Poštovani korisnici, materijal ovog članka ne može se smatrati potpunim i iscrpnim, jer napredak napreduje, a nažalost i tehnologije za pisanje virusa i zlonamjernog softvera se poboljšavaju. Ovaj članak je sastavljen u informativne svrhe, kako bi se povećala edukacija i svijest korisnika. Nadam se (naivno netačno) da predstavljeni materijal nikoga neće natjerati da piše zlonamjerne programe, već naprotiv, natjerati ih na razmišljanje. Zapamtite, postoji jedna mudra izreka: "Ne pljuj u bunar, moraćeš da piješ." U našem slučaju, Internet je ogroman "bunar" informacija iz kojeg dobijamo informacije koje su vama i meni potrebne. Naša je direktna odgovornost da ga održavamo čistim, jer smo mi njegovi sastavni dijelovi (doduše indirektno, ali ipak :).
Šta su virusi
Virus je posebno napisan program male veličine, niz kodova instrukcija koji se može "pripisati" drugim programima ("inficirati" ih), kreirati kopije sebe (ne uvijek iste) i ugraditi ih u datoteke, sistemske oblasti računara, itd. itd., kao i vršenje raznih neželjenih radnji na računaru.
Računalni virusi duguju svoje ime određenoj sličnosti sa prirodnim virusima: sposobnost samoinficiranja; velika brzina širenja; selektivnost zahvaćenih sistema (svaki virus inficira samo određene sisteme ili homogene grupe sistema); sposobnost "inficiranja" još neinficiranih sistema; poteškoće u borbi protiv virusa itd.
Klasifikacija kompjuterskih virusa
Virusi se konvencionalno mogu klasificirati prema sljedećim kriterijima:
* prema staništu virusa
* metodom kontaminacije staništa
* destruktivnim mogućnostima
* prema karakteristikama algoritma virusa
* po vrsti destruktivnih radnji
Virusi za pokretanje inficiraju sektor za pokretanje diskete i sektor za pokretanje ili glavni zapis za pokretanje (MBR) čvrstog diska. Princip rada boot virusa zasniva se na algoritmima za pokretanje operativnog sistema kada se računar uključi ili ponovo pokrene.
Da bude jasnije, objasniću detaljno kako se računar pokreće: nakon uključivanja računara, napajanje šalje signal POWER_ON matičnoj ploči, koja zauzvrat provjerava napon u strujnom kolu, ako je ispravan, onda računar se uključuje. Nadalje, program u BIOS-u (Basic Input Output System) video kartice prima kontrolu, testira komponente video kartice i, po prijemu pozitivnih podataka, prenosi kontrolu na BIOS matične ploče. Pokreće POST (Power-On Self Test) proceduru, koja vrši samotestiranje svih komponenti sistema, ako je testiranje uspješno i svi pronađeni uređaji vraćaju pozitivne signale, BIOS u skladu sa podacima u odjeljku Boot i prenosi kontrolu na uređaj koji je prvi na ovoj listi. Kontrola se prenosi traženjem prvog fizičkog sektora, čitanjem i pokretanjem bootloadera.
U slučaju diskete ili CD-ROM-a, boot sektor prima kontrolu, koji analizira tablicu parametara diska (BPB - BIOS Parameter Block), izračunava adrese sistemskih datoteka operativnog sistema, čita ih u memoriju i pokreće ih za izvršenje. Ako datoteke operativnog sistema nedostaju na disku za pokretanje, program koji se nalazi u sektoru za pokretanje diska prikazuje poruku o grešci i nudi zamjenu diska za pokretanje.
U slučaju tvrdog diska, gore pomenuti bootloader dobija kontrolu, koji analizira tabelu particija diska, izračunava adresu aktivnog sektora za pokretanje (obično je ovaj sektor sektor za pokretanje sistema C :), učitava ga u memoriju i prenosi na kontrolu. Nakon što je dobio kontrolu, aktivni sektor za pokretanje tvrdog diska obavlja iste radnje kao sektor za pokretanje diskete. Dalje, sve je jednostavnije, u sistemskim datotekama se nalazi učitavač operativnog sistema, koji dodatno učitava OS.
Kada inficiraju diskove, virusi za pokretanje "zamjenjuju" svoj kod za bilo koji program koji dobije kontrolu pri pokretanju sistema. Dakle, princip infekcije je isti u svim gore opisanim metodama: virus "prisiljava" sistem da ga pročita u memoriju kada se ponovo pokrene i daje kontrolu ne originalnom kodu pokretača, već kodu virusa.
Diskete su zaražene na jedini poznati način - virus piše vlastiti kod umjesto originalnog koda boot sektora diskete. Tvrdi disk se inficira na tri moguća načina - virus se upisuje ili umjesto MBR koda, ili umjesto koda sektora za pokretanje diska za pokretanje (obično C :), ili mijenja adresu aktivnog sektora za pokretanje na disku Tablica particija koja se nalazi u MBR-u tvrdog diska.
Prilikom zaraze diska, virus u većini slučajeva prenosi originalni sektor za pokretanje (ili MBR) u neki drugi sektor diska (na primjer, u prvi slobodni sektor). Ako je dužina virusa veća od dužine sektora, tada se prvi dio virusa stavlja u zaraženi sektor, a preostali dijelovi u druge sektore (na primjer, u prve slobodne sektore).
Postoji nekoliko opcija za postavljanje početnog sektora za pokretanje na disk i nastavak virusa: u sektore slobodnih klastera logičkog diska, u sektore sistema koji se ne koriste ili rijetko koriste, u sektore koji se nalaze izvan diska.
Ako se nastavak virusa nalazi u sektorima koji pripadaju klasterima slobodnih diskova (prilikom traženja ovih sektora virus mora analizirati tabelu alokacije datoteka - FAT), tada virus po pravilu označava ove klastere u FAT-u (Fail Tabela alokacije) kao loši klasteri (tzv. pseudo-loši klasteri).
Također, virusi postavljaju početni sektor za pokretanje u sektor koji se ne koristi ili rijetko koristi - u jedan od sektora tvrdog diska (ako postoji) koji se nalazi između MBR-a i prvog sektora za pokretanje, a na disketi takav sektor se bira između posljednji sektori korijenskog direktorija.
Neki virusi zapisuju svoj kod u posljednje sektore tvrdog diska, jer se ti sektori koriste samo kada je tvrdi disk potpuno popunjen informacijama. Manje često korištena je metoda čuvanja virusa izvan diska. To se postiže na dva načina. Prvi se svodi na smanjenje veličine logičkih diskova: virus oduzima potrebne vrijednosti iz odgovarajućih polja BPB sektora za pokretanje i Tablice particija tvrdog diska (ako se tvrdi disk zarazi), čime se smanjuje veličine logičkog diska i upisuje svoj kod u sektore "odsječene" od njega.
Drugi način je pisanje podataka izvan particije fizičkog diska. U slučaju disketa, virus mora formatirati dodatnu stazu na disku (nestandardna metoda formatiranja). Postoje virusi koji svoj kod pišu izvan dostupnog prostora tvrdog diska, ako to, naravno, dozvoljava instalirani hardver.
Naravno, postoje i druge metode postavljanja virusa na disk, na primjer, neki virusi sadrže standardni MBR loader u svom tijelu i, kada su zaraženi, prepisuju originalni MBR bez spremanja.
Prilikom zaraze, većina virusa kopira sistemske informacije pohranjene u početnom pokretačkom programu u njihov kod pokretača (za MBR ova informacija je tabela particija diska, za Boot sektor disketa - BIOS parametarski blok). U suprotnom, sistem neće moći da se pokrene, pošto se adrese diskova komponenti sistema izračunavaju na osnovu ovih informacija.
Međutim, neki stealth virusi ne pohranjuju ove informacije, ili još više - oni ih namjerno šifriraju. Kada sistem ili drugi programi pristupe zaraženim sektorima, virus zamjenjuje njihove neinficirane originale i sistem se pokreće bez ikakvih grešaka.
Također treba napomenuti da se virusi za pokretanje vrlo rijetko "slažu" zajedno na istom disku - često koriste iste sektore diska za postavljanje svog koda/podataka. Kao rezultat, ispostavlja se da su kod/podaci prvog virusa oštećeni kada je zaražen drugim virusom, a sistem se ili zamrzava tokom pokretanja ili petlje.
Algoritam pokretanja virusa
Gotovo svi virusi za pokretanje su rezidentni u memoriji. Oni su ugrađeni u memoriju računara prilikom pokretanja sa zaraženog diska. U ovom slučaju, pokretač čita sadržaj prvog sektora diska sa kojeg se pokreće, stavlja pročitane informacije u memoriju i prenosi kontrolu na nju (tj. na virus). Nakon toga počinju se izvršavati instrukcije virusa koje:
1.
po pravilu smanjuje količinu slobodne memorije (riječ na 0040:0013), kopira svoj kod u oslobođeni prostor i čita njegov nastavak sa diska (ako ga ima). Kasnije, neki virusi "čekaju" da se OS pokrene i vraćaju ovu riječ na izvorno značenje. Kao rezultat toga, oni se ne nalaze izvan OS-a, već kao zasebni blokovi memorije operativnog sistema.
2.
presreće potrebne vektore prekida (obično INT 13h), čita originalni sektor za pokretanje u memoriju i prenosi kontrolu na njega.
U budućnosti, boot virus se ponaša na isti način kao virus rezidentnih datoteka u memoriji: presreće pristup operativnom sistemu diskovima i inficira ih, ovisno o određenim uvjetima, izvodi destruktivne radnje ili izaziva zvučne ili video efekte.
Postoje virusi za pokretanje koji nisu rezidentni u memoriji - prilikom pokretanja inficiraju MBR tvrdog diska i disketa, ako su prisutni u drajvovima. Tada takvi virusi prenose kontrolu na originalni bootloader i više ne utiču na rad računara.
File virusi
Ova grupa uključuje viruse koji, kada se množe na ovaj ili onaj način, koriste sistem datoteka OS-a.
Ubacivanje fajl virusa moguće je u gotovo sve izvršne datoteke svih popularnih operativnih sistema, kao i dinamičke i virtuelne biblioteke drajvera (dll, VxD) i mnoge druge datoteke.
Postoje virusi koji inficiraju datoteke koje sadrže izvorni kod programa, biblioteke ili objektnih modula. Moguće je upisati virus u datoteke podataka, ali to se dešava ili kao rezultat greške virusa, ili kada se ispolje njegova agresivna svojstva. Makro virusi također upisuju svoj kod u datoteke s podacima - dokumente ili proračunske tabele - ali su ti virusi toliko specifični da su klasifikovani kao posebna grupa.
Ovaj način zaraze je najjednostavniji: virus piše vlastiti kod umjesto koda zaražene datoteke, uništavajući njen sadržaj. Naravno, datoteka prestaje da radi i ne može se vratiti. Takvi virusi se vrlo brzo otkrivaju, jer operativni sistem i aplikacije prestaju da rade prilično brzo.
Injekcija virusa na početku datoteke
Injekcija virusa na početak datoteke koristi se u ogromnoj većini slučajeva kada se inficiraju DOS "BAT i COM fajlovi. Postoji nekoliko virusa koji se sami upisuju na početak EXE datoteka DOS, Windows, pa čak i Linux operativnih sistema. U isto vrijeme, virusi se koriste da bi program održao rad. , ili dezinficirajte zaraženu datoteku, ponovo je pokrenite, pričekajte da se završi i zapišite na početak (ponekad se za to koristi privremena datoteka u kojoj upisuje se neutralizirana datoteka), ili vraćaju programski kod u memoriju računala i postavljaju potrebne adrese u njeno tijelo (tj. dupliciraju rad OS-a).
Injekcija virusa na kraju datoteke
Najčešći način unošenja virusa u datoteku je dodavanje virusa na kraj datoteke. U tom slučaju virus mijenja početak datoteke na način da prve izvršene naredbe programa sadržane u datoteci budu komande virusa.
U DOS COM datoteci, u većini slučajeva to se postiže promjenom prva tri (ili više) bajta u JMP Loc_Virus instrukcijske kodove (ili, općenito, u kodove programa koji prenosi kontrolu na tijelo virusa).
Virusi koji infiltriraju SYS datoteke prilažu svoje kodove tijelu datoteke i mijenjaju adrese programa strategije i prekida zaraženog drajvera. Kada se inficirani drajver inicijalizuje, virus presreće odgovarajući zahtev operativnog sistema, prenosi ga drajveru, čeka odgovor na ovaj zahtev, ispravlja ga i ostaje sa drajverom u jednom bloku RAM-a. Takav virus može biti izuzetno opasan i izdržljiv, jer se unosi u RAM kada se OS pokrene prije bilo kojeg antivirusnog programa, ako, naravno, nije ni drajver.
Postoje i virusi koji inficiraju sistemske drajvere na drugačiji način: virus mijenja svoje zaglavlje tako da OS tretira zaraženu datoteku kao lanac od dva (ili više) drajvera.
Slično, virus može upisati svoje kodove na početak drajvera, a ako datoteka sadrži nekoliko drajvera, onda na sredinu datoteke.
Ubacivanje virusa u sredinu datoteke
Postoji nekoliko metoda za unošenje virusa u sredinu datoteke. U najjednostavnijem od njih, virus pomiče dio datoteke na kraj ili "proširuje" datoteku i upisuje njen kod u oslobođeni prostor. Ova metoda je na mnogo načina slična metodama gore navedenim. U isto vrijeme, neki virusi komprimiraju prijenosni blok datoteka tako da se dužina datoteke ne mijenja tokom infekcije.
Druga je metoda "šupljine", u kojoj se virus upisuje u namjerno neiskorištena područja datoteke. Virus se može kopirati u neiskorištena područja konfiguracijske tablice DOS EXE adresa ili u zaglavlje NewEXE, u područje steka datoteke COMMAND.COM („Lehigh“) ili u područje tekstualnih poruka popularnih kompajlera ( "NMSG"). Postoje virusi koji inficiraju samo one datoteke koje sadrže blokove ispunjene nekim konstantnim bajtom, dok virus umjesto takvog bloka piše svoj kod.
Virusi bez ulazne tačke
Odvojeno, treba napomenuti prilično beznačajnu grupu virusa koji nemaju "ulaznu tačku" (EPO virusi - Entry Point Obscuring virusi). To uključuje viruse koji ne pišu komande za prijenos kontrole u zaglavlje COM datoteka (JMP) i ne mijenjaju adresu početne točke u zaglavlju EXE datoteka. Takvi virusi pišu naredbu da skoče na svoj kod negdje u sredini datoteke i stječu kontrolu ne direktno kada se zaražena datoteka pokrene, već kada se pozove procedura koja sadrži kod za prijenos kontrole na tijelo virusa. Štaviše, ovaj postupak se može izvesti izuzetno rijetko (na primjer, kada se prikazuje poruka o nekoj specifičnoj grešci). Kao rezultat toga, virus može "spavati" u datoteci dugi niz godina i može se osloboditi samo pod određenim ograničenim uvjetima.
Prije nego što napiše naredbu za skok na vlastiti kod u sredini datoteke, virus mora odabrati "ispravnu" adresu u datoteci - inače bi zaražena datoteka mogla biti oštećena. Postoji nekoliko poznatih načina na koje virusi otkrivaju takve adrese unutar datoteka.
Prvi način- pretražite datoteku za sekvencu standardnog C / Pascal koda. Ovi virusi traže standardna zaglavlja C / Pascal procedura u zaraženim datotekama i umjesto toga pišu vlastiti kod.
Drugi način- praćenje ili rastavljanje koda datoteke. Takvi virusi učitavaju datoteku u memoriju, zatim je prate ili rastavljaju i, ovisno o različitim uvjetima, biraju naredbu (ili naredbe) umjesto koje se upisuje kod za prijelaz na tijelo virusa.
Treći način koriste ga samo virusi rezidentni u memoriji - kada se datoteka pokrene, oni prate prekid (obično INT 21h). Čim zaražena datoteka izazove ovaj prekid, virus upisuje svoj kod umjesto naredbe za poziv prekida.
Pratilac - virusi
Kategorija "pratilac" uključuje viruse koji ne mijenjaju zaražene datoteke. Algoritam rada ovih virusa je da se za zaraženu datoteku kreira dupli fajl, a kada se zaraženi fajl pokrene, taj dupli fajl se kontroliše, tj. virus.
Najčešći prateći virusi koji koriste DOS funkciju da prvi izvrše .COM datoteku ako postoje dvije datoteke u istom direktoriju s istim imenom ali različitim ekstenzijama imena - .COM i .EXE. Ovi virusi kreiraju prateće datoteke za EXE datoteke koje imaju isto ime, ali sa ekstenzijom .COM, na primjer, XCOPY.COM datoteka se kreira za datoteku XCOPY.EXE. Virus se upisuje u COM datoteku i ni na koji način ne modificira EXE datoteku. Kada pokrenete takav fajl, DOS će prvi otkriti i izvršiti COM fajl, tj. virus koji će zatim pokrenuti i EXE datoteku. Neki virusi koriste ne samo COM-EXE varijantu već i BAT-COM-EXE.
Drugu grupu čine virusi koji nakon infekcije preimenuju datoteku u neko drugo ime, pamte je (za naknadno pokretanje host datoteke) i zapisuju svoj kod na disk pod imenom datoteke koja se inficira. Na primjer, datoteka XCOPY.EXE je preimenovana u XCOPY.EXD, a virus je napisan kao XCOPY.EXE. Prilikom pokretanja, kontrola prima virusni kod, koji zatim pokreće originalni XCOPY pohranjen pod imenom XCOPY.EXD. Zanimljiva činjenica je da ova metoda radi, vjerovatno, u svim operativnim sistemima - virusi ovog tipa pronađeni su ne samo u DOS-u, već iu Windowsu i OS / 2.
Treća grupa uključuje takozvane "Path-companion" viruse koji "igraju" na DOS PATH karakteristikama. Oni ili pišu svoj kod pod imenom datoteke koju treba zaraziti, ali "viši" jedan nivo u PATH (dakle, DOS će biti prvi koji će otkriti i pokrenuti virusnu datoteku), ili premjestiti datoteku žrtve za jedan poddirektorij više, i tako dalje.
File crvi
Datotečni crvi su, u određenom smislu, neka vrsta pratioca - virusa, ali ni na koji način ne povezuju svoje prisustvo sa bilo kojom izvršnom datotekom. Kada repliciraju, oni jednostavno kopiraju svoj kod u neke direktorije diska u nadi da će te nove kopije ikada pokrenuti korisnik. Ponekad ovi virusi svojim kopijama daju "posebna" imena kako bi natjerali korisnika da pokrene njihovu kopiju - na primjer, INSTALL.EXE ili WINSTART.BAT.
Postoje virusi crvi koji zapisuju svoje kopije u arhive (ARJ, ZIP, RAR i druge). Ovi virusi uključuju "ArjVirus" i "Winstart". Neki virusi pišu naredbu za pokretanje zaražene datoteke u BAT datoteke.
Datotečne crve ne treba brkati sa mrežnim crvima. Prvi koriste samo funkcije datoteka operativnog sistema, dok drugi koriste mrežne protokole prilikom širenja.
Link virusi
Virusi veza, kao i prateći virusi, ne mijenjaju fizički sadržaj datoteka, ali kada se zaražena datoteka pokrene, oni "prisiljavaju" OS da izvrši svoj kod. Oni postižu ovaj cilj modifikacijom potrebnih polja sistema datoteka.
Do danas je poznat samo jedan tip Link virusa - virusi iz porodice "Dir_II". Kada inficiraju sistem, oni upisuju svoje tijelo u posljednji klaster logičkog diska. Kada inficiraju datoteku, virusi ispravljaju samo broj prvog klastera datoteke koji se nalazi u odgovarajućem sektoru direktorija. Novi početni klaster datoteke pokazat će na klaster koji sadrži tijelo virusa. Dakle, kada su datoteke zaražene, njihova dužina i sadržaj klastera diskova koji sadrže ove datoteke neće se promijeniti, a sve zaražene datoteke na jednom logičkom disku imat će samo jednu kopiju virusa.
Nakon infekcije, podaci direktorija upućuju na virus, tj. kada se datoteka pokrene, ne preuzimaju kontrolu datoteke, već virus.
OBJ-, LIB-virusi i virusi u izvornim tekstovima
Virusi koji inficiraju biblioteke kompajlera, objektne module i izvorne kodove programa prilično su egzotični i praktički neuobičajeni. Ukupno ih je desetak. Virusi koji inficiraju OBJ i LIB datoteke zapisuju im svoj kod u formatu objektnog modula ili biblioteke. Zaražena datoteka stoga nije izvršna i ne može dalje širiti virus u svom trenutnom stanju. Nositelj "živog" virusa je COM ili EXE datoteka dobivena u procesu povezivanja zaražene OBJ/LIB datoteke s drugim objektnim modulima i bibliotekama. Dakle, virus se širi u dvije faze: u prvoj fazi se inficiraju OBJ/LIB datoteke, u drugoj fazi (povezivanje) dobija se izvodljiv virus.
Infekcija izvornih kodova programa je logičan nastavak prethodnog načina reprodukcije. U ovom slučaju, virus dodaje svoj izvorni kod izvornom kodu (u ovom slučaju virus ga mora sadržavati u svom tijelu) ili vlastiti hex dump (što je tehnički lakše). Zaražena datoteka može dalje širiti virus tek nakon kompilacije i povezivanja.
Algoritam fajl virusa
Način vraćanja programa u prvobitni oblik ovisi o tome kako je datoteka zaražena. Ako virus infiltrira početak datoteke, on ili pomiče kodove zaraženog programa za broj bajtova koji je jednak dužini virusa, ili pomiče dio programskog koda s njegovog kraja na početak, ili vraća datoteku na disku, a zatim je pokreće. Ako se virus upisao na kraj datoteke, tada prilikom vraćanja programa u prethodno stanje koristi informacije sačuvane u njegovom tijelu kada je datoteka zaražena. Ovo može biti dužina datoteke, nekoliko bajtova od početka datoteke u slučaju COM datoteke ili nekoliko bajtova zaglavlja u slučaju EXE datoteke. Ako se virus upiše u sredinu datoteke na poseban način, tada prilikom vraćanja datoteke koristi i posebne algoritme.
Ubacivanje virusa u DOS COM i EXE datoteke
Izvršne COM ili EXE binarne datoteke koje se razlikuju po zaglavlju i načinu na koji se programi izvode. Ekstenzija naziva datoteke ("* .COM" ili "* .EXE") ne odgovara uvijek stvarnom formatu datoteke, što, međutim, ni na koji način ne utiče na rad programa. COM i EXE datoteke su zaražene na različite načine, stoga virus mora razlikovati datoteke jednog formata od drugog. Virusi rješavaju ovaj problem na dva načina: neki analiziraju ekstenziju naziva datoteke ("* .COM", "* .EXE"), drugi - zaglavlje datoteke. Prvi metod će se u nastavku nazivati inficiranjem * .COM- (ili * .EXE-) datoteka, a drugi - inficiranjem COM- (ili EXE-) datoteka.
U većini slučajeva virus ispravno inficira datoteku, tj. iz informacija sadržanih u tijelu virusa, moguće je potpuno oporaviti zaraženu datoteku. Ali virusi, kao i većina programa, često sadrže greške koje su na prvi pogled nevidljive. Zbog toga, čak i potpuno ispravno napisan virus može nepovratno oštetiti datoteku kada je zaražena. Na primjer, virusi koji razlikuju tipove datoteka po ekstenzijama imena (* .COM, * .EXE) su vrlo opasni jer kvare datoteke čija ekstenzija imena ne odgovara internom formatu.
Jedan od najčešćih primjera netačne infekcije datoteke je COMMAND.COM iz Windows95. Ovaj fajl je, u stvari, EXE fajl, štaviše, veličine je preko 90K, što je nemoguće za COM fajl. Stoga virusi koji razlikuju COM/EXE datoteke po ekstenziji imena i ne provjeravaju dužinu zaraženih COM datoteka (na primjer, "Junkie") pokvare takav COMMAND.COM i on postaje neoperativan.
Primitivna maska
Kada je datoteka zaražena, virus može izvršiti niz radnji koje maskiraju i ubrzavaju njegovo širenje. Takve radnje uključuju obradu atributa samo za čitanje, njegovo uklanjanje prije infekcije i vraćanje nakon. Mnogi virusi datoteka čitaju datum posljednje izmjene datoteke i vraćaju je nakon infekcije. Da bi prikrili svoje širenje, neki virusi presreću prekid OS koji se javlja prilikom pristupa disku zaštićenom od pisanja (INT 24h) i obrađuju ga sami.
Brzina širenja
Govoreći o fajl virusima, potrebno je napomenuti njihovu osobinu kao što je brzina širenja. Što se virus brže širi, veća je vjerovatnoća da će doći do izbijanja tog virusa. Što se virus sporije širi, teže ga je otkriti (osim ako, naravno, antivirusnim programima ovaj virus još uvijek nije poznat). Koncepti "brzi" i "spori" virusi (Fast infector, Slow infector) su prilično relativni i koriste se samo kao karakteristika virusa u njegovom opisu.
Virusi koji nisu rezidentni u memoriji su često "spori" - većina njih, kada se pokrenu, zaraze jednu ili dvije ili tri datoteke i nemaju vremena da preplave računar prije nego što se pokrene antivirusni program (ili nova verzija antivirusnog programa). -virus konfigurisan za ovaj virus). Postoje, naravno, "brzi" virusi koji nisu rezidentni u memoriji koji traže i inficiraju sve izvršne datoteke kada se pokrenu, ali su takvi virusi vrlo uočljivi: kada se pokrene svaka zaražena datoteka, računar aktivno radi s tvrdim diskom za neko (ponekad dosta dugo) vrijeme, koje demaskira virus.
"Brzina" virusa rezidentnih u memoriji obično je veća od virusa koji nisu rezidentni u memoriji - oni inficiraju datoteke kad god im se pristupi. Kao rezultat toga, sve ili gotovo sve datoteke koje se stalno koriste u radu su zaražene na disku.
Brzina širenja rezidentnih virusa datoteka koji inficiraju datoteke samo kada su pokrenute za izvršenje bit će manja od brzine širenja virusa koji inficiraju datoteke kada se otvore, preimenuju, promijene atributi datoteka itd. Kada kreiraju kopiju u RAM-u računara, mnogi virusi pokušavaju da zauzmu memorijsku oblast sa najvišim adresama, uništavajući privremeni deo tumača komandi COMMAND.COM. Kada se zaraženi program ugasi, vraća se privremeni dio interpretera, otvara se datoteka COMMAND.COM i, ako virus zarazi datoteke kada se otvore, postaje zaražen. Dakle, kada se takav virus pokrene, datoteka COMMAND.COM će biti prva zaražena.
Materijali i podaci preuzeti su iz izvora:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
- Za objavljivanje komentara, prijavite se ili registrirajte
KOMPJUTERSKI VIRUSI
I sporne i zaražene datoteke
Klasifikacija virusa PREVENCIJA I BORBA PROTIV KOMPJUTERSKIH VIRUSA
UVOD
Trenutno su mnoga područja ljudske aktivnosti povezana s korištenjem računara. Zašto su ove elektronske mašine tako čvrsto ugrađene u naše živote? Sve je prilično trivijalno. Oni obavljaju rutinski proračunski i projektantski rad, oslobađajući naš mozak za potrebnije i odgovornije zadatke. Kao rezultat toga, umor se dramatično smanjuje i počinjemo raditi mnogo produktivnije nego bez korištenja kompjutera.
Mogućnosti modernih kompjutera zadivljuju najplodniju maštu. Sposobni su obavljati nekoliko zadataka paralelno, čija je složenost prilično visoka. Stoga neki proizvođači razmišljaju o stvaranju umjetne inteligencije. Čak i sada rad kompjutera liči na rad inteligentnog elektronskog pomoćnika osobe.
Ali ko bi rekao da ovo elektronsko čudo tehnologije karakterišu bolesti slične ljudskim. Njega, baš kao i čovjeka, može napasti "virus", ali kompjuterski. A ako ne preduzmete nešto, kompjuter će se uskoro "razboljeti" tj. će početi izvoditi pogrešne radnje ili će u potpunosti "umrijeti". šteta uzrokovana "virusom" će biti vrlo ozbiljna. Šta su kompjuterski virusi i kako se s njima nositi, biće reči dalje.
KOMPJUTERSKI VIRUSI
Šta je kompjuterski virus?
Danas postoji nekoliko glavnih vrsta zlonamjernog softvera:
- klasični kompjuterski virus;
- "trojanski" ili trojanski konj (troj);
- crv;
- špijun ili špijun, keyloger
- rootkick;
- bot ili zombi.
Nekada su bili najzastupljeniji klasični virusi - ali njihovi kreatori rijetko su sebi postavljali konkretan cilj da naškode krajnjem korisniku, već su stvoreni u kognitivne svrhe. Današnji pisci virusa teže apsolutno jasnim i razumljivim ciljevima - novcu, a njihovi "potomci" postali su mnogo opasniji od svojih prethodnika. Dozvolite mi da vam predstavim najopasnije grabežljivce današnjeg informacionog prostora - Trojance i Crve.
Trojanac ili troj je dobio ime po sličnosti između metode zaraze i poznatog taktičkog poteza tokom opsade Troje. Primer trojanske infekcije - dobijate pismo od izvesnog "prijatelja" sa tekstom: - "Zdravo! Upravo sam se vratio sa mora - tako sam se lepo odmorio! Evo mojih slika - pogledajte.", i u prilogu datoteke sa ekstenzijom ".JPG". Te iste datoteke su trojanski konj u čijoj se dubini krije zlonamjerni kod. Najčešći izvori zaraze su e-pošta, stranice za upoznavanje, muzičke stranice i stranice sa besplatnim softverom. Šta radi Trojanac? Po pravilu, njegov zadatak je da otvori put drugim virusima, da djeluje kao prvo uporište. Kako izbjeći zarazu trojancem? Ovdje je sve kao u životu - zaštitite se i izbjegavajte slučajne veze =). Ovo pravilo vrijedi za sve viruse i drugi zlonamjerni softver. Ako vam je poslat e-mail - pre nego što pogledate priložene fajlove, proverite pošiljaoca, sačuvajte prilog na računar i proverite ga antivirusom, pa ga tek onda otvorite.
Crv ili crv je karakteristika ovih programa u evoluciji i autonomiji. Kada crv uđe na računar, obično napada mail programe i internet pejdžere. Nakon što dobije pristup pošti ili pejdžeru, počinje da šalje pisma/poruke koje sadrže modifikovanu verziju njega samog. Nakon toga se ili samouništava ili inficira izvršne datoteke (EXE, COM, BAT). Pošto se virus sam mijenja, on je neranjiv dok se ne otkrije u vašoj antivirusnoj bazi podataka. Zato je danas licencirani antivirus neophodan za svakog vlasnika računara.
Kompjuterski virus je posebno napisan mali program koji se može "pripisati" drugim programima (tj. "inficirati" ih), kao i izvršiti razne neželjene radnje na računaru. Program koji sadrži virus naziva se zaražen. Kada takav program počne da radi, virus prvo preuzima kontrolu. Virus pronalazi i "inficira" druge programe, a izvodi i neke štetne radnje (na primjer, kvari datoteke ili tablicu dodjele datoteka (FAT) na disku, "začepi" RAM itd.). Da bi se prikrio virus, radnje za zarazu drugih programa i nanošenje štete možda neće biti uvijek izvedene, ali, recimo, kada su ispunjeni određeni uvjeti. Nakon što virus izvrši radnje koje su mu potrebne, on prenosi kontrolu na program u kojem se nalazi i radi kao i obično. Stoga, spolja, rad zaraženog programa izgleda isto kao i nezaraženog.
Mnoge vrste virusa su dizajnirane tako da kada se pokrene zaraženi program, virus ostaje u memoriji računara i s vremena na vreme inficira programe i vrši neželjene radnje na računaru.
Sve radnje virusa mogu se izvršiti vrlo brzo i bez izdavanja ikakvih poruka, stoga je korisniku vrlo teško, gotovo nemoguće utvrditi da se nešto neobično dešava na računaru.
Sve dok na računaru ima relativno malo zaraženih programa, prisustvo virusa može biti gotovo nevidljivo. Međutim, nakon nekog vremena, nešto čudno počinje da se dešava na računaru, na primer:
- neki programi prestanu da rade ili počnu da rade pogrešno;
- na ekranu se prikazuju strane poruke, simboli itd.;
- rad na računaru se značajno usporava;
- neki fajlovi su oštećeni, itd.
Do tog vremena, u pravilu, dosta (ili čak većina) tehničkih programa s kojima radite već je zaraženo virusom, a neke datoteke i diskovi su oštećeni. Štaviše, zaraženi programi sa vašeg računara su možda već prebačeni pomoću disketa ili lokalne mreže na računare vaših kolega i prijatelja.
Neki virusi su vrlo podmukli. U početku nevidljivo inficiraju veliki broj programa i diskova, a zatim uzrokuju vrlo ozbiljnu štetu, na primjer, formatiraju cijeli tvrdi disk na računalu, naravno, nakon toga je jednostavno nemoguće oporaviti podatke. A postoje virusi koji se ponašaju vrlo prikriveno i malo po malo pokvare podatke na tvrdom disku ili pomjeraju tablicu dodjele datoteka (FAT).
Stoga, ako ne preduzmete mjere zaštite od virusa, posljedice infekcije mogu biti vrlo ozbiljne. Na primjer, početkom 1989. Virus, koji je napisao američki student Morris, zarazio je i onesposobio hiljade računara, uključujući i one koji pripadaju američkom Ministarstvu odbrane. Autora virusa sud je osudio na tri mjeseca zatvora i novčanu kaznu od 270 hiljada dolara. Kazna je mogla biti i stroža, ali je sud uzeo u obzir da virus nije pokvario podatke, već se samo umnožio.
Da bi program-virus bio nevidljiv, mora biti male veličine. Stoga se virusi obično pišu na asemblerskim jezicima niskog nivoa ili na komandama jezika niskog nivoa C.
Viruse pišu iskusni programeri ili studenti jednostavno iz radoznalosti ili da bi se osvetili nekome ili preduzeću koje ih je neprikladno tretiralo ili u komercijalne ili ciljane sabotažne svrhe. Koje god ciljeve želi autor, virus može završiti na vašem računalu i pokušat će izvršiti iste štetne radnje kao i onaj za koga je stvoren.
Treba napomenuti da pisanje virusa nije tako težak zadatak, sasvim dostupan studentu koji studira programiranje. Stoga se svake sedmice u svijetu pojavljuje sve više virusa. I mnoge od njih se proizvode u našoj zemlji.
Oštećeni i zaraženi fajlovi
Kompjuterski virus može pokvariti, tj. nepropisno izmijenite bilo koju datoteku na diskovima vašeg računara. Ali virus može "zaraziti" neke vrste datoteka. To znači da se virus može "infiltrirati" u ove datoteke, tj. modificirati ih tako da sadrže virus koji pod određenim okolnostima može početi djelovati.
Treba napomenuti da tekstovi programa i dokumenata, informativne datoteke baza podataka, tabele procesora tablica i druge slične datoteke ne mogu biti zaražene uobičajenim virusom, on ih može samo pokvariti. Takve datoteke mogu biti zaražene samo makro virusima. Ovi virusi mogu čak zaraziti i vaše dokumente.
Učitavač operativnog sistema i glavni zapis za pokretanje sa hard diska. Virusi koji inficiraju ova područja nazivaju se virusi za pokretanje ili BOOT virusi. Takav virus počinje sa radom kada se računar pokrene i postane rezidentan, tj. nalazi se u memoriji računara. Mehanizam distribucije - infekcija boot zapisa disketa ubačenih u računar. Takvi virusi se često sastoje iz dva dijela, jer je boot zapis mali i teško je u njih uklopiti cijeli virusni program. Dio virusa se nalazi u drugom dijelu diska, na primjer, na kraju korijenskog direktorija diska ili u klasteru u području podataka diska (obično se takav klaster proglašava neispravnim kako bi se spriječilo virus od prepisivanja prilikom pisanja podataka).
Datoteke upravljačkih programa uređaja navedene u klauzuli DEVICE datoteke CONFIG.SYS. Virus u njima počinje svoj rad sa svakim pristupom odgovarajućem uređaju. Virusi koji inficiraju drajvere uređaja su veoma retki jer se drajveri retko prepisuju sa jednog računara na drugi. Isto važi i za DOS sistemske fajlove (MSDOS.SYS i IO.SYS) - njihova infekcija je takođe teoretski moguća, ali je neefikasna za širenje virusa.
Tipično, svaki određeni tip virusa može zaraziti samo jednu ili dvije vrste datoteka. Najčešći virusi su oni koji inficiraju izvršne datoteke. Boot virusi su na drugom mjestu po učestalosti. Neki virusi inficiraju i datoteke i područja za pokretanje diska. Virusi koji inficiraju drajvere uređaja su izuzetno rijetki, a obično takvi virusi mogu zaraziti i izvršne datoteke.
Klasifikacija virusa
Virusi se mogu podijeliti u klase prema različitim kriterijima. Na primjer, na osnovu izdaje:
Virusi koji trenutno zaraze računar formatiraju hard disk, pokvare tabelu alokacije datoteka, pokvare sektore za pokretanje, brišu takozvani Flash ROM (gde se nalazi BIOS) računara (černobil virus), drugim rečima, uzrokuju nepopravljivu oštetiti računar što je prije moguće. Ovo takođe uključuje rezultate pritužbi programera virusa na antivirusne programe. To se odnosi na takozvane alergije na određene antivirusne programe. Ovi virusi su dovoljno podmukli. Na primjer, alergija na Dr.Weber, prilikom pozivanja ovog programa, bez oklijevanja, blokira antivirus, pokvari sve što se nalazi u direktoriju sa antivirusom i C: WINDOWS. Kao rezultat toga, morate ponovo instalirati operativni sistem, a zatim se boriti protiv virusa drugim sredstvima.
- virusi dizajnirani za dug život u računaru. Oni postepeno i pažljivo inficiraju program za programom, bez reklamiranja svog prisustva, i zamjenjuju početna područja programa za veze do mjesta gdje se nalazi tijelo virusa. Osim toga, oni čine promjenu u strukturi diska neprimjetnom za korisnika, što će se osjetiti tek kada su neki podaci već beznadežno izgubljeni (na primjer, virusi "OneHalf-3544", "Yankey-2C").
Razdvajanje se može izvršiti i na osnovu metoda prijenosa i reprodukcije.
Ranije su virusi uglavnom inficirali samo izvršne datoteke (sa ekstenzijama .com i.exe). Zaista, na kraju krajeva, virus je program i mora se izvršiti.
Sada se virusi šalju e-poštom kao demo programi ili kao slike, na primjer, ako ste e-poštom dobili datoteku "PicturesForYou.jpg", nemojte žuriti da je gledate, pogotovo jer je došao niotkuda. Ako bolje pogledate ime, ispada da ima još 42 razmaka i stvarnu ekstenziju .exe. Odnosno, stvarno puno ime datoteke će biti ovako:
"PicturesForYou.jpg .exe". Sada svako može shvatiti šta ova slika zapravo nosi. Ovo nije slikovna datoteka koja, kada se aktivira, poziva preglednik slika, već drski, pomalo prikriveni virus koji samo čeka da se aktivira klikom miša ili pritiskom na tipku. Takav virus skinete na svoj kompjuter, ispod ljuske neke slike, kao "trojanski konj". Otuda i sleng izraz za viruse kao što su trojanci.
Trenutno postoje takve ljuske informativnih kanala kao što su Internet Explorer, Outlook Express, Microsoft Office. Sada postoji nekoliko klasa takozvanih "makro-virusa". Oni sadrže skrivene komande za podatke ljuske koje su nepoželjne za prosječnog korisnika. I ovaj kod više nije kod za kompjuter, odnosno više nije program, već tekst programa koji izvršava ljuska. Dakle, može se napisati u bilo kojem traženom formatu: .html, .htm - za Internet Explorer, .doc, .xls, .xlw, .txt, .prt, ili bilo koji drugi - za Microsoft Office, itd. Takvi virusi uzrokuju štetu samo određene prirode, jer ljuska nema komande, na primjer, za formatiranje tvrdog diska. Ipak, ova vrsta virusa zaslužuje pažnju, jer uz pomoć skrivenih hiperlinkova može samostalno preuzeti tijelo virusa sa interneta na vaš računar, a neki virusi mogu se ažurirati i djelomično preuzimati putem interneta sa određenih serveri. Na primjer, jedan od japanskih studenata razvio je upravo takav virus koji povezuje mali "downloader" sa bilo kojim formatom unosa sa Interneta. Nadalje, ovaj downloader preuzima tijela virusa sa Interneta sa servera sa Babilon5 IP adresom. Postoje četiri ova tijela. Svaki od njih može samostalno uništiti vaš računar, ali ima određenu svrhu. Ovaj virus je u tipu hibrid između makro virusa i uobičajenih virusa. Ali treba napomenuti da su hibridi najžilaviji, najlukaviji, opasniji i najbrojniji među virusima. Nedavno je došlo do skandala oko programera koji je, prema riječima stručnjaka, stvorio i počeo širiti makrovirus koji je zarazio tekstualne datoteke za Microsoft Word. Izračunato je prema datumu i vremenu kreiranja originalnog dokumenta, koji je pohranjen u nevidljivim dijelovima .doc fajlova. Moguće je da je fajl kreirala druga osoba pre nego što mu je prikačen virus, tada ostaje otvoreno pitanje o napadaču. Ali stručnjaci kažu da je to to.
Na primjer, virus Win32.HLLM.Klez. jedna od varijanti opasnog mrežnog crva širi se slanjem svojih kopija e-poštom. Osim toga, ovaj crv se može širiti preko lokalne mreže, inficirajući računare čiji su diskovi zajednički mrežni resursi koji su dostupni za pisanje. Jednom u sistemu, crv se šalje na adrese koje se nalaze u Windows adresaru, u ICQ bazi podataka i u lokalnim datotekama. Zaražene poruke koje šalje ovaj crv iskorištavaju jednu od relativno dobro poznatih grešaka u sigurnosnom sistemu Internet Explorer-a, koja omogućava da se programska datoteka (sa virusom) prikačena uz poruku automatski pokrene kada jednostavno pregledate poštu u Outlook-u i Outlook Express-u. .
Pokušajmo razmotriti metode kamuflaže i zaštite koje koriste virusi protiv nas običnih korisnika i antivirusnih programa.
Izdajstvo je glavni i najbrži način da napravite prljavi trik prije nego što budete otkriveni. Černobil virus, na primjer, potpuno briše BIOS (program za pokretanje koji se nalazi u ROM čipu koji omogućava da računar radi). Nakon ovoga, računar neće moći da prikaže ništa. Ali njegov rad se lako blokira ako je unutar računara instaliran prekidač koji zabranjuje upisivanje u ROM područje. Dakle, bio je to prvi, ali i, kako mislim, posljednji predstavnik hardverskih virusa.
Regenerativni virusi dijele svoje tijelo na nekoliko dijelova i pohranjuju ih na različitim mjestima na tvrdom disku. U skladu s tim, ovi dijelovi su u stanju da se samostalno pronalaze i sastavljaju za regeneraciju tijela virusa. Antivirusni program otkriva i ubija samo tijelo virusa, a dijelovi ovog tijela nisu uključeni u antivirusnu bazu podataka jer su modificirani. Ciljano nisko formatiranje tvrdog diska pomaže protiv takvih virusa. Prije toga, morate poduzeti pažljive mjere za očuvanje informacija.
Sly virusi se kriju ne samo od nas, već i od antivirusnih programa. Ovi "kameleoni" se modificiraju uz pomoć najlukavijih i najzamršenijih operacija, koristeći i trenutne podatke (vrijeme kreiranja datoteke) i koristeći gotovo polovinu cjelokupnog skupa instrukcija procesora. U nekom trenutku, naravno, prema lukavom algoritmu, oni se pretvaraju u podmukli virus i počinju da se bave našim računarom. Ovo je najteži tip virusa za otkrivanje, ali neki antivirusni programi, kao što je "Dr. Weber", mogu otkriti i neutralizirati slične viruse pomoću takozvane heurističke analize.
"Nevidljivi" virusi koriste takozvanu "Stelth" metodu kako bi spriječili njihovo otkrivanje. Sastoji se od toga da virus koji je rezidentan u memoriji presreće DOS (a samim tim i aplikativni programi) pozive zaraženim datotekama i diskovima i prikazuje ih u originalnom (neinficiranom) obliku. Naravno, ovaj efekat se primećuje samo na zaraženom računaru - na "čistom" računaru lako se mogu otkriti promene u datotekama i delovima diska za pokretanje. Međutim, neki antivirusni programi mogu otkriti nevidljive viruse čak i na zaraženim računarima.
Mrežni crv Randon pojavio se u martu 2003. Širi se kroz IRC kanale i lokalne mrežne resurse i inficira računare koji koriste Windows 2000 i Windows XP operativne sisteme. Da bi ušao u računar, povezuje se na lokalnu mrežu ili IRC server, skenira korisnike na njemu, uspostavlja vezu sa njima na portu 445 i pokušava da pogodi lozinku sa ugrađene liste najčešće korišćenih fraza. Ako je sistem uspješno kompromitovan, Random mu šalje Apher Trojan, koji zauzvrat preuzima preostale komponente crva sa udaljene web stranice. Nakon toga "Randon" instalira svoje komponente u Windows sistemski direktorij, registruje svoj glavni fajl. Da bi sakrio prisustvo u memoriji, koristi poseban uslužni program "HideWindows", koji je takođe komponenta crva. Zahvaljujući njemu, korisniku je nevidljiv, tako da se aktivni "Randon" proces može otkriti samo u Windows Task Manageru. Njegovi neželjeni efekti su stvaranje velike količine viška saobraćaja na zaraženoj mašini i prelivanje IRC kanala.
Prema Kaspersky Lab-u, jednom od vodećih programera antivirusnih programa, on pruža pregled aktivnosti virusa za mart 2003. (Tabela 2 i Slika 1)
Top 20 najčešćih zlonamjernih programa
Tab. 2
Naziv Udio u ukupnom broju virusnih incidenata (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03%
4. I-Worm.Avron 3,30%
5. Makro.Riječ97.Tako 2,62%
6. I-Worm.Tanatos 1,38%
7. Makro. Word97.Marker 1,21%
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04%
10. Win95.CIH 0,69%
11. Worm.Win32.Randon 0,58%
12. VBS.Redlof 0,57%
13. Backdoor.Death 0,51%
14. Win95.Spaces 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0.49%
17. Backdoor.NetDevil 0,48%
18. Win32.HLLP.Hantaner 0,45%
19. TrojanDropper.Win32.Delf 0,42%
20. TrojanDropper.Win32.Yabinder 0,41%
Drugi zlonamjerni softver * 26,33%
* nije uključeno u 20 najčešćih
PREVENCIJA I BORBA PROTIV KOMPJUTERSKIH VIRUSA
Osnovne metode zaštite od kompjuterskih virusa
Za zaštitu od virusa možete koristiti:
- Opći alati za zaštitu informacija, koji su korisni i kao osiguranje od fizičkog oštećenja diskova, nepravilnog rada programa ili pogrešnih radnji korisnika;
- preventivne mjere za smanjenje vjerovatnoće zaraze kompjuterskim virusom;
- specijalizovani programi za zaštitu od virusa.
- Opći alati za sigurnost informacija korisni su za više od zaštite od virusa. Postoje dvije glavne vrste ovih lijekova:
kopiranje informacija - kreiranje kopija datoteka i sistemskih područja diskova;
razgraničenje pristupa sprječava neovlašteno korištenje informacija, posebno zaštitu od promjena u programima i podacima virusima, neispravnim programima i pogrešnim radnjama korisnika.
Iako su opći alati za sigurnost informacija vrlo važni za zaštitu od kompjuterskih virusa, oni nisu dovoljni. Za zaštitu od kompjuterskih virusa potrebno je koristiti specijalizirane programe. Ovi programi se mogu podijeliti u nekoliko tipova:
Programi detektori mogu otkriti datoteke zaražene jednim od nekoliko poznatih virusa.
Programi - doktori, odnosno fagi, "liječe viruse" zaražene programe ili diskove, "izgrizaju" tijelo virusa iz zaraženih programa, tj. vraćanje programa u stanje u kojem je bio prije infekcije virusom.
Programi – revizori prvo pamte informacije o stanju programa i sistemskih područja diskova, a zatim upoređuju njihovo stanje sa originalnim. Ako se uoče nedosljednosti, korisnik se o tome obavještava.
Doktori - revizori su hibridi revizora i doktora, tj. programi koji ne samo da otkrivaju promjene u datotekama i sistemskim područjima pogona, već ih mogu automatski vratiti u prvobitno stanje.
Programi - filteri se nalaze u RAM-u računara i presreću one pozive operativnom sistemu koje koriste virusi da se umnože i nanose štetu, i prijavljuju ih korisniku. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju.
Programi - vakcine, odnosno imunizatori, modificiraju programe i diskove na način da to ne utiče na rad programa, ali virus od kojeg se provodi vakcinacija smatra te programe i diskove već zaraženim. Ovi programi su veoma neefikasni i ne razmatraju se dalje.
Nažalost, nijedan tip antivirusnog softvera ne pruža potpunu zaštitu od kompjuterskih virusa. Stoga je najbolja strategija za zaštitu od virusa odbrana na više nivoa, "ešalon". Hajde da opišemo strukturu ove odbrane.
Obavještajni alati u "odbrani" od virusa odgovaraju programima - detektorima koji omogućavaju provjeru novoprimljenog softvera na viruse.
Na čelu odbrane su programi za filtriranje (rezidentni programi za zaštitu od virusa). Ovi programi mogu biti prvi koji će prijaviti napad virusa i spriječiti infekciju programa i diska.
Drugi ešalon odbrane čine programi revizije, doktorski programi i doktori revizori. Ispitivači otkrivaju napad čak i kada je virus uspio da se "provuče" kroz prve linije odbrane. Doktorski programi se koriste za vraćanje zaraženih programa ako njihove kopije nisu u arhivi. Ali ne tretiraju ih uvijek ispravno. Doktori-inspektori otkrivaju virusni napad i liječe viruse - zaražene datoteke, te kontroliraju ispravnost tretmana virusa, a ukoliko je viruse nemoguće izliječiti, svakako preporučuju uklanjanje virusa (zaraženih datoteka).
Najdublji ešalon odbrane je sredstvo razlikovanja pristupa. Oni sprečavaju da virusi i programi koji ne funkcionišu, čak i ako su ušli u vaš računar, pokvare važne podatke.
I, konačno, "strateška rezerva" sadrži arhivirane kopije informacija i "referentne" diskete sa softverskim proizvodima. Oni vam omogućavaju da povratite informacije ako su oštećene na tvrdom disku.
Programi - detektori i doktori
U većini slučajeva mogu se pronaći već razvijeni detektorski programi za otkrivanje virusa koji je zarazio računar. Ovi programi provjeravaju da li datoteke na korisničkom disku imaju kombinaciju bajtova specifičnu za virus. Ako se pronađe u bilo kojoj datoteci, na ekranu se prikazuje odgovarajuća poruka. Mnogi detektori imaju način liječenja virusa ili uklanjanje virusa.
Treba napomenuti da program detektor može otkriti samo one viruse koji su mu poznati (tj. uneseni u antivirusnu bazu ovog programa).
Jedan od ovih programa je Kasperskyjev KIS.
Sve u njemu ima zgodan i intuitivan interfejs. Program je dizajniran za operativni sistem Windows XP i Windows Vista, što mu omogućava da radi paralelno sa drugim aplikacijama. Kaspersky Lab je ruski lider u razvoju antivirusnih sigurnosnih sistema.
Tu je i AVAST.
Ovo su dobro dokazani zaštitnici vašeg računala - liječenje većine virusa i uklanjanje virusa u slučaju njihove kritične prijetnje ili neizlječive.
Većina detektorskih programa ima i funkciju "doktor", tj. pokušavaju da vrate zaražene datoteke i diskove u prvobitno stanje - da očiste viruse. Datoteke koje nije bilo moguće dezinficirati se obično čine neoperativnim ili se brišu.
Prevencija virusne infekcije
Pogledajmo neke od mjera koje možete poduzeti da smanjite vjerovatnoću da virus zarazi vaš računar, kao i da smanjite štetu od infekcije virusom ako se ona ipak dogodi.
1. Bilo bi lijepo imati i po potrebi ažurirati arhivirane i master kopije korištenih softverskih paketa i podataka. Prije pravljenja sigurnosne kopije podataka, preporučljivo je provjeriti da li ima virusa.
2. Takođe je preporučljivo kopirati servisne informacije vašeg diska (FAT, sektori za pokretanje) i CMOS (nehlapljiva računarska memorija) na diskete. Možete napraviti rezervnu kopiju i vratiti ove informacije pomoću programa Rescue u softverskom paketu Norton Utilities.
3. Trebali biste postaviti zaštitu od pisanja na arhivske diskete.
4. Ne bi trebalo da se bavite nelicenciranim i ilegalnim kopiranjem softvera sa drugih računara. Možda imaju virus na sebi.
5. Sve podatke koji dolaze spolja treba provjeriti na viruse, posebno datoteke "skinuti" sa interneta.
6. Potrebno je unaprijed pripremiti paket za oporavak na disketama sa zaštitom od pisanja.
7. Tokom normalnog rada, koji nije povezan sa oporavkom računara, vrijedi onemogućiti pokretanje sa diskete. Ovo će spriječiti infekciju virusom za pokretanje.
8. Koristite programe - filtere za rano otkrivanje virusa.
9. Periodično provjeravajte disk softverskim detektorima ili doktorima - detektorima ili revizorima da otkrijete moguće kvarove u odbrani.
10. Ažurirajte bazu podataka antivirusnih programa.
11. Držite sumnjive korisnike dalje od svog računara.
ZAKLJUČAK
Zaključno, želio bih upozoriti na previše revnosnu borbu protiv kompjuterskih virusa. Svakodnevno potpuno skeniranje vašeg tvrdog diska na viruse takođe nije odličan korak u prevenciji infekcija. Jedini civilizovan način zaštite od virusa vidim u poštovanju preventivnih mera predostrožnosti pri radu na računaru. I također morate pribjeći pomoći stručnjaka za borbu protiv kompjuterskog virusa. Osim toga, čak i ako virus prodre u vaš računar, nema razloga za paniku.
Često glavna nevolja Interneta nisu virusi i hakeri, već tako rašireni fenomen kao što je kompjuterska nepismenost. Koristeći analogiju Kasperskog, nepoznavanje pravila puta. Ljudi koji su nedavno naučili da primaju i šalju poštu demoniziraju kompjuterske viruse, gotovo ih zamišljajući kao nevidljive crne crve koji puze po žicama. Evo nekoliko jednostavnih pravila kojih se možete pridržavati kako biste izbjegli zarazu virusima. Prvo: ne boje se kompjuterskih virusa, svi su izlječivi. Drugo: staviti Microsoft Outlook u režim rada u zoni ograničenih lokacija, što će ga spriječiti da automatski izvršava određene programe - osnovni princip širenja kompjuterskih virusa. Treće: ne otvarajte pisma sumnjivih primalaca. Četvrto: koristite svježi, i što je još važnije, LICENCIRANI antivirus.
Nakon pokretanja programa koji sadrži virus, postaje moguće zaraziti druge datoteke. Najčešći virus inficira boot sektor diska i izvršne datoteke s ekstenzijama EXE, COM, SYS ili BAT. Izuzetno je rijetko da se tekstualne i grafičke datoteke zaraze.
Zaraženi program je program koji sadrži virusni program ugrađen u njega.
Znakovi virusa
Kada se računar zarazi virusom, veoma je važno da ga otkrijete na vreme. Da biste to učinili, trebali biste znati o glavnim znakovima manifestacije virusa. To uključuje sljedeće:
Prestanak rada ili nepravilan rad prethodno uspješno funkcionisanih programa;
Spore performanse računara;
Nemogućnost učitavanja operativnog sistema;
Nestanak datoteka i direktorija ili izobličenje njihovog sadržaja;
Promjena datuma i vremena izmjene datoteke;
Promjena veličine datoteka;
Neočekivano značajno povećanje broja datoteka na disku;
Značajno smanjenje veličine slobodnog RAM-a;
Prikazivanje neželjenih poruka ili slika na ekranu;
Podnošenje nenamjernih zvučnih signala;
Često zamrzavanje i rušenje računara.
Treba napomenuti da gore navedene pojave nisu nužno uzrokovane prisustvom virusa, već mogu biti uzrokovane drugim uzrocima. Stoga je uvijek teško ispravno dijagnosticirati stanje računara.
Glavne vrste virusa
Trenutno je poznato više od 15.000 softverskih virusa, koji se mogu klasifikovati prema sledećim kriterijumima (Sl.11.10):
Po staništu;
Metodom infekcije;
Po stepenu uticaja;
Po karakteristikama algoritma.
U zavisnosti od stanište virusi se mogu razdvojiti
na mreži,
fajl,
Boot
File-bootable.
· Mrežni virusi se šire po raznim računarskim mrežama.
· Datotečni virusi se uvode uglavnom u izvršne module, tj. na datoteke sa ekstenzijama COM i EXE. Datotečni virusi se mogu ubaciti u druge vrste datoteka, ali, po pravilu, snimljeni u takvim datotekama, nikada ne stječu kontrolu i stoga gube sposobnost repliciranja.
· Boot virusi se unose u sektor za pokretanje diska (Boot sektor) ili u sektor koji sadrži program za pokretanje sistemskog diska (Master Boot Record).
· Virusi za pokretanje datoteka inficiraju i datoteke i sektore za pokretanje diskova.
Putem infekcije virusi se dijele na
Resident
Nerezident.
· Virus rezidentan u memoriji, kada inficira (inficira) računar, ostavlja svoj rezidentni dio u RAM-u, koji tada presreće pristup operativnom sistemu objektima infekcije (fajlovi, boot sektori diskova, itd.) i ubrizgava se u njih . Rezidentni virusi se nalaze u memoriji i ostaju aktivni dok se računar ne isključi ili ponovo pokrene.
· Nerezidentni serveri ne inficiraju memoriju računara i aktivni su ograničeno vreme.
Prema stepenu uticaja, virusi se mogu podeliti na sledeće tipove:
neopasan, ne ometaju rad računala, ali smanjuju količinu slobodne RAM-a i memorije na diskovima, djelovanje takvih virusa očituje se u bilo kojim grafičkim ili zvučnim efektima;
opasni virusišto može dovesti do raznih smetnji u radu računara;
veoma opasno, čiji uticaj može dovesti do gubitka programa, uništenja podataka, brisanja informacija u sistemskim oblastima diska
Po karakteristikama algoritma viruse je teško klasifikovati zbog njihove široke raznolikosti.
Može se primetiti replikatorski virusi koji se nazivaju crvi, koji se šire po računarskim mrežama, izračunavaju adrese mrežnih računara i pišu svoje kopije na tim adresama.
Poznato stealth virusi koji se nazivaju step virusi, koje je veoma teško otkriti i neutralisati, jer presreću pozive operativnog sistema zaraženim fajlovima i sektorima diska i zamenjuju neinficirane diskove umesto njihovih tela.
Najteže je pronaći mutantnih virusa koji sadrže algoritme šifriranja-dešifriranja, zahvaljujući kojima kopije istog virusa nemaju niti jedan ponovljeni niz bajtova.
Postoje i tzv kvazivirusni ili "trojanski" programi, koji, iako nisu sposobni za samorazmnožavanje, vrlo su opasni, jer, prerušavajući se u koristan program, uništavaju sektor za pokretanje i sistem datoteka na diskovima.
Programi za otkrivanje i zaštitu od virusa
Karakteristike antivirusnih programa
Za otkrivanje, uklanjanje i zaštitu od kompjuterskih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućavaju otkrivanje i uništavanje virusa. Takvi programi se nazivaju antivirusni programi.
Postoje sljedeće vrste antivirusnih programa:
· Programi-detektori;
· Programi-doktori ili fagi;
· Programi-revizori;
· Filtriranje programa;
· Programi vakcinacije ili imunizatori.
Detektorski programi potražite sekvencu bajtova (virusni potpis) karakterističan za određeni virus u RAM-u i u datotekama i nakon detekcije izdajte odgovarajuću poruku. Mana ovakvih antivirusnih programa se očituje u tome što mogu pronaći samo viruse koji su poznati programerima takvih programa.
Doktorski programi ili fagi - dizajniran za liječenje zaraženih diskova i programa. Liječenje programa se sastoji u uklanjanju tijela virusa iz zaraženog programa. Polifag je sposoban uništiti mnoge viruse. Najpoznatiji su Aidstest, Norton AntiVirus i Doctor Web.
revizorski programi: dizajniran za otkrivanje virusne infekcije datoteka, kao i za pronalaženje oštećenih datoteka. Ovi programi pamte podatke o stanju programa i sistemskim područjima diskova u normalnom stanju (prije infekcije) i upoređuju te podatke dok računar radi. U slučaju nedosljednosti podataka, prikazuje se poruka o mogućnosti infekcije;
filtrirajte programe ili skladišta dizajnirani su za presretanje poziva u operativni sistem, koje koriste virusi za širenje i obavještavanje korisnika o tome. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju. Takvi programi su rezidentni, odnosno nalaze se u RAM-u računara.
programe vakcinacije: koriste se za obradu datoteka i sektora za pokretanje kako bi se spriječila infekcija poznatim virusima (u posljednje vrijeme ova metoda se sve češće koristi).
Vakcine ili imunizatori su TSR programi koji sprečavaju zaraze datoteka. Vakcine se koriste ako ne postoje doktorski programi koji "liječe" ovaj virus. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na način da ne utječe na njihov rad, a virus će ih percipirati kao zaražene i stoga neće biti uveden. Programi vakcinacije su trenutno u ograničenoj upotrebi.
Treba napomenuti da je izbor jednog "najboljeg" antivirusa krajnje pogrešna odluka. Preporučljivo je koristiti nekoliko različitih antivirusnih paketa istovremeno. Prilikom odabira antivirusnog programa treba obratiti pažnju na parametar kao što je broj potpisa koji prepoznaju (niz znakova koji će zajamčeno prepoznati virus). Drugi parametar je prisustvo heurističkog analizatora za nepoznate viruse, njegovo prisustvo je veoma korisno, ali značajno usporava vreme rada programa. Danas postoji veliki izbor antivirusnih programa.
Jedan od najboljih antivirusnih programa sa moćnim algoritmom za otkrivanje virusa. Polifag, koji može skenirati datoteke u arhivama, Word dokumentima i Excel radnim knjigama, otkriva polimorfne viruse koji su u posljednje vrijeme postali sve rasprostranjeniji. Dovoljno je reći da je epidemiju veoma opasnog OneHalf virusa zaustavio DrWeb. DrWeb heuristički analizator, koji ispituje programe na prisustvo fragmenata koda tipičnih za viruse, omogućava pronalaženje skoro 90% nepoznatih virusa. Prilikom učitavanja programa, prije svega, DrWeb sam provjerava integritet, nakon čega testira RAM. Program može raditi u dijalogu, ima zgodan prilagodljiv korisnički interfejs.
Antivirusni revizor ADINF (Avanced DiskINFoscope) vam omogućava da pronađete i uništite kako postojeće konvencionalne, stealth- i polimorfne viruse, tako i potpuno nove. Antivirus ima na raspolaganju jedinicu za liječenje ADINF auditora - Adinf Cure Module - koja može neutralizirati do 97% svih virusa. Ovu cifru daje "Dialogue Science", na osnovu rezultata testiranja, koje je obavljeno na kolekcijama virusa dva priznata autoriteta u ovoj oblasti - D. N. Lozinsky i Dr. Solomon (Velika Britanija).
ADINF se učitava automatski kada se računar uključi i prati boot sektor i fajlove na disku (datum i vreme kreiranja, dužina, kontrolni zbir), prikazujući poruke o njihovim promenama. Zbog činjenice da ADINF obavlja operacije diska zaobilazeći operativni sistem, pozivajući se na funkcije BIOS-a, postiže se ne samo mogućnost detekcije aktivnih stealth-virusa, već i velika brzina provjere diska. Ako se pronađe virus za pokretanje, ADINF će jednostavno vratiti prethodni sektor za pokretanje koji je pohranjen u njegovoj tabeli. Ako je virus fajl virus, tada u pomoć dolazi blok za liječenje Adinf Cure Module, koji na osnovu izvještaja glavnog modula o zaraženim datotekama upoređuje nove parametre datoteke sa prethodnim pohranjenim u posebnim tabelama. Ako se otkriju odstupanja, ADINF vraća prethodno stanje datoteke, umjesto da uništava tijelo virusa, kao što to rade polifagi.
Antivirusni AVP (AntiVirus Program) se odnosi na polifage, u procesu provjerava RAM, datoteke, uključujući i arhivirane, na disketnim, lokalnim, mrežnim i CD-ROM uređajima, kao i strukture podataka sistema kao što je sektor za pokretanje, tabela particija itd. itd. Program ima heuristički analizator, koji, prema antivirusnim programerima, može otkriti skoro 80% svih virusa. AVP je 32-bitna aplikacija za operativne sisteme Windows 98, NT i 2000, ima interfejs prilagođen korisniku, kao i jednu od najvećih antivirusnih baza podataka na svetu. Antivirusne baze podataka za AVP ažuriraju se otprilike jednom sedmično i mogu se dobiti sa interneta. Ovaj program traži i uklanja širok spektar virusa, uključujući:
- polimorfni ili samošifrirajući virusi;
- stealth virusi, ili nevidljivi virusi;
- novi virusi za Windows;
- makro virusi koji inficiraju Word dokumente i Excel tabele.
Osim toga, AVP program prati operacije datoteka u sistemu u pozadini, otkriva virus prije nego što stvarno zarazi sistem, a također otkriva nepoznate viruse pomoću heurističkog modula.
kompjuterski virusi
File virusi
Virus se može infiltrirati u tri vrste datoteka:
Tim (BAT);
Učitavači drajveri (IO.SYS, MSDOS.SYS, itd.);
Izvršne binarne datoteke (EXE, COM).
Moguće je uneti virus u datoteke podataka, ali se ti slučajevi javljaju ili kao rezultat virusne greške, ili kada virus manifestuje svoja agresivna svojstva.
Virus se ubacuje u SYS datoteku na sljedeći način: virusi se unose u SYS datoteku, dodjeljuju svoje kodove tijelu datoteke i modificiraju adrese programa strategije i prekida zaraženog drajvera (postoje virusi koji mijenjaju adresu samo jedan od programa). Kada se inficirani drajver inicijalizuje, virus presreće odgovarajući zahtev operativnog sistema, prosleđuje ga drajveru, čeka odgovor na njega, ispravlja ga i ostaje u RAM memoriji zajedno sa drajverom u jednom memorijskom bloku. Takav virus može biti izuzetno opasan i izdržljiv, jer se unosi u RAM kada se DOS učita prije bilo kojeg antivirusnog programa, ako je, naravno, i drajver.
Zaraženi fajl drajvera:
Takođe je moguće zaraziti drajver sistema na drugi način, kada virus izmeni svoje zaglavlje tako da DOS tretira zaraženu datoteku kao lanac od dva (ili više) fajlova.
Zaraženi fajl drajvera:
Slično, virus može upisati svoje kodove na početak drajvera, a ako datoteka sadrži nekoliko drajvera, onda na sredinu datoteke.
Virus se unosi u COM i EXE datoteke na sljedeći način: izvršne binarne datoteke su u COM ili EXE formatima, razlikuju se po zaglavlju i načinu na koji se programi pokreću za izvršenje. Ekstenzija naziva datoteke (COM ili EXE) ne odgovara uvijek stvarnom formatu datoteke, što ni na koji način ne utiče na rad programa. COM ili EXE datoteke su zaražene na različite načine, stoga virus mora razlikovati datoteke jednog formata od drugog.
Virusi rješavaju ovaj problem na dva načina: neki analiziraju ekstenziju naziva datoteke, drugi - zaglavlje datoteke. Prva metoda će se u nastavku nazivati infekcijom. COM- (.EXE-) datoteke, drugi način zaraze: COM- (EXE-) datoteke. U većini slučajeva virus ispravno inficira datoteku, odnosno iz informacija sadržanih u njegovom tijelu moguće je potpuno oporaviti zaraženu datoteku. Ali virusi, kao i većina programa, često sadrže greške koje su na prvi pogled nevidljive. Zbog toga, čak i potpuno ispravno napisan virus može nepovratno oštetiti datoteku ako je poražen. Na primjer, virusi koji razlikuju tipove datoteka po ekstenzijama imena (.COM-, .EXE-) su vrlo opasni jer kvare datoteke čija ekstenzija imena ne odgovara internom formatu.
Prilikom širenja virusi datoteka se unose u tijelo zaražene datoteke: početak, kraj ili sredina. Postoji nekoliko mogućnosti za unošenje virusa u sredinu datoteke: može se kopirati u tabelu postavki adrese EXE datoteke ("Boot - Exe"), područje steka datoteke COMMAND.COM ("Lehigh") , može proširiti datoteku ili prepisati dio datoteke na kraju , a njene kodove - na prazan prostor ("April - 1 - Exe", "Phoenix") itd. Osim toga, kopiranje virusa na sredina datoteke može nastati kao rezultat virusne greške. U tom slučaju, datoteka može biti nepovratno oštećena. Postoje i drugi načini da se virus unese u sredinu datoteke, na primjer, virus "Mutant" koristi metodu kompresije nekih dijelova datoteke.
Virus se može umetnuti na početak datoteke na tri načina. Prvi način je da virus prepiše početak zaražene datoteke do njenog kraja, a sam se kopira u oslobođeni prostor. Kada je datoteka zaražena drugom metodom, virus kreira svoju kopiju u RAM-u, dodaje joj zaraženu datoteku i pohranjuje rezultirajuću konkatenaciju na disk. Prilikom zaraze trećom metodom, virus upisuje svoje kodove na početak datoteke bez spremanja starog sadržaja početka datoteke, naravno, datoteka prestaje raditi i ne vraća se.
Injekcija virusa na početku datoteke koristi se u ogromnoj većini slučajeva kada su COM datoteke zaražene. EXE datoteke su zaražene ovom metodom ili kao rezultat virusne greške ili korištenjem "Pascal" virusnog algoritma.
Umetanje virusa na kraj datoteke najčešći je način zaraze. U tom slučaju virus mijenja početak datoteke na način da prve izvršene naredbe programa sadržane u datoteci budu komande virusa. U COM datoteci to se postiže promjenom prva tri (ili više) bajta u kodove JMP Loc_Virus instrukcije (ili, općenito, u kodove programa koji prenosi kontrolu na tijelo virusa). EXE datoteka se ili konvertuje u COM format datoteke, a zatim inficira kao posljednja, ili se mijenja zaglavlje datoteke (dužina, početne adrese).
Standardna metoda infekcije je metoda u kojoj se virus dodaje na kraj datoteke i mijenja prve bajtove COM datoteke i nekoliko polja zaglavlja EXE datoteke.
Virus, nakon prenosa kontrole na njega, djeluje prema sljedećem algoritmu:
Vraća program (ali ne i datoteku) u originalnom obliku;
Ako je virus rezidentan u memoriji, on provjerava RAM za svoju kopiju i inficira memoriju računala ako kopija nije pronađena; ako virus nije rezidentan u memoriji, on traži neinficirane datoteke u trenutnom i korijenskom direktoriju, u direktorijima označenim u naredbi PATH, skenira stablo direktorija logičkih pogona, a zatim inficira otkrivene datoteke;
Obavlja, ako ih ima, dodatne funkcije: destruktivne radnje, grafičke ili zvučne efekte.
Vraća kontrolu glavnom programu.
Boot virusi
Virusi za pokretanje inficiraju sektor za pokretanje diskete i sektor za pokretanje, odnosno glavni zapis za pokretanje tvrdog diska. Kada se disk zarazi, virus u većini slučajeva prenosi originalni sektor za pokretanje u neki drugi sektor diska. Ako je dužina virusa veća od dužine sektora, tada se prvi dio virusa premješta u zaraženi sektor, a ostali se smještaju u druge sektore. Zatim virus kopira sistemske informacije pohranjene u početnom bootloaderu i upisuje ih u sektor za pokretanje (za MBR ova informacija je tabela particija diska, za sektor za pokretanje disketa - BIOS parametarski blok).
Algoritam pokretanja virusa.
Injekcija memorije se dešava prilikom podizanja sistema sa zaraženog diska. U tom slučaju pokretač čita sadržaj prvog sektora diska s kojeg je učitan, stavlja pročitanu informaciju u memoriju i prenosi kontrolu na nju (tj. na virus). Nakon toga počinju se izvršavati instrukcije virusa, što smanjuje količinu slobodne memorije; čita svoj nastavak sa diska; prenosi se u drugo područje pamćenja; postavlja potrebne vektore prekida; obavlja dodatne radnje; kopira originalni Boot sektor u memoriju i prenosi kontrolu na njega.
U budućnosti, boot virus se ponaša na isti način kao virus rezidentnih datoteka u memoriji: presreće pristup operativnom sistemu diskovima i pokreće ih, ovisno o određenim uvjetima, izvodi destruktivne radnje ili izaziva zvučne ili video efekte.
Karakteristike kompjuterskih virusa
Suština i manifestacija kompjuterskih virusa
Ispostavilo se da je masovna upotreba personalnih računara, nažalost, povezana sa pojavom samoreplicirajućih virusa koji ometaju normalan rad računara, uništavaju strukturu datoteka na diskovima i oštećuju informacije pohranjene u računaru. Nakon što prodre u jedan računar, kompjuterski virus se može proširiti na druge računare. Kompjuterski virus je posebno napisan program koji može spontano da se pripaja drugim programima, stvara svoje kopije i ubacuje ih u fajlove, sistemske oblasti računara i računarske mreže kako bi poremetio rad programa, oštetio fajlove i direktorijume, stvorio sve vrste smetnji u radu na kompjuteru širenje kompjuterskih virusa, s jedne strane, krije se u psihologiji ljudske ličnosti i njenim sjenčanim stranama (zavist, osveta, sujeta nepriznatih kreatora, nemogućnost konstruktivnog korišćenja njihovih sposobnosti), s druge strane, su zbog nedostatka hardverske zaštite i protivmjera od operativnog sistema personalnog računara. Uprkos zakonima usvojenim u mnogim zemljama za borbu protiv kompjuterskog kriminala i razvoju posebnih softverskih alata za zaštitu od virusa, sve je veći broj novih softverski virusi u stalnom porastu. Ovo zahteva od korisnika personalnog računara da zna o prirodi virusa, kako da zarazi viruse i kako da se zaštiti od njih.Glavni načini na koji virusi ulaze u računar su prenosivi diskovi (floppy i laser), kao i računarske mreže. Do infekcije tvrdog diska virusima može doći kada se računar pokrene sa diskete koja sadrži virus. Takva infekcija može biti i slučajna, na primjer, ako se disketa ne ukloni iz pogona A: i računar se ponovo pokrene, a disketa možda nije sistemski disk. Zaraziti disketu je mnogo lakše. Virus može doći do njega, čak i ako se disketa jednostavno ubaci u disketnu jedinicu zaraženog računara i, na primjer, pročita njen sadržaj. Zaražen disk- ovo je disk u čijem se sektoru za pokretanje sistema nalazi program - virus. Nakon pokretanja programa koji sadrži virus, postaje moguće zaraziti druge datoteke. Najčešći virus inficira boot sektor diska i izvršne datoteke sa ekstenzijama EXE, .COM, SYS ili BAT. Izuzetno je rijetko da se tekstualne i grafičke datoteke zaraze. Zaraženi program je program koji sadrži virusni program ugrađen u njega.Kada se računar zarazi virusom, veoma je važno da ga otkrijete na vrijeme. Da biste to učinili, trebali biste znati o glavnim znakovima manifestacije virusa. To uključuje sljedeće:- prestanak rada ili nepravilan rad prethodno uspješno funkcionisanih programa;
- spore performanse računara;
- nemogućnost učitavanja operativnog sistema;
- nestanak datoteka i direktorija ili izobličenje njihovog sadržaja;
- promjena datuma i vremena izmjene datoteke;
- promjena veličine datoteka;
- neočekivano značajno povećanje broja datoteka na disku;
- značajno smanjenje veličine slobodnog RAM-a;
- prikazivanje neočekivanih poruka ili slika;
- davanje nenamjernih zvučnih signala;
- česta zamrzavanja i kvarovi na računaru.
- neopasan, ne ometaju rad računala, ali smanjuju količinu slobodne RAM-a i memorije na diskovima, djelovanje takvih virusa očituje se u bilo kojim grafičkim ili zvučnim efektima;
- opasno virusi koji mogu dovesti do raznih poremećaja u radu računala;
- veoma opasnočiji uticaj može dovesti do gubitka programa, uništavanja podataka, brisanja informacija u sistemskim oblastima diska.
PROGRAMI ZA DETEKCIJU I ZAŠTITU VIRUSA
Karakteristike antivirusnih programa Na dan otkrivanja, uklanjanja i zaštite od kompjuterskih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućavaju otkrivanje i uništavanje virusa. Takvi programi se nazivaju antivirus. Postoje sljedeće vrste antivirusnih programa (slika 11.11): Detektorski programi potražite sekvencu bajtova (virusni potpis) karakterističan za određeni virus u RAM-u i u datotekama i nakon detekcije izdajte odgovarajuću poruku. Nedostatak takvog antivirusnog pro-Sl. 11.11. Vrste antivirusnih programa
gram je da mogu pronaći samo viruse koji su poznati programerima takvih programa. Doktorski programi ili fagi, kao i programe vakcinacije ne samo da pronađu fajlove zaražene virusima, već ih i "liječe", tj. uklonite tijelo virusnog programa iz datoteke, vraćajući datoteke u prvobitno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "liječenje" datoteka. Među fagima ima polifagi,
one. Doktorski programi dizajnirani za traženje i uništavanje velikog broja virusa. Najpoznatiji polifagi su Aidstest programi , Skeniranje, Norton AntiVirus i Doctor Web .
S obzirom da se novi virusi stalno pojavljuju, detektorski i doktorski programi brzo zastarevaju, a njihove verzije treba redovno ažurirati. Program revizora spadaju među najpouzdanija sredstva zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim periodično, ili na zahtjev korisnika, upoređuju trenutno stanje sa početnim. Otkrivene promjene se prikazuju na ekranu video monitora. Po pravilu, stanja se porede odmah nakon učitavanja operativnog sistema. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri. Programi revizora imaju prilično napredne algoritme, otkrivaju skrivene viruse i čak mogu razlikovati promjene u verziji programa koji se skenira od promjena koje je napravio virus. Program Adinf kompanije Dialog-Nauka, koji se široko koristi u Rusiji, jedan je od revizorskih programa. Filteri ili "čuvar" su mali rezidentni programi dizajnirani da otkriju sumnjive radnje tokom rada računara, tipične za viruse. Takve radnje mogu biti: - pokušava ispraviti datoteke sa ekstenzijama COM i EHE;
- promjena atributa datoteke;
- direktno upisivanje na disk na apsolutnoj adresi;
- upisivanje u boot sektore diska.
- u režimu interfejsa preko celog ekrana koristeći menije i dijaloške okvire;
- u načinu kontrole komandne linije.
- informacije o boot sektorima;
- informacije o lošim klasterima;
- dužina datoteke i kontrolni sumi;
- datum i vrijeme kada su fajlovi kreirani.
- opremite svoj računar modernim antivirusnim softverom, na primjer Aidstest ili Doctor Web, i stalno ažuriraju svoje verzije;
- pre čitanja informacija snimljenih na drugim računarima sa disketa, uvek proverite ove diskete na viruse tako što ćete pokrenuti antivirusne programe vašeg računara;
- kada prenosite komprimovane datoteke na računar, proverite ih odmah nakon što ih raspakujete na hard disku, ograničavajući područje skeniranja samo na novonapisane datoteke;
- periodično proveravajte hard diskove vašeg računara na viruse tako što ćete pokrenuti antivirusne programe za testiranje datoteka, memorije i sistemskih oblasti diskova sa diskete zaštićene od pisanja, nakon što ste prethodno učitali operativni sistem sa sistemske diskete zaštićene od pisanja;
- uvijek zaštitite svoje diskete od pisanja kada radite na drugim računarima, ako informacije neće biti snimljene na njima;
- obavezno napravite arhivske kopije na disketama informacija koje su vam vrijedne;
- ne ostavljajte u džepu disk jedinice A: diskete prilikom uključivanja ili ponovnog pokretanja operativnog sistema, kako biste isključili infekciju računara virusima za pokretanje;
- koristiti antivirusne programe za dolaznu kontrolu svih izvršnih datoteka primljenih iz računarskih mreža;
- za veću sigurnost upotrebe Aidstest i Doctor Web mora se kombinovati sa svakodnevnom upotrebom disk auditora ADinf.
