。

遅いバージョンがより多くの種類のウイルスを検出できるため、ウイルス対策プログラムを常に更新します。 更新のために 最近のバージョン ウイルス対策プログラムはモデムを通して取得することができ、あなたはウイルス対策会社の専門家を呼び出すことができます。

参考文献

1. A. Kostov、V. Kostov。 大きな百科事典。 パーソナルコンピュータについて。 - M .: Martin、2003. - 720S。

2.情報学：チュートリアル。 - 第3回レクリエーション。 ed。 / ed。 N.マカロバ。 - M。：財政と統計、2005年 - 768 P：IL。

弁護士や経済学者のための情報学。 / S. V. Simonovichなどによって編集 - サンクトペテルブルク：サンクトペテルブルク、2001年 - 688 PL。

コンピュータウイルス

ファイルウイルス

ウイルスは3種類のファイルに埋め込むことができます。

コマンド（ワット）;

ダウンロード可能なドライバ（io.sys、msdos.sysなど）;

バイナリファイル（EXE、COM）を実行しました。

データファイルにウイルスを導入することは可能ですが、これらの場合はウイルスエラーの結果、またはウイルスが積極的なプロパティが発生したときに発生します。

SYSファイル内のウイルスの導入は次のとおりです。ウイルスはSYSファイルに埋め込まれており、ファイルの「Body」に属して、感染したアドレス戦略プログラム（戦略）と割り込み（割り込み）を変更します。ドライバ（プログラムの1つだけのアドレスを変更するウイルスがあります）。 感染したドライバを初期化するとき、ウイルスはオペレーティングシステムの対応する要求を傍受し、ドライバに送信し、それを応答を待つ、それを修正し、1つのメモリブロック内のドライバと一緒にRAMに残る。 そのようなウイルスは、早くDOSを早くロードするときにRAMに埋め込まれているので、非常に危険で活気のあるものにすることができます。 ウイルス対策プログラムもちろん、もちろん運転手でもあります。

感染したファイルドライバ：

ウイルスがそのタイトルを変更しているときにシステムドライバに感染している場合、感染ファイルが2つのファイルのチェーンとして感染したファイルを別の方法で感染させることも可能です。

感染したファイルドライバ：

同様に、ウイルスはそのコードをドライバの開始に記録することができ、ファイルに複数のドライバが含まれている場合は、ファイルの途中にあります。

COMフ\u200b\u200bァイルとEXEファイルのウイルスの導入は次のとおりです。バイナリファイルはCOMまたはEXEフォーマットを実行し、プログラム実行の見出しと方法が異なります。 ファイル名（COMまたはEXE）を拡張すると、必ずしも実際のファイル形式と一致しません。これはプログラムの操作には影響しません。 COMまたはEXEファイルはさまざまな方法で感染しているため、ウイルスは1つのフォーマットのファイルを他のフォーマットから区別する必要があります。

ウイルスは、このタスクを2つの方法で解決します。ファイル名拡張子、その他 - ファイルのヘッダーを分析します。 最初の方法は感染と呼ばれます。Com-（.exe-）ファイル、2番目の感染の方法：Com-（EXE）ファイル。 ほとんどの場合、ウイルスはファイルに正しく感染している、すなわち、そのボディに含まれる情報に従って、感染したファイルを完全に復元することができます。 しかし、ほとんどのプログラムのようなウイルスは、最初に一目で知覚できないエラーを含みます。 このため、完全に正しく書かれていても、敗北時にファイルを不可逆的に台無しにすることができます。 たとえば、ファイルの種類を区別するウイルス（.com-、.exe-）は、名前拡張が内部形式と一致しないファイルを破棄するため、非常に危険です。

ファイルウイルスは感染したファイルの本文に埋め込まれています。先頭、終了、または中央。 ファイルの中央にウイルスを実装するためのいくつかの可能性があります.EXEファイルアドレス設定テーブル（ "Boot-EXE"）、domain.comファイル領域（ "Lehigh"）にコピーすることができます、ファイルをプッシュできます。またはファイルの一部を終わりに書き換え、コードが空いている場所（「APRI L - 1-EXE」、「Phoenix」）などにあります。さらに、ファイルの途中でウイルスをコピーすることができます。ウイルスエラーの結果。 この場合、ファイルは不可逆的に台無しにすることができます。 ファイルの中央にウイルスを実装する方法もあります。たとえば、変換ウイルスはファイルのいくつかのセクションを圧縮する方法を適用します。

ファイルの先頭へのウイルスの導入は、3つの方法で発生する可能性があります。 最初の方法は、ウイルスが感染したファイルの先頭をその末尾に書き換えることであり、それ自体は空いている場所にコピーされます。 2番目のメソッドに感染したファイルの場合、ウイルスはRAMでコピーを作成し、汚染可能なファイルを追加し、結果として得られる連結をディスクに保持します。 3番目の方法に感染した場合、ウイルスはファイルの先頭にそのコードを記録し、ファイルの先頭の古い内容を保存しません。ファイルが機能しなくなり、復元されません。

ファイルの先頭へのウイルスの導入は、COMファイルが敗北したときに圧倒的多数で使用されます。 EXEファイルは、このメソッドに、またはウイルスエラーの結果、またはPascalウイルスアルゴリズムを使用する場合に感染しています。

ファイルの末尾へのウイルスの導入は最も一般的な感染の方法です。 同時に、ウイルスはファイルに含まれている最初のプログラム実行可能コマンドがウイルスコマンドであるようにファイルの開始を変更します。 COMフ\u200b\u200bァイルでは、これは、最初の3つのバイトをJMP Loc_virus命令コード（または一般的な場合は一般的な場合はウイルスボディに送信するプログラムコードに）を変更することによって実現されます。 EXEファイルはCOMファイル形式に変換されてから後者として感染し、ファイルヘッダーが変更されます（長さ、開始アドレス）。

標準感染の方法は、ウイルスがファイルの末尾に追加されているメソッドと呼ばれ、COMファイルから最初のバイトとEXEファイルヘッダーのいくつかのフィールドを変更します。

対照の転送後のウイルスは、以下のアルゴリズムに従って動作します。

元の形式でプログラム（ファイルではなく）を復元します。

常駐ウイルスの場合、コピーが見つからない場合は、そのコピーの存在についてRAMをチェックし、コンピュータのメモリに感染します。 ウイルスが常駐していない場合は、現在およびルートディレクトリ内の未登録のファイルをPathコマンドでマークされたディレクトリで探しています。論理ディスクディレクトリツリーをスキャンしてから、検出されたファイルに感染します。

それらがある場合、追加の機能：破壊的な行動、グラフィックまたは効果音の影響を実行します。

メインプログラムの管理を返します。

ブートウイルス

ウイルスの起動フロッピーディスクとブートセクタ、またはマスターブートレコードウィンチェスターのブートセクタに感染します。 ディスクに感染すると、ほとんどの場合ウイルスは元のブートセクタを他のディスクセクタに転送します。 ウイルスの長さがセクタの長さよりも大きい場合、ウイルスの最初の部分は汚染されたセクタに移動し、残りは他のセクタに配置されます。 その後、ウイルスは元のローダに格納されているシステム情報をコピーし、それらをブートセクタに書き込みます（MBRの場合、この情報は、ブートセクタFLOP-BIOSパラメータブロックのディスクパーティションテーブルです）。

ローディングウイルスのアルゴリズム

感染したディスクからロードするときにメモリの実装は実行される。 この場合、システムローダは、ダウンロードが行われたディスクの第1のセクタの内容を読み出し、読み出し情報をメモリに配置し、それに送信する（すなわちウイルス）制御を送信する。 その後、ウイルスの指示が開始され、それによって空きメモリの量が減少します。 ディスクから継続を読みます。 自分自身を他のメモリ領域に転送します。 必要な中断ベクトルを設定します。 追加の行動をとる。 元のブートセクタをメモリにコピーしてコントロールを転送します。

将来的には、ブートウイルスは常駐ファイルウィルスと同じように動作します。オペレーティングシステムへのアクセスをディスクに傍受し、それらを開始し、それが破壊的なアクションを生成するかオーディオまたはビデオ効果を引き起こすことによってそれらを開始します。