Файловые вирусы внедряются в основном в исполняемые файлы (с расширениемcom или exe).

Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы существуют в компьютерных сетях и используют для своего распространения протоколы и команды этих сетей и электронной почты.

Макровирусы поражают файлы-документы, электронные таблицы и презентации. Они используют возможности макроязыков, встроенных в офисные программы обработки данных.

 

Из комбинированных вирусов отметим файлово-загрузочные и сетевые макровирусы.

Файлово-загрузочные ( многофункциональные ) вирусы поражают загрузочные секторы дисков и программные файлы.

Сетевой макровирус не только заражает документы, но и рассылает свои копии по электронной почте.

Операционная система, объекты которой подвержены заражению является следующим признаком классификации компьютерных вирусов.

 

Файловые и сетевые вирусы поражают файлы одной или нескольких операционных систем. Загрузочные вирусы также рассчитаны на конкретное расположение системных данных в загрузочных секторах дисков ПК.

 

По особенностям алгоритма вирусы делят на резидентные и нерезидентные, невидимки (стелс-вирусы), репликаторные, программы-мутанты (самошифрующиеся и полиморфные) и использующие нестандартные приемы.

Резидентные вирусы при заражении компьютера оставляют в его оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают оперативную память ПК и являются активными ограниченное время. Макровирусы можно считать резидентными, так как они присутствуют в оперативной памяти компьютера во время работы зараженного редактора.

 

Вирусы-невидимки (стелс-вирусы) используют специальные методы для маскировки своего присутствия. Обычно это достигается путем перехвата ряда системных функций, ответственных за работу с файлами. Использование вирусами стелс-технологии приводит к тому, что определить наличие их в системе, не имея достойного антивируса, практически невозможно. Воздействие на ваш компьютер может быть самым разнообразным — в зависимости от того, чего хотел добиться автор вируса: уничтожить информацию или потешить свое самолюбие в виде массового распространения дела рук своих.

 

Репликаторные вирусы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала.

Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала. Если не вдаваться в подробности, то можно сказать, что этот вирус постоянно изменяется, так что стандартными средствами обнаружить его сложно. Поэтому зачастую нельзя установить инфицированный файл по сигнатуре.

 

Полиморфные вирусы часто содержат и стелс-механизмы, представляя собой некий конгломерат вирусных технологий.

 

По деструктивным воздействия вирусы подразделяются на безвредные, неопасные, опасные и разрушительные.

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения.

Неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т.д.

Опасные вирусы нередко приводят к серьезным нарушениям в работе компьютера; разрушительные - к стиранию информации, полному или частичному нарушению работы прикладных программ.

 

Основные действия вирусов

«Ловушки» используют несовершенства действующих программ и, например, изменяют адреса входа из программы в подпрограммы.

 

В компьютерных сетях распространены программы-черви. Они вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, поддерживая между собой связь. В случае прекращения существования «червя» на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу.

«Троянский конь», маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.

«Логическая бомба» встраивается в большой программный комплекс и безвредна до наступления определенного события. Например, она начинает работать после некоторого числа вызовов прикладных программ комплекса, при наличии или отсутствии определенного файла, записи файла и т.п.

 

Необходимо иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, куда может внедриться вирус.

 

В основе работы большинства антивирусных программ лежит принцип поиска уникальной характеристика вирусной программы (сигнатуры вируса). Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает файлы на выявление сигнатур, имеющихся в базе данных.

 

По методу работы антивирусные программы подразделяются на фильтры, ревизоры доктора, детекторы, вакцины и другие.

Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти и перехватывают все запросы к ОС на выполнение подозрительных действий.

 

При каждом запросе на такое действие на экран компьютера выдается сообщение. Пользователь должен либо разрешить выполнение действия, либо запретить его. Раздражающая пользователя «назойливость» и уменьшение свободного объема оперативной памяти из-за постоянного нахождения в ней «сторожа» являются главными недостатками этих программ.

 

Более надежным средством защиты от вирусов являются программы-ревизоры. Они запоминают исходные характеристики программ, каталогов и системных областей диска (до заражения компьютера), а затем периодически сравнивают текущие характеристики с исходными. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и т.п.) сообщение об этом выдается пользователю.

Программы-доктора не только обнаруживают, но и «лечат» зараженные программы, удаляя из них тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MS AntiVirus, Aidtest, Doctor Web. Они непрерывно обновляются для борьбы с новыми вирусами.

Программы-детекторы позволяют обнаруживать файлы, зараженные известными разработчикам этих программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

 

Антивирусные программы, как правило, имеют настраиваемые пользователем параметры:

· объекты проверки (диски, каталоги, файлы, типы файлов);

· режим работы (проверка или лечение);

· уровень сложности проверки (по базе вирусов или эвристический анализ):

· режим использования ресурсов компьютера (основной или фоновый) и т.п.

 

Перечислим правила, которые следует соблюдать для уменьшения потерь от действий компьютерных вирусов.

1. Используйте регулярно обновляемое антивирусное программное обеспечение, приобретаемое у разработчиков или их официальных дистрибьютеров.

2. Программы и документы, выполненные с использованием пакета MS Office и полученные из компьютерных сетей, требуют осторожного обращения. Перед их применением следует провести проверку на наличие вирусов.

3. Для защиты файлов на сервере используйте возможности защиты сети: ограничение прав пользователей; установку атрибутов файлов «только на чтение»; скрытие важных разделов диска и директорий. Регулярно проверяйте сервер антивирусными программами. Перед запуском нового программного обеспечения проверьте его на компьютере, не подключенном к сети. Желательно использование бездисковых рабочих станций.

4. Приобретайте дистрибутивы программного обеспечения у официальных продавцов. Использование «левых» продуктов может привести к большим потерям. Храните копии дистрибутивов программного обеспечения на защищенных от записи дисках.

5. Подождите некоторое время перед использованием полученной из глобальной сети и проверенной Вами антивирусами программы. Если она заражена новым вирусом, то через некоторое время об этом появится сообщение. Ограничивайте круг лиц, имеющих доступ к компьютеру; наиболее часто заражаются «многопользовательские» ПК.

6. Регулярно проводите проверку целостности информации. Используйте для этого утилиты, создающие и хранящие в специальных базах информацию о системных областях дисков и файлах (контрольные суммы, размеры, атрибуты и т.п.).

7. Сохраняйте на внешнем носителе Ваши рабочие файлы.

 

Заметим, что проблему защиты от вирусов следует рассматривать как часть проблемы защиты информации.