Вирусы и антивирусы

Вирус. 

     Компьютерный  вирус - это специально написанная небольшая  по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять  различные нежелательные  действия на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов (FAT) на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

     Многие  разновидности вирусов  устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере.

     Все действия вируса могут  выполняться очень  быстро и без выдачи каких либо сообщений, по этому пользователю очень трудно, практически невозможно, определить, что в компьютере происходит что-то необычное.

     Пока  на компьютере заражено относительно мало программ, наличие вируса может  быть практически  незаметным. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:

• некоторые программы перестают работать или начинают работать неправильно;
• на экран выводятся посторонние сообщения, символы и т.д.;
• работа на компьютере существенно замедляется;
• некоторые файлы оказываются испорченными и т.д.

     К этому моменту, как  правило, уже достаточно много (или даже большинство) тех программ, с  которыми вы работаете, являются зараженными  вирусом, а некоторые  файлы и диски  — испорченными. Более того, зараженные программы с Вашего компьютера могли быть уже перенесены с помощью дискет или локальной сети на компьютеры ваших коллег и друзей.

     Некоторые вирусы ведут себя очень коварно. Они  вначале незаметно  заражают большое  число программ и  дисков, а затем  наносят очень  серьезные повреждения, например, форматируют весь жесткий диск на компьютере, естественно после этого восстановить данные бывает просто невозможно. А бывают вирусы, которые ведут себя очень скрытно, и портят понемногу данные на жестком диске или сдвигают таблицу размещения файлов (FAT).

     Таким образом, если не принимать  мер по защите от вируса, то последствия  заражения могут  быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом  Моррисом, были заражены и выведены из строя  тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.

     Для того, чтобы программа-вирус была незаметной, она должна иметь небольшие размеры. По этому вирусы пишут обычно на низкоуровневых языках Ассемблер или низкоуровневыми командами языка СИ.

     Вирусы  пишутся опытными программистами или  студентами просто из любопытства или  для отместки кому-либо или предприятию, которое обошлось с ними недостойным образом или в коммерческих целях или в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан.

     Следует заметить, что написание  вируса — не такая  уж сложная задача, вполне доступная  изучающему программирование студенту. Поэтому  еженедельно в  мире появляются все  новые и новые  вирусы. И многие из них сделаны в нашей стране. Сегодня науке известно около 30 тысяч компьютерных вирусов. Как и обычным вирусам, вирусам компьютерным для «размножения» нужен «носитель» - здоровая программа или документ, в которых они прячут участки своего программного кода. Сам вирус невелик, его размер редко измеряется килобайтами. Однако натворить эта «кроха» может немало. В тот момент, когда пользователь, ничего не подозревая, запускает на своем компьютере зараженную программу или открывает документ, вирус активизируется и заставляет компьютер следовать его, вируса, инструкциям. Это приводит к удалению какой-либо информации, причем чаще всего – безвозвратно. Кроме этого современные вирусы могут испортить не только программы, но и «железо». Например, уничтожают содержимое BIOS материнской платы или повреждают жесткий диск.

    Вирусы  появились приблизительно 30 лет назад. Именно тогда, в конце 60-х, когда о ПК можно  было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся  в крупных исследовательских центрах США, обнаружились очень необычные программы. Необычны они были тем, что  не выполняли распоряжения человека, как другие программы, а действовали сами по себе. Причем, своими действиями они сильно замедляли работу компьютера, но при этом ничего не портили и не размножались.

     Но  продлилось это недолго. Уже в 70-х годах  были зарегистрированы первые настоящие  вирусы, способные  к размножению  и получившие собственные  имена: большой компьютер  Univac 1108 «заболел» вирусом Pervading Animal, а компьютеры из семейства IBM-360/370 были заражены вирусом Christmas tree.

     К  80-м  годам  число  активных  вирусов  измерялось  уже  сотнями. А  появление  и  распространение  ПК  породило  настоящую  эпидемию – счет  вирусов  пошел  на  тысячи. Правда, термин  «компьютерный  вирус»  появился  только  в  1984 г. – впервые  его  использовал  в  своем  докладе  на  конференции  по  информационной  безопасности  сотрудник  Лехайского  университета  США  Ф.  Коуэн.

     Первые  компьютерные вирусы были простыми и неприхотливыми – от пользователей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и «шутками» («Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!»). Выявить такие вирусы было нетрудно – они «приклеивались» к исполняемым (*.com или *.exe)файлам, изменяя их оригинальные размеры.

     Позднее вирусы стали прятать  свой программный  код так, что ни один антивирус не мог его обнаружить. Такие вирусы назывались «невидимками» (stealth).

     В 90-е годы вирусы стали  «мутировать» - постоянно  изменять свой программный  код, при этом пряча  его в различных  участках жесткого диска. Такие вирусы-мутанты  стали называться «полиморфными».

1. Какие бывают вирусы.

     Компьютерные  вирусы отличаются друг от друга по тому, в какие объекты  они внедряются, то есть что они заражают. Некоторые вирусы могут заражать сразу  несколько видов  объектов.

     Большинство вирусов распространяются, заражая исполнимые файлы, т.е. файлы с расширением имени .COM и .EXE, а также различные вспомогательные файлы, загружаемые при выполнении других программ. Такие вирусы называются файловыми. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится.

     Еще один распространенный вид вирусов внедряется в начальный сектор дискет или логических дисков, где находится  загрузчик операционной системы, или в  начальный сектор жестких дисков, где  находится таблица разбиения жесткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются загрузочными, или бутовыми (от слова boot – загрузчик). Эти вирусы начинают свою работу при загрузке компьютера с зараженного диска. Загрузочные вирусы являются резидентными и заражают вставляемые в компьютер дискеты. Встречаются загрузочные вирусы, заражающие также и файлы – файлово-загрузочные вирусы.

     Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICE или DEVICEHIGH файла CONFIG.SYS. Вирус, находящийся в драйвере, начинает свою работу при загрузке данного драйвера из файла CONFIG.SYS при начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или сектора дискет, поскольку иначе им не удавалось бы распространяться – ведь драйверы очень редко переписывают с одного компьютера на другой.

    Очень редко встречаются  вирусы, заражающие системные файлы  DOS (IO.SYS или MSDOS.SYS). Эти вирусы активизируются при загрузке компьютера. Обычно такие вирусы заражают также загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться.

     Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно эти вирусы формируют с помощью команд командного файла исполнимый файл на диске, запускают этот файл, он выполняет размножение вируса, после чего данный файл стирается. Вирус в зараженных командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл AUTOEXE.BAT.

     Долгое  время заражение  вирусами файлов документов считалось невозможным, так как документы  не содержали исполнимых программ. Однако программисты фирмы Microsoft встроили в документы Word для Windows мощный язык макрокоманд WordBasic. На этом WordBasic стало возможно писать вирусы. Запуск вируса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован.

     Возможно  заражение и других объектов, содержащих программы в какой-либо форме – текстов  программ, электронных  таблиц и т.д. Например, вирус AsmVirus.238 заражает файлы программ на языке ассемблера (.ASM-файлы), вставляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно.

     Электронные таблицы содержат макрокоманды, в том  числе и макрокоманды, автоматически выполняющиеся  при открытии таблицы. Поэтому для них  могут быть созданы  вирусы, аналогичные  вирусам для документов Word для Windows. Пока что такие вирусы были созданы для таблиц табличного процессора Excel.

     Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, заражены вирусом быть не могут. Не содержащие программ объекты вирус  может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых редакторов документов типа ЛЕКСИКОНА или Multi-Edit, информационные файлы баз данных и т.д. 

Двадцатка наиболее распространенных вредоносных программ:

табл. 1

*не  вошедшие в 20 наиболее  распространенных

рис. 2  
 
 

Большинство вирусов не выполняет  каких-либо действий, кроме своего распространения (заражения  других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений  или иных эффектов, придуманных автором  вируса: игры, музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однако сознательной порчи информации эти вирусы не осуществляют. Такие вирусы условно называются неопасными. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузки каждые несколько минут вообще не дадут вам работать).

Однако  около трети всех видов портят данные на дисках – или  сознательно, или  из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выполнения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям, то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (форматирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными.

    Вирусы можно делить на классы по разным признакам. Вот, например, по признаку вероломности: 

• вирусы, моментально поражающие компьютер, форматируют  жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash-ПЗУ (где находится BIOS) компьютера (вирус "Чернобыль"), другими словами, как можно быстрее наносят непоправимый урон компьютеру. Сюда же можно отнести и результаты обид программистов, пишущих вирусы, на антивирусные программы. Имеются в виду так называемые аллергии на определенные антивирусные программы. Эти вирусы достаточно вероломны. Вот, например, аллергия на Dr.Weber при вызове этой программы, не долго думая, блокирует антивирус, портит все, что находится в директории с антивирусом и C:\WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами.
• вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя, свое присутствие и производят подмену стартовых областей программ на ссылки к месту, где расположено тело вируса. Кроме этого они производят незаметное для пользователя изменение структуры диска, что даст о себе знать, только когда некоторые данные уже будут безнадежно утеряны (например, вирус "OneHalf-3544","Yankey-2C").

По  признаку способов передачи и размножения  тоже можно провести разделение.

Раньше  вирусы в основном поражали только исполняемые файлы (с расширениями .com и .exe). Действительно, ведь вирус это программа и она должна выполняться.

Теперь  вирусы отправляют электронной  почтой как демонстрационные программки или как  картинки, например, если по электронной  почте пришел файл "PicturesForYou.jpg", не спешите его смотреть, тем более что он пришел неизвестно откуда. Если посмотреть на название повнимательнее, то окажется, что оно имеет еще 42 пробела и действительное расширение .exe. То есть реально полное имя файла будет таким:

"PicturesForYou.jpg .exe". Теперь любому понятно, что на самом деле несет в себе эта картинка. Это не файл рисунка, который при активизации вызывает просмотрщик рисунков, а наглый чуточку завуалированный вирус, который только и ждет когда его активизируют щелчком мыши или нажатием клавиши . Такой вирус вы сами загружаете себе на компьютер, под оболочкой какой-нибудь картинки, как "Троянского коня". Отсюда и жаргонное название таких вирусов как "Трояны".

На  данный момент существуют такие оболочки информационных каналов как Internet Explorer, Outlook Express, Microsoft Office. Сейчас появились немногочисленные классы так называемых "Макро-вирусов". Они содержат скрытые команды для данных оболочек, которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате: .html, .htm - для Internet Explorer, .doc, .xls, .xlw, .txt, .prt, или любой другой - для Microsoft Office и т. д.. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но все же этот вид вирусов заслуживает внимания, ведь с помощью скрытых гиперссылок он способен самостоятельно загрузить из Интернета на ваш компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов. Вот, например, одним из японских студентов разработан именно такой вирус, который подключает небольшой "загрузчик" к любому формату входных данных из Интернета. Далее этот загрузчик самостоятельно скачивает из Интернета с сервера с IP-адресом Babilon5 тела вируса. Этих тел четыре. Каждая из них способна самостоятельно разрушать ваш компьютер, но имеет определенное назначение. Этот вирус по типу является гибридом между макро-вирусами и обычными вирусами. Но надо отметить, что именно гибриды являются наиболее живучими, хитрыми, опасными и многочисленными среди вирусов. Совсем недавно нашумел скандал о программисте, который, как утверждают эксперты, создал и начал распространение макро-вируса, заражавшего текстовые файлы для Microsoft Word. Его вычислили по дате и времени создания исходного документа, которое хранится в невидимых частях .doc файлов. Возможно, что файл был создан другим человеком до того, как к нему был приделан вирус, тогда вопрос о злоумышленнике остается открытым. Но эксперты утверждают, что это именно он.

Например, вирус Win32.HLLM.Klez. один из разновидностей опасного сетевого червя распространяется путем рассылки своих копий по электронной почте. Кроме того, этот червь может распространяться  по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи.  Попадая в систему, червь рассылает себя по адресам, найденным в адресной книге Windows, в базе данных ICQ и в локальных файлах. Зараженные письма, рассылаемые данным червем, используют одну из сравнительно давно известных ошибок в системе безопасности Internet Explorer, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запуститься при простом просмотре почты в программах Outlook и Outlook Express.

Попробуем рассмотреть способы  маскировок и защит, применяемых вирусами против нас рядовых  пользователей и  антивирусных программ.

Вероломность- это основной и  самый быстрый  способ сделать пакость  до обнаружения. Вирус "Чернобыль", например, полностью стирает BIOS (стартовую программу, расположенную в микросхеме ПЗУ, обеспечивающую работу компьютера). После такого компьютер вообще ничего не сможет выдать на экран. Но его работа легко блокируется, если внутри компьютера установлен переключатель, запрещающий писать в область ПЗУ. По этому это был первый, но и, как я думаю, последний представитель аппаратных вирусов.

Регенеративные  вирусы делят свое тело на несколько  частей и сохраняют  их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа - антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.

Хитрые  вирусы прячутся не только от нас, но и  от антивирусных программ. Эти "хамелеоны" изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как "Dr.Weber", способны с помощью так называемого эвристического анализа обнаруживать и обезвреживать и подобные вирусы.

"Невидимые"  вирусы чтобы предотвратить свое обнаружение применяют так называемый метод "Stelth". Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере — на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы могут обнаруживать вирусы - "невидимки" даже на зараженных компьютерах.

Сетевой червь «Randon» появился в марте 2003 года. Распространятся по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows2000 и Windows XP. Для проникновения  на компьютер он подключается к локальной сети или IRC-серверу, сканирует находящийся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы «Random»  пересылает на нее троянскую программу «Apher», которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя. После этого «Randon» устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл. Для сокрытия присутствия в памяти использует специальную утилиту «HideWindows», которая также является  компонентом червя.  Благодаря ей он оказывается невидимым для пользователя, так что активный процесс «Randon» можно обнаруживать только в диспетчере  задач Windows. Его побочные эффекты – создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов. 

1.1.2 Методы маскировки  вирусов. 

     Чтобы предотвратить свое обнаружение, многие вирусы применяют  довольно хитрые приемы маскировки.

     Многие  резидентные вирусы предотвращают свое обнаружение тем, что перехватывают  обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Примером таких программ могут послужить Adinf фирмы «Диалог-Наука», Norton AntiVirus и др.

    Вирусы  часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов никаких подозрительных текстовых строк пользователь не увидит.

     Еще один способ, применяемый  вирусами для того, чтобы укрыться от обнаружения -  модификация  своего тела. Это  затрудняет нахождение таких вирусов  программами-детекторами  – в теле таких  вирусов не имеется  ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися. Имеются программы-детекторы, способные обнаруживать полиморфные вирусы, например, Dr.Web фирмы «Диалог-Наука». 

3. Как уберечься от вирусов.

  При активизации зараженного вирусом файла управление сразу передается на вирус, который выполняет свои разрушительные действия, а также параллельно приписывается к другим программам и файлам. Затем технологически происходит возврат к тем действиям, которые выполнялись на компьютере. При высоком быстродействии компьютера подобное «отвлечение» от регламентированного хода работ для пользователя остается абсолютно незамеченным. Нанесенный ущерб может обнаружиться не сразу. Внешние проявления присутствия вируса в компьютере могут быть самыми различными, например:

• мерцание экрана;
• появление на экране непредусмотренного сообщения;
• непредусмотренное требование снять защиту записи с дискеты;
• изменение даты и времени создания зараженных файлов;
• зависание компьютера и невозможность преодолеть эту проблему;
• опадание букв на экране (иногда с музыкальным сопровождением);
• исчезновение некоторых программных файлов по пятницам, приходящихся на 13-е число месяца;
• необычное аварийное завершение работы;
• уничтожение информационных файлов или их частичное разрушение;
• замедление работы компьютера;
• блокирование ввода с клавиатуры;
• звучание музыки;
• поворот символов на экране;
• блокировка записи на жесткий диск;
• другие виды необычного «поведения» компьютера.

     Особенно  опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с быстрой потерей всей хранящейся там информации. Поскольку от проникновения вируса не застрахован ни один пользователь, то можно, по крайней мере, сократить до минимума возможные последствия от присутствия в компьютере вируса. Для этого необходимо соблюдать несколько простых правил:

1. Каждую свою дискету, если она «побывала» на другом компьютере, следует обязательно проверить любой доступной антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» дискету. Особенно это касается игровых программ, т.к. большинство вирусов распространяется именно через них.
2. Аналогичные проверки необходимо устраивать для файлов, полученных через сеть.
3. Антивирусная программа очень быстро морально стареет. Поэтому рекомендуется ее периодически обновлять новой версией. Период обновления программ такого рода составляет от одной недели до одного квартала.
4. Не снимать защиту записи с дискеты в ходе повседневных работ, если это не предусмотрено технологией решения задач.
5. При обнаружении вируса не предпринимать необдуманных действий, т.к. это может привести к потере той информации, которую еще можно было бы спасти. Самое правильное в такой ситуации – это выключить компьютер, чтобы блокировать деятельность вируса. Затем загрузить компьютер с эталонной дискеты операционной системой. После этого запустить антивирусную программу, в функциях которой предусмотрено не только обнаружение инфицированных файлов, но и их лечение. Далее выполнить антивирусную программу повторно. Если все операции по удалению вируса были сделаны правильно, то результатом ее работы должно быть информирование пользователя о полном отсутствии вирусов. Но следует помнить, что программа не должна быть морально устаревшей.

    В последнее время  при работе в сетях, особенно при пользовании  электронной почтой, участилось проникновение  вирусов в компьютер  пользователя посредством  чтения почтовых сообщений. Поэтому здесь  также следует  соблюдать несколько  простых правил:

1. Не открывать прикрепленные к письму файлы, кроме случая, когда есть предварительная договоренность с отправителем об их отправке.
2. Не открывать прикрепленные к письму файлы, пришедшие от антивирусных лабораторий, компании Microsoft и прочих. Компании никогда не занимаются рассылкой файлов.
3. Не открывать прикрепленные к письму файлы, если тема письма и само письмо пустые.
4. Удалять все подозрительные письма.
5. При длительном отсутствии следует прервать подписку на различные электронные рассылки.

Профилактика  против заражения  вирусом.

     Рассмотрим  некоторые меры, которые  позволяют уменьшить  вероятность заражения  компьютера вирусом, а также свести к минимуму ущерб  от заражения вирусом, если оно все-таки произойдет.

     1. Неплохо бы иметь  и при необходимости обновлять архивные и эталонные копии используемых  пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.

     2. Целесообразно так  же скопировать  на дискеты служебную  информацию вашего  диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.

     3. Следует устанавливать  защиту от записи  на архивных дискетах.

     4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.

     5. Все данные, поступающие  извне, стоит проверять  на вирусы, особенно  файлы, "скачанные"  из Интернета.

     6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.

     7. На время обычной  работы, не связанной  с восстановлением  компьютера, стоит  отключить загрузку  с дискеты. Это  предотвратит заражение  загрузочным вирусом.

     8. Используйте программы  - фильтры для раннего обнаружения вирусов.

     9. Периодически проверяйте  диск программами  -детекторами или  докторами - детекторами  или ревизорами  для обнаружения  возможных провалов  в обороне.

     10. Обновляйте базу  антивирусных программ.

     11. Не допускайте  к компьютеру сомнительных пользователей. 
 

2. Антивирус.

На  каждую программу (вирус) существует также  антипрограмма (антивирус). Антивирус уничтожает вирус или предотвращает  его появление  в системе. 

1.2.1 Классификация антивирусных  программ.  

                Классификация антивирусных программ.

     Данные  программы можно  классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора  и вакцинаторы.

      Антивирусы-фильтры - это резидентные  программы, которые  оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

      Наибольшее  распространение  в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

      Ревизоры  – это программы, которые анализируют  текущее состояние  файлов и системных  областей диска и  сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

      К последней группе относятся самые  неэффективные антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

    AIDSTEST

      В нашей стране, как  уже было сказано  выше, особую популярность приобрели антивирусные программы, совмещающие  в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. Эта программа была изобретена ее в 1988 г. и с тех пор она постоянно совершенствуется и пополняется. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версий обнаруживает более 1500 вирусов.

      Программа Aidstest предназначена  для исправления  программ, зараженных обычными (неполиморфными) вирусами, не меняющими  свой код. Это ограничение  вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

      Aidstest для своего нормального  функционирования  требует, чтобы  в памяти не  было резидентных  антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

      При запуске Aidstest проверяет  оперативную память на наличие известных  ему вирусов и  обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.

      Aidstest тестирует свое  тело на наличие  известных вирусов,  а также по искажениям  в своем коде  судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.

      Недостатки  программы Aidstest:

• Не распознает полиморфные вирусы;
• Не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы;
• Не умеет проверять и лечить файлы в архивах;
• Не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа EXEPACK, DIET, PKLITE и т.д.

      Достоинства Aidstest:

• Легка в использовании;
• Работает очень быстро;
• Распознает значительную часть вирусов;
• Хорошо интегрирована с программой-ревизором Adinf;
• Работает практически на любом компьютере.

    DOCTOR WEB

    В последнее время  стремительно растет популярность другой антивирусной программы - Doctor Web, которую предлагает  фирма «Диалог-Наука». Эта программа  была создана в 1994 г. И. А. Даниловым. Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк".

      Управление  режимами также как  и в Aidtest осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Как и Aidstest, Doctor Web может создавать отчет о работе, загружать знакогенератор Кириллицы, поддерживать работу с программно-аппаратным комплексом Sheriff.

      Тестирование  винчестера Dr.Web-ом занимает намного больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.

    Так же как и в случае с Aidstest при начальном  тестировании не стоит  разрешать программе  лечить файлы, в которых  она обнаружит  вирус, так как  нельзя исключить, что  последовательность байт, принятая в  антивирусе за шаблон может встретиться в здоровой программе.

    В отличие от Aidstest, программа Dr.Web:

• распознает полиморфные вирусы;
• снабжена эвристическим анализатором;
• умеет проверять и лечить файлы в архивах;
• позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.

    Фирма «Диалог-Наука» предлагает разные версии программы  DrWeb для DOS. Как известно, имеются две версии для DOS, которые традиционно называются 16-разрядной и 32-разрядной (последняя также называется Doctor Web для DOS/386, DrWeb386). В этих названиях (16- и 32-разрядная) полностью отражена суть различия версий для DOS, однако непосредственно из названий она очевидна лишь специалистам. Лишь 32-разрядная версия обладает всеми функциональными возможностями, присущими другим современным версиям Doctor Web (в частности, версиям для Windows).

    16-разрядная  версия, в силу  ограничений по  объему доступной  памяти, накладываемых  операционной системой, не обладает некоторыми  крайне важными  на сегодняшний  день "умениями", в частности, в  нее не включены (и в силу указанных ограничений по памяти, не могут быть включены):

• модули "обслуживания" известных вирусов современных типов (в частности, речь идет о макро- и стелс-вирусах);
• модули эвристического анализатора для обнаружения неизвестных вирусов современных типов;
• модули распаковки современных типов архивов и упакованных Windows-программ и проч.

    Таким образом, хотя 16-разрядная  версия использует ту же вирусную базу (VDB-файлы), что и 32-разрядные  версии, отсутствие в ней некоторых  модулей делает обработку соответствующих вирусов невозможной.

    Кроме того, в силу тех  же причин, 16-разрядная  версия не поддерживает некоторые современные  программные и  аппаратно-технические  средства, что может  сделать ее работу неустойчивой или  некорректной.

    Поскольку 32-разрядная версия является полнофункциональной и, как видно из другого ее названия - Doctor Web для DOS/386, может использоваться при работе в DOS на компьютерах с процессором не ниже 386, всем пользователям, нуждающимся в версии Doctor Web для DOS, лучше использовать именно ее.

    Что же касается 16-разрядной  версии, то она продолжает выпускаться, поскольку  еще существует парк старых машин на платформе 86/286, где 32-разрядная версия работать не может.

    AVSP

      (Anti-Virus Software Protection)

      Интересным  программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).

      При запуске AVSP появляется система окон с  меню и информация о состоянии программы. Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и "Полуосей"(OS/2) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.

      В состав пакета AVSP входит также резидентный драйвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы.

      Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов, правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом "старые" вирусы как бы оттесняются в середину "молодым") то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное.

      При автоматическом определении  новых вирусов AVSP может допустить  множество ошибок. Так что при  автоматическом определении шаблона следует не полениться проверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровых программах.

      Если  в процессе AVSP обнаружит  известный вирус, то следует предпринять  те же действия, как  и при работе с  Aidstest и Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы.

      Ещё одной полезной функцией является встроенный дизассемблер. С его помощью можно разобраться, есть ли в файле вирус или при проверке диска произошло ложное срабатывание AVSP. Кроме того, можно попытаться выяснить способ заражения, принцип действия вируса, а также место, куда он "спрятал" замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить испорченные файлы. Ещё одна полезная функция - выдача наглядной карты изменений. Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.

      В программе AVSP есть два  алгоритма нейтрализации  стелс-вирусов ("невидимок") и оба они работают только при наличии  активного вируса в памяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируются в файлы данных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. В Adinf процесс удаления Stealth-ов реализован гораздо проще.

      Программа AVSP контролирует также  и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так  поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.

    Microsoft Antivirus

     В состав современных  версий MS-DOS (например, 6.22) входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора. MSAV имеет интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь.  Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.

      При запуске программа  загружает собственный  знакогенератор и  читает дерево каталогов  текущего диска, после  чего выходит в  главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске: ведь пользователь может и не захотеть проверять текущий диск.

      При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop)..

      В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением VIR.

      Находясь  в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.

    ADINF

      (Advanced Diskinfoscope)

      ADinf относится к классу  программ-ревизоров.  Эта программа  была создана Д.  Ю. Мостовым в  1991 г.

      Семейство программ ADinf – это ревизоры дисков, предназначенные для работы на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000. Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и/или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе "портретов" (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не придумано.

     Особенно  следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно разбирает структуру файловой системы, что позволяет ему обнаруживать так называемые вирусы-невидимки (стелс-вирусы).

     Если  в системе установлен лечащий блок Adinf (ADinf Cure Module), то этот тандем способен не только обнаруживать, но и успешно удалять появившуюся заразу. Тестирование показало, что ADinf Cure Module способен успешно справиться с 97% вирусов, восстановив поврежденные файлы с точностью до байта.

     Полезные  свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информации на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.

     Первая  версия программы  вышла в 1991 году и с тех пор ADinf заслуженно является самым популярным ревизором в России и странах бывшего СССР. Сегодня уже трудно сосчитать число легальных и нелегальных пользователей ADinf. Более 2500 корпоративных подписчиков Антивирусного комплекта Диалог-Науки, в составе которого поставляется ADinf, защищают им свои компьютеры. Программа ADinf получила сертификаты в Системе сертификации ГОСТ Р., Системе сертификации средств защиты информации Министерства обороны и Сертификат Государственной технической комиссии при президенте Российской федерации (в составе Антивирусного комплекта Диалог-Науки). Программа постоянно совершенствуется и все время находится на острие современных технологий.

     Изначально  ревизор ADinf был разработан для операционной системы MS-DOS. Затем были выпущены варианты программы для Windows 3.xx и Windows 95/98/NT. Сейчас существует семейство совместимых между собой ревизоров для различных операционных систем. Все варианты ADinf сегодня поддерживают файловые системы Windows 95/98, длинные имена файлов и каталогов, разбирают внутреннюю структуру исполняемых файлов Windows 95/98 и NT.

     Итак, программа Adinf:

• имеет высокую скорость работы;
• способна с успехом противостоять вирусам, находящимся в памяти;
• позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;
• может обрабатывать до 32000 файлов на каждом диске;
• в отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;
• в отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается;
• ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;
• при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось множество вирусов, "охотящихся" за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.

     Существует  несколько вариантов  ревизора Adinf для различных операционных систем. Каждый из них имеет свои особенности.

     Ревизор ADinf предназначен для операционных систем MS-DOS и Windows 95/98. Это развитие первого варианта ревизора, созданного еще в 1991 году. Сегодня ADinf это самое надежное средство для обнаружения как известных, так и новых неизвестных вирусов. Это единственный в мире ревизор, проверяющий файловую систему чтением по секторам напрямую через BIOS компьютера.

     Ревизор ADinf for Windows предназначен для операционной системы Windows 3.xx. Ко всем свойствам ревизора ADinf этот вариант программы добавляет удобный графический интерфейс пользователя.

     Ревизор ADinf Pro предназначен для контроля за сохранностью особо ценной информации, например баз данных или документов, в среде операционных систем MS-DOS, Windows 3.xx и Windows 95/98. Особенностью этого варианта программы является использование 64-битной хэш-функции для контроля целостности файлов, разработанной известной Российской фирмой ЛАН-Крипто. Использование этой хэш-функции гарантирует не только обнаружение случайных изменений файлов или изменений, вызванных вирусами, но и делает невозможным преднамеренную незаметную модификацию данных на диске.

     Ревизор ADinf32 – это 32-битное многопоточное приложение для операционных систем Windows 95/98 и Windows NT с современным интерфейсом пользователя. Этот вариант программы не только обладает всеми достоинствами других вариантов, но и содержит много нового по сравнению с ними.

Следует заметить, что программа  Adinf хорошо интегрирована с другими программами комплекта DSAV  фирмы «Диалог-Наука». Так, Adinf создает список новых и измененных файлов на диске, а Aidstest и DrWeb могут проверять файлы из этого списка, что значительно сокращает время работы этих программ.

    AVP

     (AntiViral Toolkit Pro)

     Данная  программа была создана  ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня AVP практически ни в чем не уступает западным аналогам.

     AVP предоставляет пользователям максимум сервиса – возможность обновления антивирусных баз через Интернет, возможность задания параметров автоматического сканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно, а база данных включает описания уже почти 40 тысяч вирусов.

     AVP состоит из нескольких важных модулей:

     1)AVP сканер проверяет жесткие диски на предмет заражения вирусами. Можно задать полный поиск, при котором программа будет проверять все файлы подряд, а также задать режим проверки архивированных файлов. Одно из главных преимуществ AVP – борьба с макровирусами. Пользователь может выбрать специальный режим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусов или зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов, удалить сами зараженные файлы или переместить их в специальную папку.

     2)AVP Monitor. Эта программа автоматически загружается при запуске Windows. AVP Monitor автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю. Более того, в большинстве случаев AVP Monitor просто не дает зараженному файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файлов невозможно, то здесь на помощь приходит AVP Monitor).

     3)AVP Inspector – последний и очень важный модуль комплекта AVP, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует метод контроля изменения размера файлов. Внедряясь в файл, вирус неизбежно увеличивает его объем, и «инспектор» легко его обнаруживает.

     Кроме всего перечисленного существует так называемый Центр Управления AVP – «пульт управления» всеми программами комплекса AVP. Самая важная функция этой программы – встроенный Планировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится – и лечение системы) в автоматическом режиме, без участия пользователя, но в заданное им время. 

1.2.2 Защита электронной  почты. 

  Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.

     К сожалению, файлы  вложений, передаваемые вместе с электронными сообщениями, также  могут оказаться  чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер – дело времени.

     Возможны  и другие попытки  проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.

    Защита  от вирусов, распространяющихся по почте.

   Помимо чисто административных  мер, для борьбы  с вирусами и  другими вредоносными  программами необходимо  использовать специальное  антивирусное программное  обеспечение (антивирусы).

     Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.

     Кроме того, эффективность  антивирусов очень  сильно зависит от соблюдения правил их применения: необходимо периодически обновлять  антивирусную базу данных, использовать правильные настройки антивирусного  сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению. 

                         Доказательство гипотезы. 

  Входе исследования  мне удалось доказать  свою гипотезу о том, что на каждую программу есть антипрограмма. Прочитав мою исследовательскую работу можно понять, что на каждую программу-вирус можно создать антипрограмму - антивирус.

Программа  Антипрограмма 1  Антипрограмма 2 

Программа  Вирус  Антивирус 
 
 
 
 
 
 

                                   Заключение. 

  Исследование помогло   мне понять, что  каждый вирус имеет  свой антивирус.  Как например человеческие  болезни лечат  лекарствами или  пытаются не пускать  болезнь в организм  различными вакцинами.  Также и компьютерные вирусы можно предотвращать или не пускать в компьютер разными антивирусными программами. Ещё мне эта исследовательская работа помогла в том, что я стал более серьёзно относиться к защите своего компьютера. Я смог подобрать для себя антивирусную программу. 
 
 
 
 
 

                                        Список литературы 

     1.  Атака из Internet/И. Д. Медведовский, П. В. Семьянов, Д.Г. Леонов,             А.В. Лукацкий – M.: Солон-Р, 2002. - 368 с.

     2. Бояринов Д., Интернет  скоро умрет? // Новое время, 2003, №5, с.39

     3. Козлов Д. А., Парандовский  А. А., Парандовский  А. К. Энциклопедия  компьютерных вирусов.- М: Солон-Р, 2002.- 458 с.