Poštovani korisnici, materijal ovog članka ne može se smatrati potpunim i iscrpnim, budući da napredak neprestano ide naprijed i, nažalost, tehnologije za pisanje virusa i zlonamjernog softvera također se poboljšavaju. Ovaj članak je sastavljen u informativne svrhe, kako bi se povećala edukacija i svijest korisnika. Nadam se (netočno naivno) da prezentirani materijal neće nikoga natjerati na pisanje zloćudnih programa, nego natjerati na razmišljanje. Zapamtite, postoji jedna mudra izreka: "Ne pljuj u bunar, morat ćeš piti." U našem slučaju internet je golemi „zdenac“ informacija iz kojeg dobivamo potrebne informacije. Održavati ga čistim naša je izravna odgovornost, jer smo mi njegov sastavni dio (doduše neizravno, ali ipak :).
Što su virusi
Virus- ovo je posebno napisan program male veličine, slijed kodova uputa koji se može "pripisati" drugim programima ("inficirati" ih), stvarati svoje kopije (ne uvijek iste) i ugrađivati ih u datoteke, računalo područja sustava itd. .d., kao i obavljati razne neželjene radnje na računalu.
Računalni virusi svoje ime duguju određenoj sličnosti s prirodnim virusima: sposobnost samozaraze; velika brzina širenja; selektivnost zahvaćenih sustava (svaki virus inficira samo određene sustave ili homogene skupine sustava); mogućnost "zaraze" još nezaraženih sustava; poteškoće u borbi protiv virusa itd.
Klasifikacija računalnih virusa
Konvencionalno, virusi se mogu klasificirati prema sljedećim kriterijima:
* prema staništu virusa
* prema načinu onečišćenja okoliša
* razornim sposobnostima
* prema značajkama algoritma virusa
* prema vrsti destruktivnih djelovanja
Virusi za pokretanje inficiraju sektor za pokretanje diskete i sektor za pokretanje ili glavni zapis za pokretanje (MBR) tvrdog diska. Princip rada boot virusa temelji se na algoritmima za pokretanje operativnog sustava kada se računalo uključi ili ponovno pokrene.
Da bude jasnije, detaljno ću objasniti kako se računalo pokreće: nakon što se računalo uključi, napajanje šalje signal POWER_ON matičnoj ploči, koja zauzvrat provjerava napon u strujnom krugu, ako je normalan , zatim se računalo uključuje. Nadalje, program u BIOS-u (Basic Input Output System) video kartice prima kontrolu, testira komponente video kartice i, po primitku pozitivnih podataka, prenosi kontrolu na BIOS matične ploče. Pokreće POST (Power-On Self Test) proceduru koja vrši samotestiranje svih komponenti sustava, ako je test uspješan i svi pronađeni uređaji daju pozitivne signale, BIOS, sukladno podacima u sekciji Boot, prenosi kontrolu na uređaj koji je prvi na ovom popisu. Kontrola se prenosi traženjem prvog fizičkog sektora, njegovim čitanjem i pokretanjem bootloadera.
U slučaju diskete ili CD-a, boot sektor dobiva kontrolu, koja analizira tablicu parametara diska (BPB - BIOS Parameter Block), izračunava adrese sistemskih datoteka operacijskog sustava, čita ih u memoriju i pokreće na izvršenje. Ako na disketi za pokretanje nema datoteka operativnog sustava, program koji se nalazi u sektoru za pokretanje diska prikazuje poruku o pogrešci i predlaže zamjenu diskete za pokretanje.
U slučaju tvrdog diska, kontrola je dana gore spomenutom pokretačkom programu, koji analizira tablicu particije diska, izračunava adresu aktivnog sektora za pokretanje (obično je ovaj sektor sektor za pokretanje pogona C:), učitava u memoriju i prenosi na nju kontrolu. Nakon što je primio kontrolu, aktivni sektor za pokretanje tvrdog diska izvodi iste radnje kao i sektor za pokretanje diskete. Nadalje, sve je jednostavnije, u datotekama sustava nalazi se učitavač operativnog sustava, koji obavlja daljnje učitavanje OS-a.
Prilikom zaraze diskova, boot virusi "zamjenjuju" svoj kod za neki program koji preuzima kontrolu prilikom dizanja sustava. Dakle, princip zaraze je isti u svim gore opisanim metodama: virus "prisiljava" sustav, kada se ponovno pokrene, da čita u memoriju i da kontrolu ne izvornom kodu bootloadera, već virusnom kodu.
Diskete se zaraze jedinom poznatom metodom - virus piše vlastiti kod umjesto izvornog koda sektora za pokretanje diskete. Tvrdi disk se zarazi na tri moguća načina - virus se zapisuje ili umjesto MBR koda, ili umjesto koda boot sektora boot diska (obično C: pogon), ili mijenja adresu aktivnog boot sektora. u tablici particije diska koja se nalazi u MBR-u tvrdog diska.
Kada je disk zaražen, virus u većini slučajeva prebacuje izvorni boot sektor (ili MBR) u neki drugi sektor diska (primjerice, u prvi slobodni). Ako je duljina virusa veća od duljine sektora, tada se prvi dio virusa postavlja u zaraženi sektor, a preostali dijelovi se postavljaju u druge sektore (na primjer, u prve slobodne).
Postoji nekoliko opcija za postavljanje početnog sektora za pokretanje na disk i nastavak virusa: u sektore slobodnih klastera logičkog diska, u nekorištene ili rijetko korištene sektore sustava, u sektore koji se nalaze izvan diska.
Ako se nastavak virusa nalazi u sektorima koji pripadaju klasterima slobodnih diskova (prilikom traženja tih sektora virus mora analizirati tablicu dodjele datoteka - FAT), tada virus u pravilu označava te klastere u FAT-u. (Fail Allocation Table) kao loše (tzv. pseudo-loši klasteri).
Također, virusi postavljaju početni boot sektor u nekorišteni ili rijetko korišteni sektor - u jedan od sektora tvrdog diska (ako postoji) koji se nalazi između MBR-a i prvog boot sektora, a na disketi se takav sektor odabire iz posljednji sektori korijenskog direktorija.
Neki virusi zapisuju svoj kod u posljednje sektore tvrdog diska, budući da se ti sektori koriste samo kada je tvrdi disk potpuno ispunjen informacijama. Rjeđe se koristi metoda zadržavanja nastavka virusa izvan diska. To se postiže na dva načina. Prvi je smanjenje veličine logičkih diskova: virus oduzima potrebne vrijednosti od odgovarajućih BPB polja sektora za pokretanje i particijske tablice diska tvrdog diska (ako je tvrdi disk zaražen), čime se smanjuje veličina logički disk i pisanje njegovog koda u sektore "odsječene" s njega.
Drugi način je pisanje podataka izvan fizičke particije diska. U slučaju disketa, virus mora formatirati dodatni zapis na disku (nestandardna metoda formatiranja). Postoje virusi koji zapisuju svoj kod izvan slobodnog prostora na tvrdom disku, ako to, naravno, dopušta instalirani hardver.
Naravno, postoje i druge metode postavljanja virusa na disk, na primjer, neki virusi sadrže standardni MBR loader u svom tijelu i, kada su zaraženi, prebrišu originalni MBR bez da ga pohrane.
Kada su zaraženi, većina virusa kopira informacije o sustavu pohranjene u izvornom pokretačkom programu u kod svog pokretačkog programa (za MBR ove informacije su Particiona tablica diska, za Boot sektor disketa to je BIOS Parameter Block). U suprotnom, sustav se neće moći sam pokrenuti, budući da se adrese diskova komponenti sustava izračunavaju na temelju tih informacija.
Međutim, neki Stealth virusi ne pohranjuju te podatke, ili čak i više od toga, oni ih namjerno šifriraju. Kada sustav ili drugi programi pristupe zaraženim sektorima, virus zamjenjuje njihove nezaražene izvornike, a sustav se pokreće bez ikakvih grešaka.
Također treba napomenuti da se boot virusi vrlo rijetko "slažu" zajedno na istom disku - često koriste iste sektore diska za smještaj svog koda/podataka. Kao rezultat toga, kod/podaci prvog virusa su oštećeni kada su zaraženi drugim virusom, a sustav ili visi pri dizanju ili se petlja.
Algoritam pokretanja virusa
Gotovo svi virusi za pokretanje su rezidentni. Oni se unose u memoriju računala prilikom pokretanja sa zaraženog diska. U ovom slučaju, program za učitavanje sustava čita sadržaj prvog sektora diska s kojeg se izvodi dizanje, smješta pročitane informacije u memoriju i prenosi kontrolu na njega (tj. na virus). Nakon toga počinju se izvršavati upute virusa koje:
1.
u pravilu smanjuje količinu slobodne memorije (riječ na adresi 0040:0013), kopira svoj kod u oslobođeni prostor i čita njegov nastavak (ako postoji) s diska. U budućnosti, neki virusi "čekaju" da se OS učita i vrati ovoj riječi izvorno značenje. Kao rezultat toga, oni se ne nalaze izvan OS-a, već kao zasebni memorijski blokovi operativnog sustava.
2.
presreće potrebne vektore prekida (obično - INT 13h), čita originalni boot sektor u memoriju i prenosi kontrolu na njega.
Ubuduće se boot virus ponaša na isti način kao virus rezidentne datoteke: presreće pristup operativnog sustava diskovima i inficira ih, ovisno o određenim uvjetima, izvodi destruktivne radnje ili izaziva zvučne ili video efekte.
Postoje nerezidentni virusi za pokretanje - kada se učitaju, oni zaraze MBR tvrdog diska i disketa, ako su prisutni u pogonima. Zatim takvi virusi prenose kontrolu na izvorni bootloader i više ne utječu na rad računala.
File virusi
Ova skupina uključuje viruse koji tijekom svoje reprodukcije na ovaj ili onaj način koriste datotečni sustav bilo kojeg OS-a.
Uvođenje datotečnog virusa moguće je u gotovo sve izvršne datoteke svih popularnih operativnih sustava, kao i dinamičke i virtualne biblioteke upravljačkih programa (dll, VxD) i mnoge druge datoteke.
Postoje virusi koji zaraze datoteke koje sadrže izvorne tekstove programa, biblioteke ili objektne module. Moguće je da virus piše u podatkovne datoteke, ali to se događa ili kao rezultat pogreške virusa ili kada se očituju njegova agresivna svojstva. Makro virusi također zapisuju svoj kod u podatkovne datoteke - dokumente ili proračunske tablice - no ti su virusi toliko specifični da su svrstani u zasebnu skupinu.
Ova metoda zaraze je najjednostavnija: virus piše vlastiti kod umjesto koda zaražene datoteke, uništavajući njezin sadržaj. Naravno, u ovom slučaju datoteka prestaje raditi i ne vraća se. Takvi se virusi vrlo brzo otkriju jer operativni sustav i aplikacije dosta brzo prestanu raditi.
Ubacivanje virusa na početak datoteke
Uvođenje virusa na početak datoteke koristi se u velikoj većini slučajeva kod zaraze DOS BAT i COM datoteka.Postoji nekoliko virusa koji se sami zapisuju na početak EXE datoteka DOS, Windows pa čak i Linux operativnih sustava. Istodobno, virusi, kako bi održali rad programa ili dezinficirali zaraženu datoteku, ponovno je pokreću, čekaju da završi i ponovno pišu na njen početak (ponekad se koristi privremena datoteka u koju se upisuje neutralizirana datoteka) , ili vratiti programski kod u memoriju računala i konfigurirati potrebne adrese u njegovom tijelu (tj. duplicirati rad OS-a).
Ubrizgavanje virusa na kraju datoteke
Najčešći način ubacivanja virusa u datoteku je dodavanje virusa na kraj datoteke. U tom slučaju virus mijenja početak datoteke na način da su prve izvršne naredbe programa sadržane u datoteci naredbe virusa.
U DOS COM datoteci, to se u većini slučajeva postiže promjenom prva tri (ili više) bajta u kodove instrukcija JMP Loc_Virus (ili, općenito, u kodove programa koji kontrolu prenosi na tijelo virusa).
Virusi koji se infiltriraju u SYS datoteke prilažu svoje kodove tijelu datoteke i mijenjaju adrese programa strategije i prekida zaraženog upravljačkog programa. Tijekom inicijalizacije zaraženog upravljačkog programa, virus presreće odgovarajući zahtjev operativnog sustava, prosljeđuje ga upravljačkom programu, čeka odgovor na taj zahtjev, ispravlja ga i ostaje zajedno s upravljačkim programom u istom bloku RAM-a. Takav virus može biti izuzetno opasan i žilav, budući da se u RAM memoriju ubacuje prilikom učitavanja OS-a prije bilo kojeg antivirusnog programa, osim, naravno, ako nije u pitanju i upravljački program.
Postoje i virusi koji zaraze upravljačke programe sustava na drugačiji način: virus modificira svoje zaglavlje tako da OS tretira zaraženu datoteku kao lanac od dva (ili više) upravljačkih programa.
Slično, virus može zapisati svoje kodove na početak upravljačkog programa, a ako datoteka sadrži nekoliko upravljačkih programa, onda na sredinu datoteke.
Ubacivanje virusa u sredinu datoteke
Postoji nekoliko metoda za ubacivanje virusa u sredinu datoteke. U najjednostavnijem od njih, virus prenosi dio datoteke na njen kraj ili "širi" datoteku i upisuje njen kod na oslobođeni prostor. Ova metoda je vrlo slična gore navedenim metodama. Neki virusi komprimiraju prijenosni blok datoteke na takav način da se duljina datoteke ne mijenja tijekom infekcije.
Druga je metoda "šupljine", u kojoj se virus zapisuje u očito neiskorištena područja datoteke. Virus se može kopirati u neiskorištena područja DOS adresne tablice EXE datoteke ili u zaglavlje NewEXE datoteke, u područje stoga datoteke COMMAND.COM ("Lehigh") ili u područje tekstualnih poruka popularnih kompilatora ("NMSG"). Postoje virusi koji zaraze samo one datoteke koje sadrže blokove popunjene nekim stalnim bajtom, dok virus umjesto takvog bloka ispisuje vlastiti kod.
Virusi bez ulazne točke
Posebno treba istaknuti prilično beznačajnu skupinu virusa koji nemaju "ulaznu točku" (EPO-virusi - Entry Point Obscuring viruses). To uključuje viruse koji ne zapisuju naredbe za prijenos kontrole u zaglavlje COM datoteka (JMP) i ne mijenjaju adresu početne točke u zaglavlju EXE datoteka. Takvi virusi zapisuju naredbu za prebacivanje na svoj kod negdje u sredini datoteke i primaju kontrolu ne izravno kada se zaražena datoteka pokrene, već kada pozivaju proceduru koja sadrži kod za prijenos kontrole na tijelo virusa. Štoviše, ovaj se postupak može izvesti iznimno rijetko (na primjer, kada se prikazuje poruka o određenoj pogrešci). Kao rezultat toga, virus može "spavati" unutar datoteke dugi niz godina i iskočiti u slobodu samo pod određenim ograničenim uvjetima.
Prije nego što napiše naredbu za skok na svoj kod u sredini datoteke, virus mora odabrati "ispravnu" adresu u datoteci - inače bi zaražena datoteka mogla biti oštećena. Postoji nekoliko načina na koje virusi određuju takve adrese unutar datoteka.
Prvi način- traži u datoteci niz standardnog C/Pascal koda. Ovi virusi traže zaglavlja standardnih C/Pascal procedura u zaraženim datotekama i umjesto toga pišu vlastiti kod.
Drugi način- praćenje ili rastavljanje koda datoteke. Takvi virusi učitavaju datoteku u memoriju, zatim je prate ili rastavljaju i, ovisno o različitim uvjetima, odabiru naredbu (ili naredbe), umjesto koje se prijelazni kod upisuje u tijelo virusa.
Treći način koriste samo rezidentni virusi - kontroliraju neku vrstu prekida prilikom pokretanja datoteke (češće - INT 21h). Čim zaražena datoteka pokrene ovaj prekid, virus piše vlastiti kod umjesto naredbe za pozivanje prekida.
Suputnik - virusi
Kategorija "pratitelj" uključuje viruse koji ne mijenjaju zaražene datoteke. Algoritam rada ovih virusa je da se za zaraženu datoteku kreira datoteka blizanac, a kada se zaražena datoteka pokrene, upravo taj blizanac preuzima kontrolu, tj. virus.
Najčešći popratni virusi koriste značajku DOS-a da prvo izvrše .COM datoteku ako postoje dvije datoteke u istom direktoriju s istim imenom, ali različitim nastavcima naziva - .COM i .EXE. Takvi virusi stvaraju satelitske datoteke za EXE datoteke koje imaju isti naziv, ali s nastavkom .COM, na primjer, XCOPY.COM se stvara za datoteku XCOPY.EXE. Virus piše u COM datoteku i ni na koji način ne mijenja EXE datoteku. Prilikom pokretanja takve datoteke, DOS će prvi otkriti i izvršiti COM datoteku, tj. virus, koji će zatim pokrenuti EXE datoteku. Neki virusi koriste ne samo COM-EXE varijantu, već i BAT-COM-EXE.
Drugu skupinu čine virusi koji, kada su zaraženi, preimenuju datoteku u neko drugo ime, zapamte je (za naknadno pokretanje host datoteke) i zapišu svoj kod na disk pod imenom zaražene datoteke. Na primjer, datoteka XCOPY.EXE je preimenovana u XCOPY.EXD, a virus je zapisan pod imenom XCOPY.EXE. Prilikom pokretanja, kontrola preuzima kod virusa, koji zatim pokreće izvorni XCOPY, pohranjen pod imenom XCOPY.EXD. Zanimljiva je činjenica da ova metoda radi, vjerojatno, u svim operativnim sustavima - virusi ove vrste pronađeni su ne samo u DOS-u, već iu Windowsima i OS / 2.
Treća skupina uključuje takozvane "Path-companion" viruse koji "igraju" na značajkama DOS PATH-a. Oni ili zapišu svoj kod pod imenom zaražene datoteke, ali "više" na jednoj PATH razini (DOS će tako prvi otkriti i pokrenuti datoteku virusa), ili prebace datoteku žrtve jedan poddirektorij više, itd.
File crvi
Datotečni crvi su, u neku ruku, vrsta pratećeg virusa, ali ni na koji način ne povezuju svoju prisutnost s bilo kojom izvršnom datotekom. Kada se reproduciraju, samo kopiraju svoj kod u neke direktorije na disku u nadi da će te nove kopije jednog dana pokrenuti korisnik. Ponekad ti virusi svojim kopijama daju "posebna" imena kako bi potaknuli korisnika da pokrene njihovu kopiju - na primjer, INSTALL.EXE ili WINSTART.BAT.
Postoje crvi koji zapisuju svoje kopije u arhive (ARJ, ZIP, RAR i drugi). Ovi virusi uključuju "ArjVirus" i "Winstart". Neki virusi zapisuju naredbu za pokretanje zaražene datoteke u BAT datoteke.
File crve ne treba brkati s mrežnim crvima. Prvi koriste samo datotečne funkcije nekog operativnog sustava, dok drugi koriste mrežne protokole za njihovu reprodukciju.
Link virusi
Link-virusi, poput suputnika - virusi ne mijenjaju fizički sadržaj datoteka, međutim, kada se zaražena datoteka pokrene, oni "prisiljavaju" OS da izvrši svoj kod. Taj cilj postižu modificiranjem potrebnih polja datotečnog sustava.
Do danas je poznata samo jedna vrsta Link-virusa - virusi obitelji "Dir_II". Kada zaraze sustav, zapisuju svoje tijelo u posljednji klaster logičkog diska. Kada zaraze datoteku, virusi ispravljaju samo broj prvog klastera datoteke koji se nalazi u odgovarajućem sektoru direktorija. Novi početni klaster datoteka pokazat će na klaster koji sadrži tijelo virusa. Dakle, kada su datoteke zaražene, njihova duljina i sadržaj diskovnih klastera koji sadrže te datoteke se ne mijenjaju, a sve zaražene datoteke na jednom logičkom disku imat će samo jednu kopiju virusa.
Jednom zaraženi, podaci imenika ukazuju na virus, tj. kada se datoteka pokrene, nisu datoteke te koje preuzimaju kontrolu, već virus.
OBJ-, LIB-virusi i virusi u izvornom kodu
Virusi koji zaraze biblioteke prevoditelja, objektne module i izvorne kodove programa prilično su egzotični i praktički neuobičajeni. Ukupno ih je desetak. Virusi koji zaraze OBJ i LIB datoteke zapisuju svoj kod u njih u obliku objektnog modula ili biblioteke. Zaražena datoteka stoga nije izvršna i nesposobna za daljnje širenje virusa u trenutnom stanju. Nositelj "živog" virusa je COM ili EXE datoteka dobivena povezivanjem zaražene OBJ/LIB datoteke s drugim objektnim modulima i bibliotekama. Dakle, virus se širi u dvije faze: OBJ/LIB datoteke se inficiraju u prvoj fazi, a funkcionalni virus se dobiva u drugoj fazi (povezivanje).
Infekcija izvornih tekstova programa je logičan nastavak prethodne metode širenja. U tom slučaju virus dodaje svoj izvorni kod izvornim tekstovima (u ovom slučaju virus ga mora sadržavati u svom tijelu) ili vlastiti heksadecimalni dump (što je tehnički lakše). Zaražena datoteka sposobna je dalje širiti virus tek nakon kompilacije i povezivanja.
Algoritam virusa datoteke
Način vraćanja programa u izvorno stanje ovisi o tome kako je datoteka zaražena. Ako se virus ubaci na početak datoteke, on ili pomiče kodove zaraženog programa za broj bajtova koji je jednak duljini virusa, ili pomiče dio programskog koda s kraja na početak, ili vraća datoteku na disku i zatim je pokreće. Ako se virus zapisao na kraj datoteke, tada prilikom vraćanja programa koristi podatke pohranjene u tijelu kada je datoteka zaražena. To može biti duljina datoteke, nekoliko bajtova početka datoteke u slučaju COM datoteke ili nekoliko bajtova zaglavlja u slučaju EXE datoteke. Ako je virus snimljen u sredini datoteke na poseban način, tada prilikom vraćanja datoteke također koristi posebne algoritme.
Ubacivanje virusa u DOS COM i EXE datoteke
Izvršne binarne COM ili EXE datoteke koje se razlikuju po naslovu i načinu pokretanja programa. Ekstenzija naziva datoteke ("*.COM" ili "*.EXE") ne odgovara uvijek stvarnom formatu datoteke, što međutim ni na koji način ne utječe na rad programa. COM i EXE datoteke različito su zaražene, stoga virus mora razlikovati datoteke jednog formata od drugog. Virusi rješavaju ovaj problem na dva načina: neki analiziraju ekstenziju naziva datoteke ("*.COM", "*.EXE"), drugi - zaglavlje datoteke. Prva metoda će se nazivati infekcija *.COM- (ili *.EXE-) datoteka, druga - infekcija COM- (ili EXE-) datoteka.
U većini slučajeva virus ispravno zarazi datoteku; prema informacijama sadržanim u tijelu virusa, možete potpuno vratiti zaraženu datoteku. Ali virusi, kao i većina programa, često sadrže pogreške koje su neprimjetne na prvi pogled. Zbog toga čak i dobro napisan virus može nepovratno oštetiti datoteku kada je zaražena. Na primjer, virusi koji razlikuju vrste datoteka prema ekstenziji naziva (*.COM, *.EXE) vrlo su opasni jer oštećuju datoteke čiji nastavak naziva ne odgovara internom formatu.
Jedan od najčešćih primjera neispravne infekcije datoteka je COMMAND.COM iz sustava Windows95. Ova datoteka je zapravo EXE datoteka, štoviše, ima veličinu veću od 90K, što je nemoguće za COM datoteku. Stoga virusi koji razlikuju COM/EXE datoteke po ekstenziji naziva i ne provjeravaju duljinu zaraženih COM datoteka (na primjer, "Junkie") kvare takav COMMAND.COM i on postaje neoperabilan.
Primitivna maska
Kada je datoteka zaražena, virus može izvesti niz radnji koje maskiraju i ubrzavaju njeno širenje. Takve radnje uključuju obradu atributa samo za čitanje, njegovo uklanjanje prije infekcije i vraćanje nakon. Mnogi datotečni virusi čitaju datum zadnje izmjene datoteke i vraćaju je nakon infekcije. Kako bi prikrili svoje širenje, neki virusi presreću prekid OS-a koji se javlja prilikom pristupa disku zaštićenom od pisanja (INT 24h) i sami ga obrađuju.
Brzina širenja
Govoreći o datotečnim virusima, potrebno je napomenuti njihovu značajku kao što je brzina distribucije. Što se virus brže širi, veća je vjerojatnost da će doći do epidemije tog virusa. Što se virus sporije širi, to ga je teže otkriti (osim, naravno, ako ovaj virus još nije poznat antivirusnim programima). Pojmovi "brzog" i "sporog" virusa (Fast infector, Slow infector) prilično su relativni i koriste se samo kao karakteristika virusa kada se opisuje.
Nerezidentni virusi često su "spori" - većina njih inficira jednu ili dvije ili tri datoteke pri pokretanju i nemaju vremena preplaviti računalo prije nego što se pokrene antivirusni program (ili nova verzija antivirusnog programa konfigurirana jer se ovaj virus pojavljuje). Postoje, naravno, nerezidentni "brzi" virusi koji, kada se pokrenu, traže i zaraze sve izvršne datoteke, međutim, takvi su virusi vrlo uočljivi: kada se svaka zaražena datoteka pokrene, računalo aktivno radi s tvrdim diskom za neki (ponekad dosta dugo) koji otkrivaju virus.
"Brzina" rezidentnih virusa obično je veća od nerezidentnih - oni zaraze datoteke kada im se pristupi. Kao rezultat, zaražene su sve ili gotovo sve datoteke na disku koje se stalno koriste u radu.
Stopa širenja rezidentnih datotečnih virusa koji zaraze datoteke samo kada se pokreću za izvršenje bit će niža od stope širenja virusa koji zaraze datoteke i kada se otvore, preimenuju, promijene atribute datoteke itd. Mnogi virusi, kada stvaraju svoju kopiju u RAM-u računala, pokušavaju zauzeti memorijsko područje s najvišim adresama, uništavajući privremeni dio prevoditelja naredbi COMMAND.COM. Na kraju zaraženog programa vraća se privremeni dio interpretera, otvara se datoteka COMMAND.COM i, ako virus zarazi datoteke prilikom otvaranja, zaražena je. Dakle, kada se takav virus pokrene, datoteka COMMAND.COM će biti prva zaražena.
Materijali i podaci preuzeti su iz izvora:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
- Za objavljivanje komentara, molimo prijavite se ili se registrirajte
RAČUNALNI VIRUSI
I oštećene i zaražene datoteke
Klasifikacija virusa PREVENCIJA I SUZBIJANJE RAČUNALNIH VIRUSA
UVOD
Trenutno su mnoga područja ljudske aktivnosti povezana s upotrebom računala. Zašto su ti elektronički strojevi tako čvrsto ugrađeni u naše živote? Sve je prilično trivijalno. Oni obavljaju rutinske računske i projektantske poslove, oslobađajući naš mozak za nužnije i odgovornije zadatke. Kao rezultat toga, umor se oštro smanjuje i počinjemo raditi puno produktivnije nego bez korištenja računala.
Mogućnosti modernih računala zadivljuju i najbogatiju maštu. Oni su u stanju obavljati nekoliko zadataka paralelno, čija je složenost prilično visoka. Stoga neki proizvođači razmišljaju o stvaranju umjetne inteligencije. A sada rad računala nalikuje radu inteligentnog elektroničkog pomoćnika osobe.
No tko bi rekao da ovo elektroničko čudo tehnologije karakteriziraju bolesti slične ljudskima. Njega, kao i čovjeka, može napasti "virus" ali računalni. A ako ništa ne poduzmete, računalo će se uskoro "razboljeti" tj. će početi izvoditi neispravne radnje ili čak "umrijeti" tj. šteta uzrokovana "virusom" bit će vrlo ozbiljna. Što su računalni virusi i kako se s njima nositi, raspravljat ćemo dalje.
RAČUNALNI VIRUSI
Što je računalni virus?
Do danas postoji nekoliko glavnih vrsta zlonamjernog softvera:
- klasični računalni virus;
- trojanski ili trojanski konj (troj);
- crv (crv);
- špijun ili špijun, keylogger
-rootkick;
- bot ili zombi.
Svojedobno su klasični virusi bili najzastupljeniji - no njihovi tvorci rijetko su postavljali konkretan cilj naštetiti krajnjem korisniku, već su nastajali iz edukativnih razloga. Današnji pisci virusa slijede potpuno jasne i razumljive ciljeve - novac, a njihova "djeca" postala su mnogo opasnija od svojih prethodnika. Dopustite mi da vam predstavim najopasnije predatore današnjeg informacijskog prostora - to su Trojanci i Crvi.
Trojan ili troj dobio je ime po sličnosti između načina zaraze i poznatog taktičkog poteza tijekom opsade Troje. Primjer zaraze Trojanom - primite pismo od određenog "poznanika" s tekstom: - "Bok! Upravo sam se vratio s mora - super sam se odmorio! Evo mojih slika - pogledajte.", i u prilogu datoteke s nastavkom ".JPG". Te iste datoteke trojanski su konj u čijim se dubinama krije maliciozni kod. Najčešći izvori zaraze su e-pošta, stranice za upoznavanje, glazbene stranice i stranice s besplatnim softverom. Što radi "trojanac"? U pravilu, njegova je zadaća otvoriti put drugim virusima, djelovati kao prva odskočna daska. Kako izbjeći infekciju "trojancem"? Ovdje je sve kao u životu - zaštitite se i izbjegavajte povremene veze =). Ovo pravilo vrijedi za sve viruse i druge zlonamjerne programe. Ako vam je poslan e-mail - prije gledanja privitaka provjerite pošiljatelja, spremite privitak na računalo i provjerite ga antivirusom pa ga tek onda otvorite.
Crv ili Crv - značajka ovih programa u evoluciji i autonomiji. Kada crv uđe u računalo, obično napada programe za poštu i internetske stranice. Nakon što dobije pristup mailu ili pageru, počinje slati pisma/poruke koje sadrže modificiranu verziju sebe. Nakon toga se ili samouništava ili inficira izvršne datoteke (EXE, COM, BAT). Budući da se virus sam mijenja, neranjiv je sve dok se ne otkrije u bazi podataka vašeg antivirusa. Zato je danas licencirani antivirus hitna potreba za svakog vlasnika računala.
Računalni virus je posebno napisan mali program koji se može "pripisati" drugim programima (tj. "zaraziti" ih), kao i izvoditi razne neželjene radnje na računalu. Program koji sadrži virus naziva se zaraženim. Kada se takav program pokrene, virus prvo preuzima kontrolu. Virus pronalazi i "inficira" druge programe, a također izvodi neke štetne radnje (primjerice, kvari datoteke ili tablicu dodjele datoteka (FAT) na disku, "zagađuje" RAM itd.). Da bi se maskirao virus, radnje za zarazu drugih programa i nanošenje štete ne moraju se uvijek izvoditi, ali, recimo, pod određenim uvjetima. Nakon što virus izvrši potrebne radnje, on kontrolu prenosi na program u kojem se nalazi i on radi kao i obično. Stoga, izvana, rad zaraženog programa izgleda isto kao i nezaraženog programa.
Mnoge vrste virusa dizajnirane su na način da kada se zaraženi program pokrene, virus ostaje u memoriji računala i s vremena na vrijeme zarazi programe i izvede neželjene radnje na računalu.
Sve radnje virusa mogu se izvesti vrlo brzo i bez izdavanja ikakvih poruka, za ovog korisnika je vrlo teško, gotovo nemoguće, utvrditi da se na računalu događa nešto neobično.
Sve dok je na računalu zaraženo relativno malo programa, prisutnost virusa može biti gotovo nevidljiva. Međutim, nakon nekog vremena počinje se događati nešto čudno na računalu, na primjer:
- neki programi prestanu raditi ili počnu raditi neispravno;
- na ekranu se prikazuju strane poruke, simboli itd.;
- rad na računalu znatno usporava;
- neke datoteke su oštećene, itd.
Do ovog trenutka, u pravilu, dosta (ili čak većina) tehničkih programa s kojima radite je zaraženo virusom, a neke datoteke i diskovi su oštećeni. Štoviše, zaraženi programi s vašeg računala možda su već prebačeni pomoću disketa ili lokalne mreže na računala vaših kolega i prijatelja.
Neki virusi su vrlo podmukli. U početku neprimjetno zaraze velik broj programa i diskova, a zatim uzrokuju vrlo ozbiljnu štetu, na primjer, formatiraju cijeli tvrdi disk na računalu, naravno nakon toga jednostavno je nemoguće vratiti podatke. A postoje virusi koji se ponašaju vrlo tajno i postupno kvare podatke na tvrdom disku ili pomiču tablicu dodjele datoteka (FAT).
Dakle, ako ne poduzmete mjere zaštite od virusa, posljedice infekcije mogu biti vrlo ozbiljne. Primjerice, početkom 1989 Virus, koji je napisao američki student Morris, zarazio je i onesposobio tisuće računala, uključujući i ona koja pripadaju američkom Ministarstvu obrane. Autora virusa sud je osudio na tri mjeseca zatvora i novčanu kaznu od 270 tisuća dolara. Kazna je mogla biti i stroža, no sud je uzeo u obzir da virus nije oštetio podatke, već se samo razmnožio.
Da bi virusni program bio nevidljiv, mora biti malen. Stoga su virusi obično napisani u asemblerskim jezicima niske razine ili u naredbama C jezika niske razine.
Viruse pišu iskusni programeri ili studenti jednostavno iz znatiželje ili kako bi se osvetili nekome ili poduzeću koje se prema njima ponašalo na nedostojan način ili u komercijalne ili usmjerene sabotažne svrhe. Bez obzira na ciljeve autora, virus može završiti na vašem računalu i pokušati izvesti iste štetne radnje kao i one za koje je stvoren.
Treba napomenuti da pisanje virusa nije tako težak zadatak, sasvim dostupan studentu programiranja. Stoga se svaki tjedan u svijetu pojavljuje sve više i više novih virusa. A mnogi od njih su napravljeni u našoj zemlji.
Oštećene i zaražene datoteke
Računalni virus može upropastiti, t.j. neprikladno mijenjati bilo koju datoteku na diskovima dostupnim na računalu. Ali virus može "zaraziti" neke vrste datoteka. To znači da se u ove datoteke može "ubaciti" virus, tj. modificirati ih tako da sadrže virus koji pod određenim okolnostima može početi djelovati.
Treba imati na umu da tekstovi programa i dokumenata, podatkovne datoteke baza podataka, proračunske tablice i druge slične datoteke ne mogu biti zaražene običnim virusom, on ih samo može pokvariti. Zarazu takvih datoteka vrše samo makrovirusi. Ovi virusi mogu čak zaraziti i vaše dokumente.
Učitavač operativnog sustava i glavni zapis pokretanja tvrdog diska. Virusi koji inficiraju ova područja nazivaju se boot ili BOOT virusi. Takav virus počinje s radom pri prvom pokretanju računala i postaje rezidentni, tj. stalno se nalazi u memoriji računala. Mehanizam distribucije je infekcija boot zapisa umetnutih u diskete računala. Često se takvi virusi sastoje od dva dijela, jer je boot record mali i teško je u njih smjestiti cijeli virusni program. Dio virusa nalazi se u drugom dijelu diska, na primjer, na kraju korijenskog direktorija diska ili u klasteru u području podataka na disku (obično se takav klaster proglašava neispravnim kako bi se spriječio da virus ne bude prebrisan kada se podaci zapisuju).
Datoteke upravljačkih programa uređaja navedene u klauzuli DEVICE datoteke CONFIG.SYS. Virus koji se nalazi u njima počinje raditi svaki put kada se pristupi odgovarajućem uređaju. Virusi koji zaraze upravljačke programe uređaja vrlo su rijetki jer se upravljački programi rijetko kopiraju s jednog računala na drugo. Isto vrijedi i za datoteke DOS sustava (MSDOS.SYS i IO.SYS) – njihova infekcija je također teoretski moguća, ali neučinkovita za širenje virusa.
U pravilu, svaka posebna vrsta virusa može zaraziti samo jednu ili dvije vrste datoteka. Najčešće postoje virusi koji zaraze izvršne datoteke. Na drugom mjestu po prevalenciji su boot virusi. Neki virusi zaraze i datoteke i područja za pokretanje diska. Virusi koji zaraze upravljačke programe uređaja izuzetno su rijetki, obično takvi virusi mogu zaraziti i izvršne datoteke.
Klasifikacija virusa
Virusi se mogu podijeliti u klase prema različitim kriterijima. Evo, na primjer, na temelju izdaje:
Virusi koji trenutno zaraze računalo formatiraju tvrdi disk, kvare tablicu dodjele datoteka, kvare boot sektore, brišu tzv. Flash ROM (gdje se nalazi BIOS) računala (černobilski virus), drugim riječima, uzrokuju nepopravljivu štetu na računalo što je brže moguće. Ovo također uključuje rezultate pritužbi programera koji pišu viruse protiv antivirusnih programa. To se odnosi na takozvane alergije na određene antivirusne programe. Ovi virusi su prilično podmukli. Evo, na primjer, alergija na Dr.Weber prilikom pozivanja ovog programa, bez oklijevanja, blokira antivirus, pokvari sve što je u direktoriju s antivirusom i C: WINDOWS. Kao rezultat toga, morate ponovno instalirati operativni sustav, a zatim se boriti protiv virusa drugim sredstvima.
- virusi dizajnirani za dug život u računalu. Oni postupno i pažljivo inficiraju program za programom bez reklamiranja svoje prisutnosti i zamjenjuju početna područja programa poveznicama na mjesto gdje se nalazi tijelo virusa. Osim toga, oni čine promjenu u strukturi diska koja je neprimjetna za korisnika, što će se osjetiti tek kada su neki podaci već beznadno izgubljeni (na primjer, virus "OneHalf-3544", "Yankey-2C").
Na temelju načina prijenosa i razmnožavanja također se može napraviti podjela.
Ranije su virusi uglavnom pogađali samo izvršne datoteke (s ekstenzijama .com i .exe). Doista, virus je program i mora se izvršiti.
Sada se virusi šalju e-poštom kao demo programi ili kao slike, na primjer, ako ste primili datoteku "PicturesForYou.jpg" e-poštom, nemojte žuriti da je pogledate, pogotovo jer je došla niotkuda. Ako pažljivije pogledate naziv, ispada da ima još 42 razmaka i važeću ekstenziju .exe. To jest, stvarni puni naziv datoteke bit će:
"PicturesForYou.jpg .exe". Sada je svima jasno što ova slika zapravo nosi. Ovo nije slikovna datoteka koju preglednik slika poziva kada se aktivira, već drski, pomalo prikriveni virus koji samo čeka da bude aktiviran klikom miša ili pritiskom na tipku. Vi sami preuzimate takav virus na svoje računalo, ispod ljuske neke slike, poput "trojanskog konja". Otuda žargonski naziv za takve viruse kao "Trojanci".
U ovom trenutku postoje takve školjke informacijskih kanala kao što su Internet Explorer, Outlook Express, Microsoft Office. Sada se pojavilo nekoliko klasa takozvanih "makro-virusa". Sadrže skrivene naredbe za ove ljuske koje su nepoželjne za prosječnog korisnika. I taj kod više nije kod za računalo, odnosno više nije program, već tekst programa kojeg izvršava ljuska. Dakle, može se napisati u bilo kojem potrebnom formatu: .html, .htm - za Internet Explorer, .doc, .xls, .xlw, .txt, .prt ili bilo koji drugi - za Microsoft Office itd. Takvi virusi uzrokuju štetu samo određene prirode, jer ljuska nema naredbe, na primjer, za formatiranje tvrdog diska. Ali ipak, ova vrsta virusa zaslužuje pozornost, jer uz pomoć skrivenih hiperveza može samostalno preuzeti tijelo virusa s interneta na vaše računalo, a neki virusi se mogu ažurirati i preuzimati u dijelovima putem interneta s određenih poslužitelja . Primjerice, jedan od japanskih studenata razvio je upravo takav virus koji spaja mali "loader" na bilo koji format ulaznih podataka s Interneta. Nadalje, ovaj program za učitavanje samostalno preuzima tijelo virusa s interneta s poslužitelja s Babilon5 IP adresom. Postoje četiri ova tijela. Svaki od njih može samostalno uništiti vaše računalo, ali ima određenu svrhu. Ovaj tip virusa je hibrid između makro virusa i običnih virusa. Ali treba napomenuti da su hibridi najžilaviji, najlukaviji, najopasniji i najbrojniji među virusima. Nedavno je došlo do skandala oko programera koji je, prema stručnjacima, stvorio i počeo širiti makro virus koji je zarazio tekstualne datoteke za Microsoft Word. Izračunato je iz datuma i vremena stvaranja izvornog dokumenta, koji je pohranjen u nevidljivim dijelovima .doc datoteka. Moguće je da je datoteku stvorila neka druga osoba prije nego što je na nju priložen virus, tada pitanje napadača ostaje otvoreno. Ali stručnjaci kažu da je to on.
Na primjer, virus Win32.HLLM.Klez. jedna od vrsta opasnog mrežnog crva distribuira se slanjem svojih kopija e-poštom. Osim toga, ovaj se crv može širiti lokalnom mrežom, zaraziti računala čiji su diskovi dijeljeni mrežni resursi s mogućnošću pisanja. Jednom u sustavu, crv se šalje na adrese koje se nalaze u Windows adresaru, u ICQ bazi podataka iu lokalnim datotekama. Zaražene poruke koje šalje ovaj crv koriste jedan od relativno dugo poznatih bugova u sigurnosnom sustavu Internet Explorera, koji omogućuje automatsko pokretanje programske datoteke (s virusom) priložene poruci prilikom jednostavnog pregledavanja pošte u Outlooku i Outlook Expressu.
Pokušajmo razmotriti metode maskiranja i zaštite koje koriste virusi protiv nas običnih korisnika i antivirusnih programa.
Perfidija je glavni i najbrži način za izvođenje prljavih trikova prije nego što budete otkriveni. Černobilski virus, primjerice, potpuno briše BIOS (pokretni program koji se nalazi u ROM čipu koji osigurava rad računala). Nakon toga računalo više neće moći prikazati ništa. Ali njegov se rad lako blokira ako je unutar računala instaliran prekidač koji zabranjuje pisanje u ROM područje. Dakle, bio je prvi, ali i, kako mislim, posljednji predstavnik hardverskih virusa.
Regenerativni virusi dijele svoje tijelo na nekoliko dijelova i pohranjuju ih na različita mjesta na tvrdom disku. U skladu s tim, ti se dijelovi mogu samostalno pronaći i sastaviti kako bi regenerirali tijelo virusa. Antivirusni program detektira i ubija samo tijelo virusa, a dijelovi tog tijela nisu uključeni u antivirusnu bazu podataka jer se mijenjaju. Ciljano niskorazinsko formatiranje tvrdog diska pomaže protiv takvih virusa. Moraju se poduzeti mjere opreza za očuvanje informacija.
Lukavi virusi skrivaju se ne samo od nas, već i od antivirusnih programa. Ti se "kameleoni" mijenjaju uz pomoć najlukavijih i najsloženijih operacija, koristeći i trenutne podatke (vrijeme stvaranja datoteke) i koristeći gotovo polovicu cijelog skupa procesorskih instrukcija. U određenom trenutku, naravno, prema lukavom algoritmu, pretvaraju se u opaki virus i počinju se obračunavati s našim računalom. Ovo je vrsta virusa koju je najteže otkriti, ali neki antivirusni programi, poput "Dr.Webera", mogu otkriti i neutralizirati slične viruse pomoću tzv. heurističke analize.
"Nevidljivi" virusi koriste takozvanu "Stelth" metodu kako bi spriječili svoje otkrivanje. Sastoji se od činjenice da virus koji se nalazi u memoriji presreće DOS pozive (a time i aplikacijske programe) zaraženim datotekama i područjima diska i izdaje ih u izvornom (neinficiranom) obliku. Naravno, ovaj se učinak primjećuje samo na zaraženom računalu - na "čistom" računalu lako se detektiraju promjene u datotekama i područjima za pokretanje diska. Ali neki antivirusni programi mogu otkriti "nevidljive" viruse čak i na zaraženim računalima.
Mrežni crv Randon pojavio se u ožujku 2003. Širi se IRC kanalima i lokalnim mrežnim resursima te inficira računala s operacijskim sustavima Windows2000 i Windows XP. Da bi ušao u računalo, povezuje se s lokalnom mrežom ili IRC poslužiteljem, skenira korisnike koji se nalaze na njemu, uspostavlja vezu s njima na portu 445 i pokušava pogoditi lozinku s ugrađenog popisa najčešće korištenih fraza. Ako je sustav uspješno kompromitiran, Random mu šalje Apher Trojan, koji zauzvrat preuzima ostatak komponenti crva s udaljene web stranice. Nakon toga, "Randon" instalira svoje komponente u direktorij sustava Windows, registrira svoju glavnu datoteku. Kako bi sakrio svoju prisutnost u memoriji, koristi poseban uslužni program HideWindows, koji je također sastavni dio crva. Zahvaljujući njoj, ispada da je nevidljiv korisniku, tako da se aktivni Randon proces može otkriti samo u Windows upravitelju zadataka. Njegove nuspojave su stvaranje velike količine viška prometa na zaraženom stroju i preplavljivanje IRC kanala.
Prema Kaspersky Labu, jednom od vodećih razvijatelja antivirusnih programa, predstavlja pregled aktivnosti virusa za ožujak 2003. (Tablica 2 i Slika 1)
Top 20 najčešćih zlonamjernih programa
tab. 2
Ime Udio u ukupnom broju virusnih incidenata (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03%
4. I-Worm.Avron 3,30%
5.Macro.Word97.Dakle 2,62%
6. I-Worm.Tanatos 1,38%
7. makro. Word97.Marker 1,21%
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04%
10.Win95.CIH 0,69%
11. Worm.Win32.Randon 0,58%
12. VBS Redlof 0,57%
13. Backdoor.Death 0,51%
14.Win95.Spaces 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0,49%
17. Backdoor.NetDevil 0,48%
18.Win32.HLLP.Hantaner 0,45%
19. TrojanDropper.Win32.Delf 0,42%
20. TrojanDropper.Win32.Yabinder 0,41%
Ostali zlonamjerni softver* 26,33%
*nije uključeno u 20 najčešćih
PREVENCIJA I BORBA PROTIV RAČUNALNIH VIRUSA
Osnovne metode zaštite od računalnih virusa
Za zaštitu od virusa možete koristiti:
- Opća sredstva zaštite informacija, koja su korisna i kao osiguranje od fizičkog oštećenja diskova, neispravnog rada programa ili pogrešnih radnji korisnika;
- preventivne mjere za smanjenje vjerojatnosti zaraze računalnim virusom;
- specijalizirani programi za zaštitu od virusa.
-Uobičajeni alati za sigurnost informacija korisni su za više od puke zaštite od virusa. Postoje dvije glavne vrste ovih sredstava:
kopiranje informacija - stvaranje kopija datoteka i sistemskih područja diskova;
kontrola pristupa sprječava neovlašteno korištenje informacija, posebice zaštita od promjena programa i podataka virusima, neispravnim programima i pogrešnim radnjama korisnika.
Unatoč činjenici da su opći alati za informacijsku sigurnost vrlo važni za zaštitu od računalnih virusa, oni još uvijek nisu dovoljni. Za zaštitu od računalnih virusa potrebno je koristiti specijalizirane programe. Ovi se programi mogu podijeliti u nekoliko vrsta:
Detektorski programi omogućuju otkrivanje datoteka zaraženih jednim od nekoliko poznatih virusa.
Programi - liječnici, ili fagi, "liječe virusima" zaražene programe ili diskove, "izgrizaju" tijelo virusa iz zaraženih programa, tj. vraćanje programa u stanje u kojem je bio prije infekcije virusom.
Programi - revizori prvo pamte informacije o stanju programa i sistemskih područja diskova, a zatim uspoređuju njihovo stanje s izvornim. Ukoliko se utvrde odstupanja, korisnik se o tome obavještava.
Doktori – auditori su hibridi auditora i doktora, tj. programe koji ne samo da detektiraju promjene u datotekama i sistemskim područjima diskova, već ih mogu i automatski vratiti u prvobitno stanje.
Programi za filtriranje smješteni su rezidentno u RAM-u računala i presreću one pozive operativnom sustavu koje virusi koriste za reprodukciju i štetu te ih prijavljuju korisniku. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju.
Programi - cjepiva, odnosno imunizatori, modificiraju programe i diskove na način da to ne utječe na rad programa, ali virus protiv kojeg se provodi cijepljenje te programe i diskove smatra već zaraženima. Ovi programi su vrlo neučinkoviti i ne razmatraju se dalje.
Nažalost, niti jedna vrsta antivirusnog softvera ne pruža potpunu zaštitu od računalnih virusa. Stoga je najbolja strategija zaštite od virusa višerazinska, "slojevita" obrana. Opišimo strukturu ove obrane.
Sredstva za izviđanje u "obrani" od virusa odgovaraju programima - detektorima koji vam omogućuju provjeru novoprimljenog softvera na prisutnost virusa.
Na čelu obrane su filter programi (rezidentni programi za zaštitu od virusa). Ovi programi mogu prvi prijaviti napad virusa i spriječiti infekciju programa i diska.
Drugi ešalon obrane čine programi-revizori, programi-liječnici i doktori-revizori. Auditori otkrivaju napad čak i kada je virus uspio "procuriti" kroz prvu liniju obrane. Doctor programi se koriste za vraćanje zaraženih programa ako nema kopija u arhivi. Ali oni ne čine uvijek pravu stvar. Liječnici-revizori otkrivaju napad virusa i liječe viruse - zaražene datoteke, te kontroliraju ispravnost liječenja virusa, a ukoliko je nemoguće liječiti viruse, svakako preporučuju uklanjanje virusa (zaraženih datoteka).
Najdublji sloj obrane su sredstva kontrole pristupa. Ne dopuštaju virusima i programima koji se loše ponašaju, čak i ako su ušli u računalo, da pokvare važne podatke.
I, konačno, u "strateškoj rezervi" nalaze se arhivske kopije informacija i "referentne" diskete s programskim proizvodima. Omogućuju vam vraćanje podataka ako su oštećeni na tvrdom disku.
Programi - detektori i doktori
U većini slučajeva, za otkrivanje virusa koji je zarazio računalo, možete pronaći već razvijene detektorske programe. Ovi programi provjeravaju sadrže li datoteke na pogonu koje je odredio korisnik kombinaciju bajtova specifičnih za određeni virus. Kada se pronađe u bilo kojoj datoteci, na ekranu se prikazuje odgovarajuća poruka. Mnogi detektori imaju način liječenja ili uklanjanja virusa.
Treba napomenuti da detektorski program može detektirati samo one viruse koji su mu poznati (to jest, uključeni su u antivirusnu bazu podataka ovog programa).
Jedan takav program je KIS Kaspersky.
Sve u njemu ima prikladno i razumljivo sučelje. Program je dizajniran za operativni sustav Windows XP i Windows Vista, što mu omogućuje paralelni rad s drugim aplikacijama. Kaspersky Lab je ruski lider u razvoju antivirusnih sigurnosnih sustava.
Tu je i AVAST.
Ovo su branitelji vašeg računala dokazani u radu - liječenju većine virusa i uklanjanju virusa u slučaju njihove kritične prijetnje ili neizlječivosti.
Većina detektorskih programa također ima funkciju "liječnika", tj. pokušavaju vratiti zaražene datoteke i područja diska u prvobitno stanje – za liječenje virusa. Datoteke koje se ne mogu izliječiti obično se onesposobe ili se izbrišu.
Prevencija protiv infekcije virusom
Pogledajmo neke mjere koje mogu smanjiti vjerojatnost da se računalo zarazi virusom, kao i minimizirati štetu od infekcije virusom ako do nje dođe.
1. Bilo bi lijepo imati i po potrebi ažurirati arhivske i referentne kopije korištenog softvera i podatkovnih paketa. Prije arhiviranja podataka, preporučljivo je provjeriti ih na prisutnost virusa.
2. Također je preporučljivo kopirati servisne informacije vašeg diska (FAT, sektori za pokretanje) i CMOS (stalna memorija računala) na diskete. Kopiranje i vraćanje takvih informacija može se izvršiti pomoću programa Norton Utilities Rescue.
3. Trebali biste postaviti zaštitu od pisanja na arhivske diskete.
4. Ne biste se trebali baviti nelicenciranim i nezakonitim kopiranjem softvera s drugih računala. Možda imaju virus.
5. Sve podatke koji dolaze izvana potrebno je provjeriti na viruse, posebno datoteke "skinute" s interneta.
6. Potrebno je unaprijed pripremiti paket za oporavak na disketama sa zaštitom od pisanja.
7. Za vrijeme normalnog rada, koji nije povezan s vraćanjem računala, vrijedi onemogućiti podizanje sustava s diskete. To će spriječiti infekciju virusom za podizanje sustava.
8. Koristite programe – filtere za rano otkrivanje virusa.
9. Povremeno provjeravajte disk programima-detektorima ili liječnicima-detektorima ili auditorima kako biste otkrili moguće propuste u obrani.
10. Ažurirajte bazu antivirusnih programa.
11. Držite sumnjive korisnike podalje od svog računala.
ZAKLJUČAK
Zaključno, želio bih upozoriti na previše revnu borbu protiv računalnih virusa. Svakodnevno potpuno skeniranje tvrdog diska na viruse također nije sjajan korak u sprječavanju infekcija. Jedini civilizirani način zaštite od virusa vidim u poštivanju preventivnih mjera pri radu na računalu. A također morate pribjeći pomoći stručnjaka da se nosite s računalnim virusom. Osim toga, čak i ako je virus i dalje prodro u računalo, to nije razlog za paniku.
Često glavni problem interneta nisu virusi i hakeri, već tako uobičajena pojava kao što je računalna nepismenost. Koristeći analogiju Kasperskog, nepoznavanje pravila ceste. Ljudi koji su nedavno naučili primati i slati poštu demoniziraju računalne viruse, gotovo ih zamišljajući kao nevidljive crne crve koji gmižu po žicama. Evo nekoliko jednostavnih pravila, slijedeći koje možete pokušati izbjeći infekciju virusima. Prvo: ne boje se računalnih virusa, svi se liječe. Drugo, postavite Microsoft Outlook da radi u zoni ograničenih mjesta, što će ga spriječiti u automatskom pokretanju određenih programa - osnovnom principu širenja računalnih virusa. Treće, ne otvarajte e-poštu od sumnjivih primatelja. Četvrto: koristite novi, i što je još važnije, LICENCNI antivirus.
Nakon pokretanja programa koji sadrži virus, moguće je zaraziti druge datoteke. Najčešće su virusom zaraženi boot sektor diska i izvršne datoteke s ekstenzijama EXE, COM, SYS ili BAT. Tekstualne i grafičke datoteke iznimno su rijetko zaražene.
Zaraženi program je program koji sadrži virusni program ugrađen u sebe.
Znakovi manifestacije virusa
Kada se računalo zarazi virusom, vrlo je važno otkriti ga na vrijeme. Da biste to učinili, trebali biste znati o glavnim znakovima manifestacije virusa. To uključuje sljedeće:
Prestanak rada ili neispravan rad prethodno uspješno funkcionalnih programa;
Spore performanse računala;
Nemogućnost pokretanja operativnog sustava;
Nestanak datoteka i direktorija ili iskrivljavanje njihovog sadržaja;
Promjena datuma i vremena izmjene datoteke;
Promjena veličine datoteka;
Neočekivani značajan porast broja datoteka na disku;
Značajno smanjenje veličine slobodnog RAM-a;
Prikazivanje neočekivanih poruka ili slika na ekranu;
Davanje nepredviđenih zvučnih signala;
Česta smrzavanja i rušenja računala.
Treba napomenuti da gore navedeni fenomeni nisu nužno uzrokovani prisutnošću virusa, već mogu biti posljedica drugih uzroka. Stoga je uvijek teško ispravno dijagnosticirati stanje računala.
Glavne vrste virusa
Trenutno je poznato više od 15 000 softverskih virusa, koji se mogu klasificirati prema sljedećim značajkama (Sl. 11.10):
Po staništu;
Prema načinu infekcije;
Prema stupnju utjecaja;
Prema značajkama algoritma.
Ovisno o stanište virusi se mogu podijeliti
na mreži,
datoteka,
Čizma
Datoteka za pokretanje.
· Mrežni virusi šire se raznim računalnim mrežama.
· Datotečni virusi uvode se uglavnom u izvršne module, tj. u datoteke s ekstenzijama COM i EXE. Datotečni virusi mogu zaraziti i druge vrste datoteka, ali u pravilu su zapisani u takvim datotekama, nikada ne dobivaju kontrolu i stoga gube sposobnost reprodukcije.
· Virusi za pokretanje inficiraju sektor za pokretanje diska (Boot sector) ili sektor koji sadrži program za pokretanje sustava diska (Master Boot Record).
· File-boot virusi inficiraju i datoteke i boot sektore diskova.
Prema načinu infekcije virusi se dijele na
Stambeni
Nerezident.
· Kada rezidentni virus inficira (zarazi) računalo, on ostavlja svoj rezidentni dio u RAM-u, koji zatim presreće pristup operativnog sustava zaraženim objektima (datotekama, boot sektorima diska itd.) i infiltrira se u njih. Rezidentni virusi nalaze se u memoriji i ostaju aktivni dok se računalo ne isključi ili ponovno pokrene.
· Nerezidentni Prusi ne zaraze memoriju računala i aktivni su ograničeno vrijeme.
Prema stupnju djelovanja virusi se mogu podijeliti u sljedeće vrste:
nije opasno ne ometajući rad računala, ali smanjujući količinu slobodnog RAM-a i diskovnog prostora, djelovanje takvih virusa očituje se u svim grafičkim ili zvučnim efektima;
opasne viruse, što može dovesti do raznih kvarova u računalu;
vrlo opasno, čiji utjecaj može dovesti do gubitka programa, uništavanja podataka, brisanja informacija u sistemskim područjima diska
Prema značajkama algoritma viruse je teško klasificirati zbog njihove velike raznolikosti.
Može se primijetiti repliciranje virusa zvanih crvi, koji se distribuiraju računalnim mrežama, izračunavaju adrese mrežnih računala i zapisuju njihove kopije na te adrese.
znan nevidljivi virusi zvani step virusi, koje je vrlo teško detektirati i neutralizirati, budući da presreću pozive operativnog sustava zahvaćenim datotekama i sektorima diska i zamjenjuju nezaražena područja diska umjesto njihovog tijela.
Najteže ih je otkriti mutantnih virusa, koji sadrži algoritme za šifriranje i dešifriranje, zahvaljujući kojima kopije istog virusa nemaju niti jedan ponavljajući lanac bajtova.
Postoje i tzv kvazivirusni ili "trojanski" programi, koji, iako nisu sposobni za samopropagiranje, vrlo su opasni, jer, prerušeni u koristan program, uništavaju boot sektor i datotečni sustav diska.
Programi za otkrivanje i zaštitu od virusa
Karakteristike antivirusnih programa
Za otkrivanje, uklanjanje i zaštitu od računalnih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućuju otkrivanje i uništavanje virusa. Takvi programi nazivaju se antivirusni programi.
Postoje sljedeće vrste antivirusnih programa:
programi-detektori;
programi-liječnici ili fagi;
programi-revizori;
Programi za filtriranje
programi cjepiva ili imunizatori.
Programi-detektori izvršiti pretragu niza bajtova karakterističnih za određeni virus (virusni potpis) u RAM-u i datotekama i, ako se otkrije, izdati odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati razvojnim programerima takvih programa.
Liječnički programi ili fagi - dizajniran za liječenje zaraženih diskova i programa. Liječenje programa sastoji se u uklanjanju tijela virusa iz zaraženog programa. Polifag je u stanju uništiti mnoge viruse. Najpoznatiji su Aidstest, Norton AntiVirus i Doctor Web.
programi revizora: dizajniran za otkrivanje virusne infekcije datoteka, kao i pronalaženje oštećenih datoteka. Ovi programi pamte podatke o stanju programa i sistemskih područja diskova u normalnom stanju (prije infekcije) i uspoređuju te podatke tijekom rada računala. Ako se podaci ne podudaraju, prikazuje se poruka o mogućnosti infekcije;
programe za filtriranje ili pohranu dizajniran za presretanje poziva operativnom sustavu, koje koriste virusi za reprodukciju i obavještavanje korisnika o tome. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju. Takvi programi su rezidentni, odnosno nalaze se u RAM-u računala.
programi cjepiva: koristi se za obradu datoteka i sektora za pokretanje kako bi se spriječila infekcija poznatim virusima (ova se metoda u zadnje vrijeme sve više koristi).
Cjepiva ili imunizatori rezidentni su programi koji sprječavaju infekciju datoteka. Cjepiva se koriste ako ne postoje liječnički programi koji "liječe" ovaj virus. Cijepljenje je moguće samo protiv poznatih virusa. Cjepivo modificira program ili disk na način da ne utječe na njihov rad, a virus će ih percipirati kao zaražene i stoga se neće ukorijeniti. Programi cjepiva trenutno su ograničene upotrebe.
Treba napomenuti da je odabir jednog "najboljeg" antivirusa vrlo pogrešna odluka. Preporučljivo je koristiti više različitih antivirusnih paketa istovremeno. Prilikom odabira antivirusnog programa obratite pozornost na takav parametar kao što je broj potpisa za prepoznavanje (niz znakova koji će zajamčeno prepoznati virus). Drugi parametar je prisutnost heurističkog analizatora nepoznatih virusa, njegova prisutnost je vrlo korisna, ali značajno usporava program. Do danas postoji veliki broj različitih antivirusnih programa.
Jedan od najboljih antivirusnih programa s moćnim algoritmom za otkrivanje virusa. Polyphage, sposoban skenirati datoteke u arhivama, Word dokumentima i Excel radnim knjigama, otkriva polimorfne viruse koji su u posljednje vrijeme sve rašireniji. Dovoljno je reći da je upravo DrWeb zaustavio epidemiju vrlo opasnog virusa OneHalf. Heuristički analizator DrWeb, ispitujući programe za prisutnost fragmenata koda karakterističnih za viruse, omogućuje vam pronalaženje gotovo 90% nepoznatih virusa. Prilikom učitavanja programa, DrWeb prije svega provjerava sam sebe za integritet, nakon čega testira RAM. Program može raditi u interaktivnom načinu rada, ima prikladno prilagodljivo korisničko sučelje.
ADINF (Advanced DiskINFoscope) antivirusni inspektor diska omogućuje pronalaženje i uništavanje postojećih običnih, prikrivenih i polimorfnih virusa, kao i potpuno novih. Antivirus ima na raspolaganju jedinicu za liječenje ADINF revizora - Adinf Cure Module - koja može neutralizirati do 97% svih virusa. Ovu brojku donosi Dialognauka na temelju rezultata testiranja kolekcija virusa dvaju priznatih autoriteta u ovoj oblasti - D.N.Lozinskog i dr. Solomona (Velika Britanija).
ADINF se učitava automatski kada se računalo uključi i kontrolira boot sektor i datoteke na disku (datum i vrijeme stvaranja, duljina, kontrolni zbroj), prikazujući poruke o njihovim promjenama. Zbog činjenice da ADINF obavlja diskovne operacije zaobilazeći operacijski sustav, pozivajući se na BIOS funkcije, postiže se ne samo sposobnost otkrivanja aktivnih stealth virusa, već i velika brzina skeniranja diska. Ako se pronađe virus za pokretanje, ADINF će jednostavno vratiti prethodni sektor za pokretanje koji je pohranjen u njegovoj tablici. Ako je virus datoteka, tada u pomoć priskače Adinf Cure Module, koji na temelju izvješća glavnog modula o zaraženim datotekama uspoređuje nove parametre datoteke s prethodnima pohranjenima u posebnim tablicama. Kada se otkriju nedosljednosti, ADINF vraća prethodno stanje datoteke, a ne uništava tijelo virusa, kao što to čine polifagi.
Antivirusni AVP (AntiVirus Program) je polifag, tijekom svog rada provjerava RAM, datoteke, uključujući arhivske datoteke, na disketama, lokalnim, mrežnim i CD-ROM diskovima, kao i strukture podataka sustava, kao što su boot sektor, particijska tablica , i itd. Program ima heuristički analizator koji, prema programerima antivirusa, može pronaći gotovo 80% svih virusa. AVP je 32-bitna aplikacija za Windows 98, NT i 2000 operativne sustave, ima user-friendly sučelje i jednu od najvećih svjetskih antivirusnih baza podataka. Antivirusne baze podataka za AVP ažuriraju se otprilike jednom tjedno i mogu se nabaviti s interneta. Ovaj program traži i uklanja veliki broj virusa, uključujući:
- polimorfni ili samokriptirajući virusi;
- stealth virusi, ili nevidljivi virusi;
- novi virusi za Windows;
- makro virusi koji inficiraju Word dokumente i Excel proračunske tablice.
Osim toga, AVP program nadzire operacije datoteka u sustavu u pozadini, detektira virus prije nego što je sustav stvarno zaražen, a također otkriva nepoznate viruse pomoću heurističkog modula.
računalni virusi
File virusi
Virus može zaraziti tri vrste datoteka:
Tim (BAT);
Upravljački programi koji se mogu učitavati (IO.SYS, MSDOS.SYS, itd.);
Izvršne binarne datoteke (EXE, COM).
Moguće je unijeti virus u podatkovne datoteke, ali ti se slučajevi događaju ili kao rezultat pogreške virusa ili kada virus manifestira svoja agresivna svojstva.
Virus se ubacuje u SYS datoteku na sljedeći način: virusi se ubacuju u SYS datoteku, dodjeljuju svoje kodove "tijelu" datoteke i mijenjaju adrese programa strategije i prekida zaraženog upravljačkog programa (postoje virusi koji mijenjaju adresu samo jednog od programa). Tijekom inicijalizacije zaraženog drajvera, virus presreće odgovarajući zahtjev operativnog sustava, prosljeđuje ga drajveru, čeka odgovor, ispravlja ga i ostaje u RAM-u zajedno s drajverom u istom memorijskom bloku. Takav virus može biti izuzetno opasan i uporan, jer upada u RAM prilikom učitavanja DOS-a prije bilo kojeg antivirusnog programa, ako je, naravno, i upravljački program.
Zaražena datoteka upravljačkog programa:
Također je moguće zaraziti upravljački program sustava na drugi način, kada virus modificira svoje zaglavlje tako da DOS tretira zaraženu datoteku kao lanac od dvije (ili više) datoteka.
Zaražena datoteka upravljačkog programa:
Slično, virus može zapisati svoje kodove na početak upravljačkog programa, a ako datoteka sadrži nekoliko upravljačkih programa, onda na sredinu datoteke.
Virus se ubacuje u COM i EXE datoteke na sljedeći način: izvršne binarne datoteke imaju COM ili EXE formate, razlikuju se u zaglavlju i načinu na koji se programi pokreću na izvršenje. Ekstenzija naziva datoteke (COM ili EXE) ne odgovara uvijek stvarnom formatu datoteke, što ni na koji način ne utječe na rad programa. COM ili EXE datoteke zaražene su na različite načine, stoga virus mora razlikovati datoteke jednog formata od drugog.
Virusi rješavaju ovaj problem na dva načina: neki analiziraju nastavak naziva datoteke, drugi analiziraju zaglavlje datoteke. Prva metoda će se nazivati infekcija. COM- (.EXE-) datoteke, drugi način infekcije: COM- (EXE-) datoteke. U većini slučajeva virus ispravno inficira datoteku, tj. pomoću informacija sadržanih u tijelu virusa možete potpuno vratiti zaraženu datoteku. Ali virusi, kao i većina programa, često sadrže pogreške koje su neprimjetne na prvi pogled. Zbog toga čak i dobro napisan virus može nepovratno oštetiti datoteku ako je oštećena. Na primjer, virusi koji razlikuju vrste datoteka prema ekstenziji naziva (.COM-, .EXE-) vrlo su opasni jer oštećuju datoteke čiji nastavak naziva ne odgovara internom formatu.
Datotečni virusi se prilikom širenja unose u tijelo zaražene datoteke: početak, kraj ili sredinu. Postoji nekoliko mogućnosti za unošenje virusa u sredinu datoteke: može se kopirati u tablicu postavki adrese EXE datoteke ("Boot - Exe"), područje stoga datoteke COMMAND.COM ("Lehigh "), može proširiti datoteku ili prebrisati dio datoteke na njenom kraju, a njihove kodove na oslobođeni prostor ("April - 1- Exe", "Phoenix"), itd. Osim toga, kopiranje virusa na sredini datoteke može se pojaviti kao rezultat pogreške virusa. U tom slučaju datoteka može biti nepovratno oštećena. Postoje i drugi načini za ubacivanje virusa u sredinu datoteke, na primjer, virus "Mutant" koristi metodu komprimiranja nekih dijelova datoteke.
Unošenje virusa na početak datoteke može se dogoditi na tri načina. Prvi način je da virus prepisuje početak zaražene datoteke na njezin kraj, te se kopira na oslobođeni prostor. Kada zarazi datoteku na drugi način, virus stvara svoju kopiju u RAM-u, dodaje joj zaraženu datoteku i sprema rezultirajuću konkatenaciju na disk. Kada se zarazi trećom metodom, virus zapisuje svoje kodove na početak datoteke, bez spremanja starog sadržaja početka datoteke, naravno, datoteka prestaje raditi i ne može se vratiti.
Ubrizgavanje virusa na početak datoteke koristi se u velikoj većini slučajeva kada su COM datoteke zaražene. EXE datoteke zaražene su ovom metodom, bilo kao rezultat pogreške virusa, ili korištenjem algoritma virusa "Pascal".
Uvođenje virusa na kraj datoteke najčešći je način zaraze. U tom slučaju virus mijenja početak datoteke na način da su prve izvršne naredbe programa sadržane u datoteci naredbe virusa. U COM datoteci to se postiže promjenom prva tri (ili više) bajta u kodove instrukcija JMP Loc_Virus (ili, općenito, u kodove programa koji kontrolu prenosi na tijelo virusa). Datoteka EXE se ili pretvara u format datoteke COM i zatim zarazi kao posljednja ili se mijenja zaglavlje datoteke (dužina, početne adrese).
Standardnom metodom infekcije nazvat ćemo metodu u kojoj virus dodaje na kraj datoteke i mijenja prve bajtove COM datoteke i nekoliko polja zaglavlja EXE datoteke.
Virus, nakon prijenosa kontrole na njega, radi prema sljedećem algoritmu:
Vraća program (ali ne i datoteku) u izvornom obliku;
Ako je virus rezidentni, tada provjerava prisutnost svoje kopije u RAM-u i inficira memoriju računala ako kopija nije pronađena; ako virus nije rezidentni, tada traži nezaražene datoteke u trenutnim i korijenskim direktorijima, u direktorijima označenim u naredbi PATH, skenira stablo direktorija logičkih pogona, a zatim inficira otkrivene datoteke;
Izvodi, ako ih ima, dodatne funkcije: destruktivne radnje, grafičke ili zvučne efekte.
Vraća kontrolu glavnom programu.
Boot virusi
Boot virusi inficiraju boot sektor diskete i Boot sektor, ili Master Boot Record tvrdog diska. Kada je disk zaražen, virus u većini slučajeva prenosi izvorni Boot sektor na neki drugi sektor diska. Ako je duljina virusa veća od duljine sektora, tada se prvi dio virusa pomiče u zaraženi sektor, a ostatak se postavlja u druge sektore. Zatim virus kopira informacije o sustavu pohranjene u originalnom bootloaderu i zapisuje ih u boot sektor (za MBR ove informacije su Disk Partition Table, za Boot sektor disketa to je BIOS Parameter Block).
Algoritam pokretanja virusa.
Ubacivanje u memoriju provodi se prilikom dizanja sa zaraženog diska. U ovom slučaju, program za učitavanje sustava čita sadržaj prvog sektora diska s kojeg se izvodi dizanje, smješta pročitane informacije u memoriju i prenosi kontrolu na njega (tj. na virus). Nakon toga počinju se izvršavati upute virusa, što smanjuje količinu slobodne memorije; čita njegov nastavak s diska; prenosi se u drugo područje memorije; postavlja potrebne vektore prekida; obavlja dodatne radnje; kopira izvorni Boot sektor u memoriju i prenosi kontrolu na njega.
Naknadno se boot virus ponaša na isti način kao virus rezidentne datoteke: presreće pristup operativnog sustava diskovima i pokreće ih te, ovisno o određenim uvjetima, izvodi destruktivne radnje ili izaziva zvučne ili video efekte.
Karakteristike računalnih virusa
Bit i pojavnost računalnih virusa
Masovna uporaba osobnih računala, nažalost, povezana je s pojavom samoreproduktivnih virusnih programa koji onemogućuju normalan rad računala, uništavaju datotečnu strukturu diskova i oštećuju informacije pohranjene u računalu. Nakon što prodre u jedno računalo, računalni virus se može proširiti na druga računala. računalni virus je posebno napisan program koji se može spontano priključiti na druge programe, stvoriti svoje kopije i ugraditi ih u datoteke, područja računalnog sustava i računalne mreže kako bi poremetio programe, oštetio datoteke i direktorije, te stvorio sve vrste smetnji u radu na Razlozi za pojavu i širenje računalnih virusa, s jedne strane, kriju se u psihologiji ljudske osobnosti i njezinim sjenovitim stranama (zavist, osvetoljubivost, taština nepriznatih stvaratelja, nemogućnost konstruktivne primjene svojih sposobnosti), s druge strane, zbog nedostatka hardverske zaštite i protudjelovanja operativnog sustava osobnog računala. Unatoč zakonima usvojenim u mnogim zemljama za borbu protiv računalnog kriminala i razvoju posebnog softvera za zaštitu od virusa, broj novih softvera virusa stalno raste. To zahtijeva od korisnika osobnog računala poznavanje prirode virusa, načina zaraze virusima i zaštite od njih.Glavni načini ulaska virusa u računalo su prijenosni diskovi (floppy i laserski), kao i računalne mreže. Do infekcije tvrdog diska virusima može doći kada se računalo podigne s diskete koja sadrži virus. Takva infekcija također može biti slučajna, na primjer, ako se disketa ne izvadi iz pogona A: i ponovno se pokrene računalo, a disketa možda nije sistemski disk. Puno je lakše zaraziti disketu. Virus se može zaraziti čak i ako se disketa jednostavno umetne u pogon zaraženog računala i, na primjer, pročita njezin sadržaj. Inficirani disk- ovo je disk u čijem se boot sektoru nalazi virusni program Nakon pokretanja programa koji sadrži virus moguće je zaraziti druge datoteke. Najčešće su virusom zaraženi boot sektor diska i izvršne datoteke s ekstenzijama EXE, .COM, SYS ili BAT. Tekstualne i grafičke datoteke iznimno su rijetko zaražene. Zaraženi program je program koji u sebi sadrži virusni program.Kada je računalo zaraženo virusom vrlo je važno otkriti ga na vrijeme. Da biste to učinili, trebali biste znati o glavnim znakovima manifestacije virusa. To uključuje sljedeće:- prestanak rada ili neispravan rad prethodno uspješno funkcionalnih programa;
- spor rad računala
- nemogućnost pokretanja operativnog sustava;
- nestanak datoteka i direktorija ili iskrivljavanje njihovog sadržaja;
- promjena datuma i vremena izmjene datoteke;
- promjena veličine datoteka;
- neočekivano značajno povećanje broja datoteka na disku;
- značajno smanjenje veličine slobodnog RAM-a;
- prikazivanje neželjenih poruka ili slika na ekranu;
- davanje nepredviđenih zvučnih signala;
- česta smrzavanja i padova računala.
- nije opasno, ne ometajući rad računala, ali smanjujući količinu slobodnog RAM-a i diskovnog prostora, djelovanje takvih virusa očituje se u svim grafičkim ili zvučnim efektima;
- opasno virusi koji mogu dovesti do raznih kvarova na računalu;
- vrlo opasnočiji utjecaj može dovesti do gubitka programa, uništenja podataka, brisanja informacija u sistemskim područjima diska.
PROGRAMI ZA OTKRIVANJE I ZAŠTITU VIRUSA
Karakteristike antivirusnih programa Za otkrivanje, uklanjanje i zaštitu od računalnih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućuju otkrivanje i uništavanje virusa. Takvi se programi nazivaju antivirusno. Postoje sljedeće vrste antivirusnih programa (Sl. 11.11): Programi-detektori izvršiti pretragu niza bajtova karakterističnih za određeni virus (virusni potpis) u RAM-u i datotekama i, ako se otkrije, izdati odgovarajuću poruku. Nedostatak takvog protuvirusnog pro-Sl. 11.11. Vrste antivirusnih programa
gram je da mogu pronaći samo viruse koji su poznati programerima takvih programa. Doktorski programi ili fagi, kao i programi cjepiva ne samo pronaći datoteke zaražene virusima, već ih i "liječiti", tj. uklonite tijelo virusnog programa iz datoteke, vraćajući datoteke u izvorno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda nastavljaju s "liječenjem" datoteka. Među fagima su polifagi,
oni. doktorski programi dizajnirani za pronalaženje i uništavanje velikog broja virusa. Najpoznatiji polifagi su programi Aidstest , Skeniraj, Norton AntiVirus i DoctorWeb .
S obzirom da se stalno pojavljuju novi virusi, detekcijski programi i liječnički programi brzo zastarijevaju te je potrebno redovito ažuriranje njihovih verzija. Revizori programa su među najpouzdanijim sredstvima zaštite od virusa. Auditori pamte početno stanje programa, direktorija i područja sustava na disku kada računalo nije zaraženo virusom, a zatim povremeno ili na zahtjev korisnika uspoređuju trenutno stanje s izvornim. Otkrivene promjene prikazuju se na zaslonu video monitora. U pravilu se usporedba stanja provodi odmah nakon učitavanja operativnog sustava. Prilikom usporedbe provjerava se duljina datoteke, ciklički kontrolni kod (kontrolni zbroj datoteke), datum i vrijeme izmjene i drugi parametri. Programi za nadzor imaju prilično napredne algoritme, detektiraju skrivene viruse i čak mogu razlikovati promjene u verziji programa koja se provjerava od promjena koje je napravio virus. Među programima-auditorima je program Adinf koji Dialog-Science široko koristi u Rusiji. Programi za filtriranje ili "čuvar" mali su rezidentni programi dizajnirani za otkrivanje sumnjivih računalnih aktivnosti koje su karakteristične za viruse. Takve radnje mogu biti: - pokušava ispraviti datoteke s ekstenzijama COM i EXE;
- mijenjanje atributa datoteke;
- izravno pisanje na disk na apsolutnoj adresi;
- pisanje u boot sektore diska.
- u načinu sučelja preko cijelog zaslona pomoću izbornika i dijaloških okvira;
- u načinu upravljanja naredbenim retkom.
- informacije o sektorima za pokretanje;
- informacije o lošim klasterima;
- duljina i kontrolni zbrojevi datoteka;
- datum i vrijeme kada su datoteke stvorene.
- opremite svoje računalo s najnovijim antivirusnim programima, na primjer Aidstest ili liječnik web, i stalno ažurirati svoje verzije;
- Prije čitanja informacija pohranjenih na drugim računalima s disketa, uvijek provjerite te diskete na viruse pokretanjem antivirusnih programa na vašem računalu;
- prilikom prijenosa arhiviranih datoteka na računalo, provjerite ih odmah nakon raspakiranja na tvrdom disku, ograničavajući područje provjere samo na novosnimljene datoteke;
- povremeno provjeravajte tvrde diskove vašeg računala na viruse pokretanjem antivirusnih programa za testiranje datoteka, memorije i sistemskih područja diskova s diskete zaštićene od pisanja, nakon učitavanja operativnog sustava također sa sistemske diskete zaštićene od pisanja;
- uvijek zaštitite svoje diskete od pisanja kada radite na drugim računalima, ako se na njih neće pisati informacije;
- svakako napravite arhivske kopije na disketama vrijednih informacija za vas;
- ne ostavljajte diskete u džepu pogona A: prilikom uključivanja ili ponovnog pokretanja operativnog sustava kako biste spriječili zarazu računala virusima za pokretanje;
- koristiti antivirusne programe za kontrolu unosa svih izvršnih datoteka primljenih s računalnih mreža;
- za veću sigurnost primjene Aidstest i Doktor Web mora se kombinirati sa svakodnevnom upotrebom revizora diska ADinf.
