Классификация компьютерных вирусов и антивирусных программ

По способу маскировки вирусы делятся на:

1. Не маскирующиеся вирусы.

2. Маскирующиеся вирусы. С появлением средств защиты разработчики вирусов стали предпринимать встречные меры в результате чего появились маскирующиеся вирусы, которые подразделяются на следующие типы:

· Самошифрующиеся вирусы. Большая часть самошифрующегося вируса зашифрована и расшифровывается для выполнения перед началом работы вируса.

· Невидимые вирусы («стелс-вирусы»). Стелс-вирусы получили свое название по аналогии с самолетами-невидимками, построенными по технологии Stealth. В алгоритмах стелс-вирусов предприняты меры по маскировке их наличия в программе-вирусоносителе или оперативной памяти, где вирус присутствует резидентно. Например, вирус может удалить свое тело из файла-вирусоносителя при чтении последнего с диска или вместо истинной длины файла, увеличенной вследствие внедрения вируса в этот файл, выдать уменьшенный (оригинальный) размер инфицированного файла.

· Мутирующие вирусы. Мутирующие вирусы со временем автоматически видоизменяются (мутируют), что делает необходимым разрабатывать для вирусов-мутантов новые программные средства их обезвреживания. Маскирование вирусов затрудняет их поиск, обнаружение и разработку антивирусных программ.

Компьютерные вирусы для своего размножения и нанесения максимального вреда внедряются в полезные программы. Но есть и другие программы, также наносящие вред пользователям, но отличающиеся способом их распространения. К таким программа относятся:

1. Троянские программы. Эти программы маскируются под полезную или интересную игровую программу, выполняя во времени своего функционирования еще и разрушительную работу, например, очищает FAT. В отличие от вирусов, троянские программы не могут размножаться и внедряться в другие программные продукты. Самые простые троянские программы выполняют разрушительную работу при каждом запуске на выполнение. Более совершенные из них аналогично вирусам начинают действовать при наступлении определенного события или момента времени (например, день недели, определенное время суток и т. д.).

2. Программы-репликаторы («черви»). Программы-репликаторы создаются для распространения по узлам вычислительной сети компьютерных вирусов. Сами репликаторы непосредственно разрушительных действий не производят, но они могут размножаться без внедрения в другие программу и иметь «начинку» из компьютерных вирусов.

Имеются вирусы, предназначенные для воздействия на конкретные программные продукты. Например, вирусы, повреждающие текстовый процессор Microsoft Word и табличный процессор Microsoft Excel, распространяются с документами этих программных продуктов.

Меры защиты от компьютерного вируса включает в себя комплекс средств:

1. Профилактика. К профилактическим средствам относятся перекрытие путей проникновения вирусов в компьютер; исключение возможности заражения и порчи вирусами, проникшими в компьютер, других файлов.

2. Диагностика. Диагностические средства позволяют обнаружить вирусы в компьютере и распознать их тип.

3. Лечение. Лечение состоит в удалении вирусов из зараженных программных средств и восстановлении пораженных файлов.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ:

1. Детекторы – обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. При обнаружении вируса выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

2. Доктора или фаги, а также программы-вакцины – обнаруживают и обезвреживают вирусы, т. е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожают их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. Программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

3. Ревизор – запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаружение изменения выводятся на экран видеомонитора. Сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. Эти программы являются самым надежным средством защиты от вирусов.

4. Фильтры или сторожа – контролируют опасные действия, характерные для вирусных программ, и запрашивают подтверждение на их выполнение. К таким действиям относятся попытки коррекции файлов с расширением COM и EXE; изменение атрибутов файлов; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. Программы-фильтры способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла) а также возможные конфликты с другим программным обеспечением.

5. Вакцины или иммунизаторы – предотвращают заражение рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ и в то же время вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Существенным недостатком таких программ являются их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Рассмотрим организационные мероприятия, которые необходимо производить для защиты программ и дисков от компьютерных вирусов.

Самым важным в защите от вирусов является использование незараженных программ,так как главным источником вирусов являются незаконные, так называемые «пиратские» копии программного обеспечения.

Особенно опасны компьютерные игры и различного рода развлекательные программы, которые чаще других являются разносчиками компьютерной инфекции. Поэтому, необходимо использовать только лицензионно – чистые программы от надежных поставщиков. Из этого правила вытекают следующие рекомендации организационного характера:

· Приобретайте все программы в фирменной упаковке у надежного поставщика.

· Не пользуйтесь без крайней необходимости чужими дискетами.

· Не запускайте на выполнение программы, назначение которых неизвестно или непонятно.

Придерживайтесь следующих правил:

· Не передавайте свои дискеты чужим лицам для использования, чтобы не заразить ваши дискеты.

· Ограничьте доступ к вашему ПК посторонних лиц и запретите им пользоваться своими дискетами без вашего разрешения.

· При работе на одном ПК нескольких пользователей разделите жесткий диск на несколько логических и разграничьте право доступа к разным дискам.

· Не ограничивайтесь использованием только одного антивирусного программного продукта. Новые вирусы появляются постоянно, и для их выявления требуются новые антивирусные программы.

· Гибкие магнитные диски используйте, по возможности, с защитой от записи.

Несмотря на все принятые профилактические меры, стопроцентной гарантии защиты от вирусов в настоящее время не существует. Поэтому, всегда нужно иметь резервные копии программ и файлов на магнитной ленте и (или) другом ПК не менее, чем в двух экземпляров.