Антивирусные программы

     Вирусы  появились приблизительно 40 лет  назад. Именно тогда, в конце 60-х, когда о ПК можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. Необычны они были тем, что не выполняли распоряжения человека, как другие программы, а действовали сами по себе. Причем, своими действиями они сильно замедляли работу компьютера, но при этом ничего не портили и не размножались.

     Но  продлилось это недолго. Уже в 70-х  годах были зарегистрированы первые настоящие вирусы, способные к размножению и получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а компьютеры из семейства IBM-360/370 были заражены вирусом Christmas tree.

     К 80-м годам число активных вирусов измерялось уже сотнями. А появление и распространение ПК породило настоящую эпидемию – счет вирусов пошел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 г. – впервые его использовал в своем докладе на конференции по информационной безопасности сотрудник Лехайского университета США Ф. Коуэн.

     Первые  компьютерные вирусы были простыми и  неприхотливыми – от пользователей  не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и «шутками» («Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!»). Выявить такие вирусы было нетрудно – они «приклеивались» к исполняемым (*.com или *.exe)файлам, изменяя их оригинальные размеры.

     Позднее вирусы стали прятать свой программный  код так, что ни один антивирус  не мог его обнаружить. Такие вирусы назывались «невидимками» (stealth).

     В 90-е годы вирусы стали «мутировать» - постоянно изменять свой программный код, при этом пряча его в различных участках жесткого диска. Такие вирусы-мутанты стали называться «полиморфными».

     Весомый вклад в распространение вирусов  внесла сеть Internet. Впервые внимание общественности к проблеме Internet-вирусов было привлечено после появления знаменитого «червя Морриса» - относительно безобидного экспериментального вируса, в результате неосторожности его создателя распространившегося по всей мировой Сети. А к 1996-1998 гг. сеть Internet стала главным поставщиком вирусов. Возник даже целый класс Internet-вирусов, названных «троянскими». Эти программы не причиняли вреда компьютеру и хранящейся в нем информации, зато с легкостью могли «украсть» пароль и логин для доступа к Сети, а также другую секретную информацию.

     В 1995г., после появления операционной системы Windows 95, были зарегистрированы вирусы, работающие под Windows 95. Примерно через полгода были обнаружены вирусы, которые действовали на документах, подготовленных в популярных программах из комплекта Microsoft Office. После открытия зараженного файла вирус активировался и заражал все документы Microsoft Office. Первоначально макровирусы наносили вред только текстовым документам, позднее они стали уничтожать информацию.

     В течение 1998-1999 гг. мир потрясли несколько разрушительных вирусных атак: в результате деятельности вирусов Melissa, Win95.CIH и Chernobyl были выведены из строя около миллиона компьютеров во всех странах мира. Вирусы портили жесткий диск и уничтожали BIOS материнской платы. 

2.     Основные виды вирусов

     Большинство вирусов не выполняет каких-либо действий, кроме своего распространения (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов, придуманных автором вируса: игры, музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однако сознательной порчи информации эти вирусы не осуществляют. Такие вирусы условно называются неопасными. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузки каждые несколько минут не позволят полноценно работать на ПК).

     Однако  около трети всех видов вирусов портят данные на дисках – или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выполнения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям, то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (форматирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными.

  Некоторые виды вирусов требуют особого  отношения, поскольку стандартные методы лечения для них могут привести к потере информации (вирусы семейства DIR) или не излечивают от вируса (для вирусов семейства ЗАРАЗА).

  Вирусы  семейства DIR.

     В 1991 г. появились вирусы нового типа – вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут своё тело в некоторый участок диска (обычно – в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла или как дефектный участок. Для всех .COM- и .EXE-файлов указатели на первый участок файла, содержащиеся в соответствующих элементах каталога, заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки.

     Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностном просмотре зараженного диска на «чистом» компьютере также ничего странного не наблюдается. Лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск начинает казаться исправным (компьютер при этом становится зараженным).

     Особая  опасность вирусов семейства DIR состоит  в том, что повреждения файловой структуры, сделанные этими вирусами, надо исправлять только антивирусными программами.

  Вирусы  семейства ЗАРАЗА.

     Еще один необычный тип вирусов –  это вирусы, заражающие системный файл IO.SYS. Семейство этих вирусов обычно называется ЗАРАЗА, потому что первый такой вирус выводил сообщение «В BOOT СЕКТОРЕ – ЗАРАЗА!».

     Данные  вирусы являются файлово-загрузочными и используют рассогласование между механизмом начальной загрузки DOS и обычным механизмом работы с файлами. При начальной загрузке MS DOS проверяется, что имена двух первых элементов в корневом каталоге загрузочного диска – IO.SYS и MSDOS.SYS, но атрибуты этих элементов не проверяются. Если имена совпадают, то программа начальной загрузки считывает в память первый кластер элемента с именем IO.SYS и передает ему управление. Пользуясь этим несовершенством программы начальной загрузки, вирус ЗАРАЗА при заражении жестких дисков производит следующие действия :

• копирует содержимое файла IO.SYS в конец логического диска;
• сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога;
• копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS;
• записывает свое тело в место, где находится файл IO.SYS (как правило, в начало области данных логического диска);
• у первого элемента корневого каталога диска устанавливает признак «метка тома».

     В корневом каталоге появляются два элемента с именем IO.SYS, один из которых помечен атрибутом «метка тома». Но при начальной загрузке это не вызывает сбоев – программа начальной загрузки, проверив, что первые два элемента каталога имеют имена IO.SYS и MSDOS.SYS, загрузит кластер, указанный в первом элементе оглавления (на обычном диске – это начало файла IO.SYS, а на зараженном – код вируса), и передаст ему управление. Вирус загрузит себя в оперативную память, после чего загрузит начало исходного файла IO.SYS и передаст ему управление. Далее начальная загрузка идет, как обычно.

     Опасность вирусов семейства ЗАРАЗА состоит  в следующем: даже если загрузить компьютер с “чистой” системной дискеты и ввести команду SYS C:, вирус не будет удален с диска. Команда SYS, как и остальные программы DOS, проигнорирует указывающий на вирус первый элемент корневого каталога, посчитав его описанием метки. Перезаписан будет лишь «файл-дублер» IO.SYS, описанный в третьем элементе корневого каталога. Причем если программа SYS запишет файл IO.SYS в новое место на диске, то система перестанет загружаться с жесткого диска, т.к. вирус в своем теле хранит адрес начального сектора исходного файла IO.SYS. Поэтому обеззараживать диски, инфицированные вирусами семейства ЗАРАЗА, командой SYS не следует, это надо делать антивирусными программами. 

3.     Методы маскировки  вирусов

     Чтобы предотвратить свое обнаружение, многие вирусы применяют «хитрые» приемы маскировки.

     Многие  резидентные вирусы предотвращают  свое обнаружение тем, что перехватывают  обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth вирусами. Эффект «невидимости» наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS.

     Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов никаких подозрительных текстовых строк пользователь не увидит.

     Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения - модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами – в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися                                . 

4.     Способы защиты от вируса

     При активизации зараженного вирусом  файла управление сразу передается на вирус, который выполняет свои разрушительные действия, а также параллельно приписывается к другим программам и файлам. Затем технологически происходит возврат к тем действиям, которые выполнялись на компьютере. При высоком быстродействии компьютера подобное «отвлечение» от регламентированного хода работ для пользователя остается абсолютно незамеченным. Нанесенный ущерб может обнаружиться не сразу. Внешние проявления присутствия вируса в компьютере могут быть самыми различными, например:

• мерцание экрана;
• появление на экране непредусмотренного сообщения;
• непредусмотренное требование снять защиту записи с дискеты;
• изменение даты и времени создания зараженных файлов;
• зависание компьютера и невозможность преодолеть эту проблему;
• опадание букв на экране (иногда с музыкальным сопровождением);
• исчезновение некоторых программных файлов по пятницам, приходящихся на 13-е число месяца;
• необычное аварийное завершение работы;
• уничтожение информационных файлов или их частичное разрушение;
• замедление работы компьютера;
• блокирование ввода с клавиатуры;
• звучание музыки;
• поворот символов на экране;
• блокировка записи на жесткий диск;
• другие виды необычного «поведения» компьютера.

     Особенно  опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с  быстрой потерей всей хранящейся там информации. Поскольку от проникновения  вируса не застрахован ни один пользователь, то можно сократить до минимума возможные последствия от присутствия в компьютере вируса. Для этого необходимо соблюдать следующие правила:

1. Каждый свой диск, если он «побывал» на другом компьютере, следует обязательно проверить любой доступной антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» диск. Особенно это касается игровых программ, т.к. большинство вирусов распространяется именно через них.
2. Аналогичные проверки необходимо устраивать для файлов, полученных через сеть интернет.
3. Антивирусная программа очень быстро морально стареет. Поэтому рекомендуется ее периодически обновлять новой версией. Период обновления программ такого рода составляет от одной недели до одного квартала.
4. Не снимать защиту записи с диска в ходе повседневных работ, если это не предусмотрено технологией решения задач.
5. При обнаружении вируса не предпринимать необдуманных действий, т.к. это может привести к потере той информации, которую еще можно было бы спасти. Самое правильное в такой ситуации – это выключить компьютер, чтобы блокировать деятельность вируса. Затем загрузить компьютер с эталонного диска операционной системой. После этого запустить антивирусную программу, в функциях которой предусмотрено не только обнаружение инфицированных файлов, но и их лечение. Далее выполнить антивирусную программу повторно. Если все операции по удалению вируса были сделаны правильно, то результатом ее работы должно быть информирование пользователя о полном отсутствии вирусов. Но следует помнить, что программа не должна быть морально устаревшей.