Загальні характеристики комп’ютерних вірусів. Антивірусні програми та їх застосування.

Загальна характеристика комп’ютерних вірусів

Сьогодні масове застосування персональних комп’ютерів, на жаль, виявилося пов’язаним з появою програм-вірусів, що самовідтворюються, перешкоджаючи нормальній роботі комп’ютера, руйнують файлову структуру дисків і пошкоджують збережену у комп’ютері інформацію.

Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп’ютерними злочинами й розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп’ютера знань про природу вірусів, способи зараження вірусами й захисту від них.

Властивості комп’ютерних вірусів

Зараз застосовуються персональні комп’ютери, у яких користувач має вільний доступ до всіх ресурсів машини. Саме це стало причиною небезпеки, що одержала назву комп’ютерного вірусу.

Формальне визначення поняття «комп’ютерний вірус» дотепер не придумане, і є серйозні сумніви, що воно взагалі може існувати. Численні спроби дати «сучасне» визначення вірусу не мали успіху. Щоб відчути всю складність проблеми, спробуйте, наприклад, дати визначення поняттю «редактор». Ви або придумаєте щось дуже загальне, або почнете перелічувати усі відомі типи редакторів. І те й інше навряд чи можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп’ютерних вірусів, що дозволяють говорити про них як про певний визначений клас програм.

Насамперед вірус — це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про незвичайні можливості комп’ютерних вірусів. Вірус може перевернути зображення на вашому моніторі, але не може перевернути сам монітор. До легенд про віруси-убивці, «що знищують операторів, виводячи на екран смертельну колірну гаму 25-м кадром», також не треба ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують найсвіжіші новини з комп’ютерних фронтів, які при ближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.

Вірус — програма, що має здатність самовідтворюватися. Така здатність є єдиним засобом, властивим усім типам вірусів. Але не тільки віруси здатні до самовідтворення. Будь-яка операційна система і ще безліч програм здатні створювати власні копії. Копії ж вірусу можуть узагалі не збігатися зі своїм оригіналом.

Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус повинен яким-небудь способом забезпечити собі передачу управління.

Класифікація вірусів

Сьогодні відомо більше 70000 програмних вірусів, їх можна класифікувати за такими ознаками:

— середовище існування;

— спосіб зараження середовища існування;

— вплив;

— особливості алгоритму.

У залежності від середовища існування віруси можна поділити на мережні, файлові, завантажувальні й файлово-завантажувальні. Мережні віруси поширюються у різних комп’ютерних мережах. Файлові віруси проникають головним чином у виконавчі модулі, тобто у файли, що мають розширення СОМ і ЕХЕ. файлові віруси можуть проникати і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здатність до розмноження. Завантажувальні віруси проникають у завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record). Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.

За способом зараження віруси поділяються на резидентні й нерезидентна Резидентний вірус при зараженні (інфікуванні) комп’ютера залишає в оперативній пам’яті свою резидентну частину, яка потім перехоплює звертання операційної системи до об’єктів зараження (файлів, завантажувальних секторів дисків і т. ін.) і проникає в них. Резидентні віруси знаходяться в пам’яті і є активними аж до вимикання або перезавантаження комп’ютера. Нерезидентні віруси не заражають пам’ять комп’ютера і є активними протягом обмеженого часу.

За ступенем впливу віруси можна поділити на такі види:

— безпечні, що не заважають роботі комп’ютера, але зменшують обсяг вільної оперативної пам’яті й пам’яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах;

— небезпечні віруси, що можуть призвести до різних порушень у роботі комп’ютера;

— дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації у системних областях диска.

За особливостями алгоритму віруси важко класифікувати внаслідок їх різноманітності. Найпростіші віруси — паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені й знищені. Можна відзначити віруси-реплікатори (їх називають черв’яками), що поширюються у комп’ютерних мережах, знаходять адреси мережних комп’ютерів і записують за цими адресами свої копії. Відомі віруси-невидимки (так звані стелс-віруси), які дуже важко знайти й знешкодити, тому що вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найважче знайти віруси-мутанти, що містять алгоритми шифрування-розшифрування, завдяки яким копії одного й того вірусу не мають жодного повторюваного ланцюжка байтів. Є й так звані квазівірусні (троянські) програми, що хоча й не здатні до самопоширення, але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.

Антивірусні програми.

Для виявлення, видалення і захисту від комп’ютерних вірусів розроблені спеціальні програми, які дозволяють виявляти і знищувати віруси.
Такі програми називаються антивірусними. Сучасні антивірусні програми являють собою багатофункціональні продукти, що поєднують в собі як превентивні, профілактичні засоби, так і засоби лікування вірусів і відновлення даних.

Характеристика антивірусних програм.

Антивірусні програми поділяються на: програми-детектори, програми-доктори, програми-ревізори, програми-фільтри, програми-вакцини.
Програми-детектори забезпечують пошук і виявлення вірусів в оперативній пам’яті і на зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори універсальні і спеціалізовані.
Універсальні детектори в своїй роботі використовують перевірку незмінності файлів шляхом підрахунку та порівняння з еталоном контрольної суми. Недолік універсальних детекторів пов’язаний з неможливістю визначення причин викривлення файлів.
Спеціалізовані детектори здійснюють пошук відомих вірусів по їх сигнатурі (повторюваному ділянці коду). Недолік таких детекторів полягає в тому, що вони нездатні виявляти всі відомі віруси.
Детектор, що дозволяє виявляти кілька вірусів, називають полідетектором.
Недоліком таких антивірусних про грам є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.
Програми-доктора (фаги), не тільки знаходять заражені вірусами файли, але і “лікують” їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам’яті, знищуючи їх, і тільки потім переходять до “лікування” файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів.
Враховуючи, що постійно з’являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібне регулярне оновлення їх версій.
Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам’ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп’ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри.
Програми-ревізори мають досить розвинуті алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється від змін, внесених вірусом.
Програми-фільтри (сторожа) представляють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп’ютера, характерних для вірусів. Такими діями можуть бути:
. спроби корекції файлів з розширеннями СОМ і ЕХЕ;
. зміна атрибутів файлів;
. прямий запис на диск по абсолютному адресою;
. запис у завантажувальні сектори диска.
. завантаження резидентного програми.
При спробі будь-якої програми здійснити вказані дії “сторож” посилає користувачеві повідомлення н пропонує заборонити або дозволити відповідну дію. Програми-фільтри досить корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не “лікують” файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх “настирливість” (наприклад, вони постійно видають попередження про будь-якій спробі копіювання виконуваного файла), а також можливі конфлікти з іншим програмним забезпеченням.
Вакцини (іммунізатори) – це резидентні програми, що запобігають зараження файлів. Вакцини застосовують, якщо відсутні програми-доктори, “лікуючі” цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.
Істотним недоліком таких програм є їх обмежені можливості щодо запобігання зараження від великої кількості різноманітних вірусів.
Короткий огляд антивірусних програм.
При виборі антивірусної програми необхідно враховувати не тільки відсоток виявлення вірусів, але і здатність виявляти нові віруси, кількість вірусів у антивірусної базі, частоту її оновлення, наявність додаткових функцій.
В даний час серйозний антивірус повинен вміти розпізнавати не менше 25000 вірусів. Це не означає, що всі вони знаходяться “на волі”. Насправді більшість з них або вже припинили своє існування або перебувають у лабораторіях і не поширюються. Реально можна зустріти 200-300 вірусів, а небезпеку представляють лише кілька десятків з них.
Існує безліч антивірусних програм. Розглянемо найбільш відомі з них.
Norton AntiVirus 4.0 і 5.0 (виробник: «Symantec»).
Один з найбільш відомих і популярних антивірусів. Відсоток розпізнавання вірусів дуже високий (близький до 100%). У програмі використовується механізм, який дозволяє розпізнавати нові невідомі віруси.
В інтерфейсі програми Norton AntiVirus є функція LiveUpdate, що дозволяє клацанням на одній-єдиній кнопці оновлювати через Web як програму, так і набір сигнатур вірусів. Майстер по боротьбі з вірусами видає детальну інформацію про виявлений вірус, а також надає вам можливість вибору: видаляти вірус або в автоматичному режимі, або більш обачно, за допомогою покрокової процедури, яка дозволяє побачити кожну з виконуваних в процесі видалення дій.
Антивірусні бази оновлюються дуже часто (іноді оновлення з’являються кілька разів на тиждень). Є резидентний монітор.
Недоліком даної програми є складність налаштування (хоча базові налаштування змінювати, практично не потрібно).
Dr Solomon’s AntiVirus (виробник: «Dr Solomon’s Software»).
Вважається одним з найкращих антивірусів (Євген Касперський якось сказав, що це єдиний конкурент його AVP). Виявляє практично 100% відомих і нових вірусів. Велика кількість функцій, сканер, монітор, евристика і все що необхідно щоб успішно протистояти вірусам.
McAfee VirusScan (виробник: «McAfee Associates»).
Це один з найбільш відомих антивірусних пакетів. Дуже добре видаляє віруси, але у VirusScan гірше, ніж в інших пакетів, йдуть справи з виявленням нових різновидів файлових вірусів. Він легко і швидко встановлюється з використанням настройок за замовчуванням, але його можна налаштувати і за власним розсудом. Ви можете сканувати всі файли або тільки програмні, поширювати або не поширювати процедуру сканування на стислі файли. Має багато функцій для роботи з мережею Інтернет. 
Dr.Web (виробник: «Діалог Наука»)
Популярний вітчизняний антивірус. Добре розпізнає віруси, але в його базі їх набагато менше ніж у інших антивірусних програм.
Antiviral Toolkit Pro (виробник: «Лабораторія Касперського»).
Це антивірус визнаний у всьому світі як один з найнадійніших. Незважаючи на простоту у використанні він володіє всім необхідним арсеналом для боротьби з вірусами. Евристичний механізм, надлишкове сканування, сканування архівів і упакованих файлів – це далеко не повний перелік його можливостей.
Лабораторія Касперського уважно стежить за появою нових вірусів і своєчасно випускає оновлення антивірусних баз. Є резидентний монітор для контролю за виконуваними файлами.