Жиглов М.Н. ЮСП-104
КОМПЬЮТЕРНЫЕ ВИРУСЫ - КОМПЬЮТЕРНЫЕ ВИРУСЫ - это программы, которые могут «размножаться» и скрытно внедрять свои копии: в файлы, в загрузочные секторы дисков, в документы.
По величине вредных воздействий вирусы можно разделить на: неопасные, действие которых приводит к: уменьшению свободной памяти на диске, графическим и звуковым эффектам; опасные, действие которых приводит к: сбоям и зависанию компьютера; очень опасные, действие которых приводит к: потере программ и данных (изменению или удалению файлов и каталогов) форматированию винчестера и т.д.
По «среде обитания» вирусы можно разделить на: файловые - внедряются в исполнимые файлы (не заражают файлы со звуком и изображением); загрузочные - записывают себя в загрузочный сектор диска; макровирусы - заражают файлы документов Word и электронных таблиц Excel; сетевые - Интернет-черви (передаются в почтовых сообщениях) и скрипт-вирусы (передаются через программы на языках JavaScript, VBScript).
Что такое антивирус? Среди набора программ, используемого большинством пользователей персональных компьютеров каждый день, антивирусные программы традиционно занимают особое место. Эти "лекарства" компьютерного мира для программ и данных в реальном мире можно сравнить, пожалуй, либо с аспирином, либо с контрацептивом. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.
АНТИВИРУСНЫЕ ПРОГРАММЫ АНТИВИРУСНЫЕ ПРОГРАММЫ Полифаги (Kaspersky Anti-Virus, Dr.Web): проверяют файлы, загрузочные секторы дисков и оперативную память и ищут известные и новые (неизвестные полифагу) вирусы; могут обеспечивать проверку файлов в процессе их загрузки в оперативную память (мониторы) Ревизоры (ADinf): подсчитывают контрольные суммы для файлов на диске и хранят их в базе данных ; Блокировщики (в BIOS компьютера): перехватывают «вирусы опасные» ситуации и сообщают об этом пользователю;
Антивирусы на SIM, флэш-картах и USB устройствах Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства. Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне. Антивирусные программы на SIM с антивирусом, встроенном в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIM и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами.
Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе. Антивирусная база - база данных, в которой хранятся сигнатуры вирусов. Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен. С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.
Режимы работы антивирусов Помимо используемых технологий, антивирусы отличаются друг от друга условиями эксплуатации. Уже из анализа задач можно сделать вывод о том, что препятствование проникновению вредоносного кода должно осуществляться непрерывно, тогда как обнаружение вредоносного кода в существующей системе - скорее разовое мероприятие. Следовательно, средства, решающие эти две задачи должны функционировать по-разному. Таким образом, антивирусы можно разделить на две большие категории: Предназначенные для непрерывной работы - к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернет, другие средства, сканирующие потоки данных Предназначенные для периодического запуска - различного рода средства проверки по запросу, предназначенные для однократного сканирования определенных объектов. К таким средствам можно отнести сканер по требованию файловой системы в антивирусном комплексе для рабочей станции, сканер по требованию почтовых ящиков и общих папок в антивирусном комплексе для почтовой системы (в частности, для Microsoft Exchange)
Методы для борьбы Для антивирусных программ характерно использование двух методов для борьбы с вредоносными программами: проверка (сканирование) файлов на наличие известных вирусов, сопоставляя определения со словарем вирусов определение подозрительной работы любой компьютерной программы, которая может говорить о заражении. Такой анализ может включать сбор данных, сканирование порта и другие методы. Большинство коммерческих антивирусных программ используют обе эти технологии, но делая при этом акцент на методе сопоставления со словарем вирусов.
В методе сопоставления со словарем, антивирусная программа проверяет файл и ссылается на словарь известных вирусов, которые определили разработчики этой антивирусной программы. Если часть кода в файле совпадает с каким-либо вирусом в словаре, антивирусная программа предпринимает следующие действия: пытается вылечить файл, удаляя из него вирус заносит файл в карантин (в этом случае файл становится недоступным для других программ, а вирус, находящийся в нем, не может распространяться). удаляет зараженный файл
Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в словарь вирусов нужно периодически загружать (обычно, через Интернет) обновленные данные. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а они затем добавят информацию о новых вирусах в свой словарь. Для антивирусных программ со словарем характерна проверка файлов в тот момент, когда операционная система создает, открывает, закрывает или посылает их по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. Заметьте, также, что системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жестком диске компьютера.