Gentili utenti, il materiale di questo articolo non può essere considerato completo ed esaustivo, poiché i progressi sono in costante progresso e, purtroppo, anche le tecnologie per la scrittura di virus e malware stanno migliorando. Questo articolo è compilato a scopo informativo, per aumentare l'educazione e la consapevolezza degli utenti. Spero (ingenuamente scorretto) che il materiale presentato non spinga nessuno a scrivere programmi maligni, ma, al contrario, lo faccia pensare. Ricorda, c'è un detto saggio: "Non sputare nel pozzo, dovrai bere". Nel nostro caso, Internet è un enorme "pozzo" di informazioni, da cui otteniamo le informazioni di cui tu ed io abbiamo bisogno. È nostra diretta responsabilità mantenerlo pulito, perché ne siamo parti integranti (anche se indirettamente, ma nondimeno :).
Cosa sono i virus?
Virusè un programma appositamente scritto, di piccole dimensioni, una sequenza di codici istruzione che può "ascriversi" ad altri programmi ("infettarli"), creare copie di sé (non sempre uguali) e incorporarle in file, aree di sistema di il computer, ecc. ecc., nonché eseguire varie azioni indesiderate sul computer.
I virus informatici devono il loro nome a una certa somiglianza con i virus naturali: la capacità di autoinfettarsi; alta velocità di propagazione; selettività dei sistemi interessati (ogni virus infetta solo determinati sistemi o gruppi omogenei di sistemi); la capacità di "infettare" sistemi ancora non infetti; difficoltà nel combattere i virus, ecc.
Classificazione dei virus informatici
I virus possono essere convenzionalmente classificati secondo i seguenti criteri:
*secondo l'habitat del virus
* con il metodo di contaminazione dell'habitat
* da possibilità distruttive
* dalle caratteristiche dell'algoritmo del virus
* per tipo di azioni distruttive
I virus di avvio infettano il settore di avvio del disco floppy e il settore di avvio o Master Boot Record (MBR) del disco rigido. Il principio di funzionamento dei virus di avvio si basa sugli algoritmi per l'avvio del sistema operativo all'accensione o al riavvio del computer.
Per essere più chiaro spiego nel dettaglio come si avvia il computer: dopo aver acceso il PC alla rete, l'alimentatore invia il segnale POWER_ON alla scheda madre, che a sua volta controlla la tensione nel circuito di alimentazione, se è corretta , quindi il computer si accende. Inoltre, il programma nel BIOS (Basic Input Output System) della scheda video riceve il controllo, verifica i componenti della scheda video e, al ricevimento di dati positivi, trasferisce il controllo al BIOS della scheda madre. Avvia la procedura POST (Power-On Self Test), che esegue un autotest di tutti i componenti del sistema, se il test ha esito positivo e tutti i dispositivi trovati restituiscono segnali positivi, il BIOS in accordo con i dati nella sezione Boot e trasferisce il controllo al dispositivo che si trova per primo in questo elenco. Il controllo viene trasferito ricercando il primo settore fisico, leggendolo e avviando il bootloader.
Nel caso di un floppy disk o di un CD-ROM, riceve il controllo il settore di avvio, che analizza la tabella dei parametri del disco (BPB - BIOS Parameter Block), calcola gli indirizzi dei file di sistema del sistema operativo, li legge in memoria e li lancia per l'esecuzione. Se i file del sistema operativo mancano sul disco di avvio, il programma situato nel settore di avvio del disco visualizza un messaggio di errore e propone di sostituire il disco di avvio.
Nel caso di un hard disk, prende il controllo il bootloader sopra menzionato, che analizza la Disk Partition Table, calcola l'indirizzo del settore di avvio attivo (di solito questo settore è il settore di avvio del C :), lo carica in memoria e ne trasferisce il controllo. Dopo aver ricevuto il controllo, il settore di avvio attivo del disco rigido esegue le stesse azioni del settore di avvio di un disco floppy. Inoltre, tutto è più semplice, il caricatore del sistema operativo si trova nei file di sistema, che carica ulteriormente il sistema operativo.
Quando infettano i dischi, i virus di avvio "sostituiscono" il loro codice per qualsiasi programma che ottiene il controllo all'avvio del sistema. Quindi, il principio di infezione è lo stesso in tutti i metodi sopra descritti: il virus "obbliga" il sistema a leggerlo in memoria quando viene riavviato ea dare il controllo non al codice del bootloader originale, ma al codice del virus.
I floppy disk vengono infettati nell'unico modo noto: il virus scrive il proprio codice invece del codice originale del settore di avvio del floppy. Il disco rigido viene infettato in tre modi possibili: il virus si scrive al posto del codice MBR o al posto del codice del settore di avvio del disco di avvio (di solito C :), o modifica l'indirizzo del settore di avvio attivo nel disco Tabella delle partizioni situata nell'MBR del disco rigido.
Quando infetta un disco, il virus nella maggior parte dei casi trasferisce il settore di avvio originale (o MBR) in un altro settore del disco (ad esempio, nel primo settore libero). Se la lunghezza del virus è maggiore della lunghezza del settore, la prima parte del virus viene posizionata nel settore infetto, le parti rimanenti vengono posizionate in altri settori (ad esempio, nei primi settori liberi).
Esistono diverse opzioni per posizionare il settore di avvio iniziale sul disco e continuare il virus: in settori di cluster liberi di un disco logico, in settori di sistema inutilizzati o usati raramente, in settori situati all'esterno del disco.
Se la continuazione del virus si trova in settori che appartengono a cluster di dischi liberi (durante la ricerca di questi settori, il virus deve analizzare la tabella di allocazione dei file - FAT), quindi, di norma, il virus contrassegna questi cluster nel FAT (Fail Allocation Table) come cluster danneggiati (i cosiddetti cluster pseudo-cattivi).
Inoltre, i virus posizionano il settore di avvio iniziale in un settore inutilizzato o utilizzato raramente, in uno dei settori del disco rigido (se presente) situato tra l'MBR e il primo settore di avvio e su un disco floppy tale settore viene selezionato da gli ultimi settori della directory principale.
Alcuni virus scrivono il loro codice negli ultimi settori del disco rigido, poiché questi settori vengono utilizzati solo quando il disco rigido è completamente pieno di informazioni. Meno comunemente usato è il metodo per tenere il virus fuori dal disco. Ciò si ottiene in due modi. Il primo si riduce alla riduzione delle dimensioni dei dischi logici: il virus sottrae i valori necessari dai campi corrispondenti del settore di avvio BPB e della tabella delle partizioni del disco del disco rigido (se il disco rigido viene infettato), riducendo così il dimensione del disco logico e scrive il suo codice nei settori "tagliati" da esso.
Il secondo modo è scrivere dati al di fuori della partizione del disco fisico. Nel caso dei floppy disk, il virus deve formattare una traccia aggiuntiva sul disco (metodo di formattazione non standard). Esistono virus che scrivono il loro codice al di fuori dello spazio accessibile del disco rigido, se, ovviamente, ciò è consentito dall'hardware installato.
Naturalmente, esistono altri metodi per posizionare un virus sul disco, ad esempio alcuni virus contengono un caricatore MBR standard nei loro corpi e, se infetti, sovrascrivono l'MBR originale senza salvarlo.
Quando infettano, la maggior parte dei virus copia le informazioni di sistema memorizzate nel bootloader iniziale nel codice del proprio bootloader (per MBR questa informazione è la tabella delle partizioni del disco, per il settore di avvio dei dischi floppy - BIOS Parameter Block). In caso contrario, il sistema non sarà in grado di avviarsi da solo, poiché gli indirizzi dei dischi dei componenti del sistema vengono calcolati in base a queste informazioni.
Tuttavia, alcuni virus stealth non memorizzano queste informazioni o, ancora di più, le crittografano deliberatamente. Quando il sistema o altri programmi accedono a settori infetti, il virus sostituisce gli originali non infetti e il sistema si avvia senza errori.
Va anche notato che i virus di avvio molto raramente "vanno d'accordo" sullo stesso disco: spesso usano gli stessi settori del disco per posizionare il loro codice / dati. Di conseguenza, il codice/dati del primo virus risulta essere danneggiato quando viene infettato dal secondo virus e il sistema si blocca durante l'avvio o i cicli.
Algoritmo del boot virus
Quasi tutti i virus di avvio sono residenti in memoria. Sono incorporati nella memoria del computer quando si avvia da un disco infetto. In questo caso, il boot loader legge il contenuto del primo settore del disco da cui viene effettuato l'avvio, inserisce le informazioni lette in memoria e trasferisce il controllo ad esso (cioè al virus). Successivamente, iniziano a essere eseguite le istruzioni del virus, che:
1.
di norma, riduce la quantità di memoria libera (la parola a 0040: 0013), copia il suo codice nello spazio vuoto e legge la sua continuazione dal disco (se presente). Successivamente, alcuni virus "aspettano" l'avvio del sistema operativo e ripristinano questa parola al suo significato originale. Di conseguenza, non si trovano al di fuori del sistema operativo, ma come blocchi separati di memoria del sistema operativo.
2.
intercetta i vettori di interrupt necessari (solitamente INT 13h), legge il settore di avvio originale in memoria e gli trasferisce il controllo.
In futuro, il boot virus si comporterà allo stesso modo di un file virus residente in memoria: intercetta l'accesso del sistema operativo ai dischi e li infetta, a seconda di determinate condizioni, esegue azioni distruttive o provoca effetti sonori o video.
Esistono virus di avvio non residenti in memoria: durante l'avvio, infettano l'MBR del disco rigido e dei dischi floppy, se presenti nelle unità. Quindi tali virus trasferiscono il controllo al bootloader originale e non influiscono più sul funzionamento del computer.
Virus di file
Questo gruppo include virus che, moltiplicandosi in un modo o nell'altro, utilizzano il file system di un sistema operativo.
L'iniezione di un file virus è possibile in quasi tutti i file eseguibili di tutti i sistemi operativi più diffusi, nonché nelle librerie di driver dinamici e virtuali (dll, VxD) e molti altri file.
Esistono virus che infettano file che contengono codice sorgente di programmi, librerie o moduli oggetto. È possibile scrivere un virus su file di dati, ma ciò accade a causa di un errore del virus o quando si manifestano le sue proprietà aggressive. I macrovirus scrivono anche il loro codice in file di dati, documenti o fogli di calcolo, ma questi virus sono così specifici da essere classificati come un gruppo separato.
Questo metodo di infezione è il più semplice: il virus scrive il proprio codice invece del codice del file infetto, distruggendone il contenuto. Naturalmente, il file smette di funzionare e non può essere ripristinato. Tali virus si rilevano molto rapidamente, poiché il sistema operativo e le applicazioni smettono di funzionare piuttosto rapidamente.
Iniezione di virus all'inizio del file
L'iniezione di un virus all'inizio di un file viene utilizzata nella stragrande maggioranza dei casi quando si infettano i file DOS "BAT e COM. Esistono diversi virus che si scrivono all'inizio dei file EXE dei sistemi operativi DOS, Windows e persino Linux. Allo stesso tempo, i virus vengono utilizzati per mantenere il programma funzionante. , disinfettare il file infetto, riavviarlo, attendere che finisca e riscriverlo dall'inizio (a volte viene utilizzato un file temporaneo per questo, in cui il viene scritto un file neutralizzato), oppure ripristinano il codice del programma nella memoria del computer e configurano gli indirizzi necessari nel suo corpo (cioè duplicano il lavoro del sistema operativo).
Iniezione di virus alla fine del file
Il modo più comune per introdurre un virus in un file consiste nell'aggiungere il virus alla fine del file. In questo caso, il virus modifica l'inizio del file in modo tale che i primi comandi eseguiti del programma contenuto nel file siano i comandi del virus.
In un file COM DOS, nella maggior parte dei casi ciò si ottiene modificando i suoi primi tre (o più) byte in codici di istruzione JMP Loc_Virus (o, più in generale, in codici del programma che trasferisce il controllo al corpo del virus).
I virus che si infiltrano nei file SYS allegano i loro codici al corpo del file e modificano gli indirizzi dei programmi Strategia e Interruzione del driver infetto. Quando un driver infetto viene inizializzato, il virus intercetta la richiesta corrispondente dal sistema operativo, la trasferisce al driver, attende una risposta a questa richiesta, la corregge e rimane con il driver in un blocco di RAM. Un tale virus può essere estremamente pericoloso e tenace, poiché viene introdotto nella RAM all'avvio del sistema operativo prima di qualsiasi programma antivirus, se, ovviamente, non è nemmeno un driver.
Esistono anche virus che infettano i driver di sistema in modo diverso: il virus modifica la propria intestazione in modo che il sistema operativo tratti il file infetto come una catena di due (o più) driver.
Allo stesso modo, un virus può scrivere i suoi codici all'inizio del driver e, se il file contiene diversi driver, al centro del file.
Iniezione di virus nel mezzo del file
Esistono diversi metodi per introdurre un virus all'interno di un file. Nel più semplice di questi, il virus sposta parte del file alla fine o "espande" il file e scrive il suo codice nello spazio liberato. Questo metodo è per molti versi simile ai metodi sopra elencati. Allo stesso tempo, alcuni virus comprimono il blocco di file portatili in modo che la lunghezza del file non cambi durante l'infezione.
Il secondo è il metodo "cavità", in cui il virus viene scritto in aree deliberatamente inutilizzate del file. Il virus può essere copiato in aree inutilizzate della tabella di configurazione dell'indirizzo DOS EXE o nell'intestazione NewEXE, nell'area dello stack del file COMMAND.COM ("Lehigh") o nell'area dei messaggi di testo dei compilatori più diffusi ( "NMSG"). Ci sono virus che infettano solo quei file che contengono blocchi pieni di qualche byte costante, mentre il virus scrive il suo codice invece di un tale blocco.
Virus senza punto di ingresso
Separatamente, dovrebbe essere notato un gruppo piuttosto insignificante di virus che non hanno un "punto di ingresso" (virus EPO - virus che oscurano il punto di ingresso). Questi includono virus che non scrivono comandi di trasferimento di controllo nell'intestazione dei file COM (JMP) e non modificano l'indirizzo del punto di inizio nell'intestazione dei file EXE. Tali virus scrivono un comando per passare al loro codice da qualche parte nel mezzo del file e ottenere il controllo non direttamente quando viene lanciato il file infetto, ma quando viene chiamata una procedura contenente il codice per trasferire il controllo al corpo del virus. Inoltre, questa procedura può essere eseguita molto raramente (ad esempio, quando si visualizza un messaggio su un errore specifico). Di conseguenza, il virus può "dormire" all'interno di un file per molti anni e può essere rilasciato solo in determinate condizioni limitate.
Prima di scrivere un comando per passare al proprio codice nel mezzo del file, il virus deve selezionare l'indirizzo "corretto" nel file, altrimenti il file infetto potrebbe essere danneggiato. Esistono diversi modi noti in cui i virus rilevano tali indirizzi all'interno dei file.
Il primo modo- ricercare nel file una sequenza di codice standard C/Pascal. Questi virus cercano le intestazioni delle procedure C/Pascal standard nei file infetti e scrivono invece il proprio codice.
Secondo modo- rintracciare o smontare il codice del file. Tali virus caricano un file in memoria, quindi lo tracciano o lo disassemblano e, a seconda delle varie condizioni, selezionano un comando (o comandi), invece del quale viene scritto un codice per la transizione al corpo del virus.
La terza via viene utilizzato solo dai virus residenti in memoria: quando viene avviato un file, monitorano un'interruzione (in genere INT 21h). Non appena il file infetto provoca questa interruzione, il virus scrive il proprio codice invece del comando di chiamata dell'interruzione.
Compagno - virus
La categoria "compagno" include virus che non modificano i file infetti. L'algoritmo di funzionamento di questi virus è che viene creato un doppio file per il file infetto e quando viene lanciato il file infetto, questo doppio viene controllato, ad es. virus.
I virus associati più comuni che utilizzano la funzionalità DOS per eseguire per primi un file .COM se nella stessa directory sono presenti due file con lo stesso nome ma con estensioni di nome diverse: .COM e .EXE. Questi virus creano file complementari per i file EXE che hanno lo stesso nome ma con estensione .COM, ad esempio, viene creato un file XCOPY.COM per il file XCOPY.EXE. Il virus si scrive su un file COM e non modifica in alcun modo il file EXE. Quando esegui un file di questo tipo, DOS sarà il primo a rilevare ed eseguire il file COM, ad es. un virus che avvierà anche il file EXE. Alcuni virus utilizzano non solo la variante COM-EXE ma anche BAT-COM-EXE.
Il secondo gruppo è costituito da virus che, in caso di infezione, rinominano un file con un altro nome, lo ricordano (per il successivo avvio del file host) e scrivono il loro codice su disco con il nome del file infetto. Ad esempio, il file XCOPY.EXE viene rinominato in XCOPY.EXD e il virus viene scritto come XCOPY.EXE. All'avvio, il controllo riceve il codice del virus, che esegue quindi l'XCOPY originale memorizzato con il nome XCOPY.EXD. Un fatto interessante è che questo metodo funziona, probabilmente, in tutti i sistemi operativi: virus di questo tipo sono stati trovati non solo in DOS, ma in Windows e OS / 2.
Il terzo gruppo include i cosiddetti virus "Path-companion" che "giocano" sulle funzionalità PATH di DOS. Scrivono il loro codice sotto il nome del file da infettare, ma "più in alto" di un livello in PATH (quindi, DOS sarà il primo a rilevare ed eseguire il file del virus), oppure spostano il file vittima di una sottodirectory più in alto e presto.
File worm
I file worm sono, in un certo senso, una sorta di compagni: i virus, ma non associano in alcun modo la loro presenza a nessun file eseguibile. Durante la replica, copiano semplicemente il loro codice in alcune directory del disco nella speranza che queste nuove copie vengano mai lanciate dall'utente. A volte questi virus danno alle loro copie nomi "speciali" per spingere l'utente a lanciare la loro copia, ad esempio INSTALL.EXE o WINSTART.BAT.
Esistono virus worm che scrivono le loro copie negli archivi (ARJ, ZIP, RAR e altri). Questi virus includono "ArjVirus" e "Winstart". Alcuni virus scrivono il comando per avviare un file infetto nei file BAT.
I file worm non devono essere confusi con i worm di rete. I primi utilizzano solo le funzioni di file di un sistema operativo, mentre i secondi utilizzano i protocolli di rete durante la propagazione.
Collega virus
I virus di collegamento, come i virus associati, non modificano il contenuto fisico dei file, ma quando viene avviato un file infetto, "costringono" il sistema operativo a eseguire il suo codice. Raggiungono questo obiettivo modificando i campi necessari del file system.
Ad oggi, è noto solo un tipo di virus Link: virus della famiglia "Dir_II". Quando infettano il sistema, scrivono il loro corpo nell'ultimo cluster del disco logico. Quando infettano un file, i virus correggono solo il numero del primo cluster del file situato nel settore corrispondente della directory. Il nuovo cluster iniziale del file punterà al cluster contenente il corpo del virus. Pertanto, quando i file vengono infettati, la loro lunghezza e il contenuto dei cluster di dischi contenenti questi file non cambieranno e tutti i file infetti su un disco logico avranno solo una copia del virus.
Dopo l'infezione, i dati della directory puntano a un virus, ad es. quando un file viene eseguito, non sono i file a prendere il controllo, ma il virus.
OBJ-, LIB-virus e virus nei testi di partenza
I virus che infettano le librerie del compilatore, i moduli oggetto e i codici sorgente dei programmi sono piuttosto esotici e praticamente rari. Ce ne sono circa una dozzina in totale. I virus che infettano i file OBJ e LIB scrivono il loro codice nel formato di un modulo oggetto o di una libreria. Il file infetto non è quindi eseguibile e non è in grado di diffondere ulteriormente il virus nel suo stato attuale. Il portatore di un virus "vivo" è un file COM o EXE ottenuto nel processo di collegamento di un file OBJ / LIB infetto con altri moduli e librerie di oggetti. Pertanto, il virus si diffonde in due fasi: nella prima fase vengono infettati i file OBJ / LIB, nella seconda fase (collegamento) si ottiene un virus funzionante.
L'infezione dei codici sorgente dei programmi è una logica continuazione del precedente metodo di riproduzione. In questo caso, il virus aggiunge il suo codice sorgente al codice sorgente (in questo caso, il virus deve contenerlo nel suo corpo) o il proprio dump esadecimale (che è tecnicamente più semplice). Un file infetto è in grado di diffondere ulteriormente il virus solo dopo la compilazione e il collegamento.
Algoritmo di un file virus
Il metodo per ripristinare il programma nella sua forma originale dipende da come il file è stato infettato. Se un virus si infiltra all'inizio di un file, sposta i codici del programma infetto di un numero di byte pari alla lunghezza del virus, oppure sposta una parte del codice del programma dalla fine all'inizio, oppure ripristina il file su disco e poi lo esegue. Se un virus si è scritto alla fine del file, durante il ripristino del programma utilizza le informazioni salvate nel suo corpo quando il file è stato infettato. Può essere la lunghezza del file, alcuni byte dell'inizio del file nel caso di un file COM o alcuni byte dell'intestazione nel caso di un file EXE. Se il virus si scrive al centro del file in un modo speciale, durante il ripristino del file utilizza anche algoritmi speciali.
Iniezione di virus nei file DOS COM ed EXE
File binari eseguibili COM o EXE che differiscono nell'intestazione e nel modo in cui vengono eseguiti i programmi. L'estensione del nome del file ("* .COM" o "* .EXE") non sempre corrisponde all'effettivo formato del file, che però non pregiudica in alcun modo il funzionamento del programma. I file COM ed EXE vengono infettati in modi diversi, quindi il virus deve distinguere i file di un formato da un altro. I virus risolvono questo problema in due modi: alcuni analizzano l'estensione del nome del file ("* .COM", "* .EXE"), altri - l'intestazione del file. Il primo metodo sarà indicato di seguito come infettare i file * .COM- (o * .EXE-), il secondo - infettare i file COM- (o EXE-).
Nella maggior parte dei casi, il virus infetta correttamente il file, ad es. dalle informazioni contenute nel corpo del virus è possibile recuperare completamente il file infetto. Ma i virus, come la maggior parte dei programmi, spesso contengono errori invisibili a prima vista. Per questo motivo, anche un virus scritto completamente correttamente può danneggiare irreversibilmente un file quando è infetto. Ad esempio, i virus che distinguono i tipi di file in base all'estensione del nome (* .COM, * .EXE) sono molto pericolosi perché rovinano i file la cui estensione del nome non corrisponde al formato interno.
Uno degli esempi più comuni di infezione di file errati è COMMAND.COM di Windows95. Questo file, infatti, è un file EXE, inoltre, ha una dimensione superiore a 90K, il che è impossibile per un file COM. Pertanto, i virus che distinguono i file COM / EXE per estensione del nome e non controllano la lunghezza dei file COM infetti (ad esempio, "Drogato") rovinano tale COMMAND.COM e diventa inutilizzabile.
travestimento primitivo
Quando un file viene infettato, il virus può eseguire una serie di azioni che mascherano e accelerano la sua diffusione. Tali azioni includono l'elaborazione dell'attributo di sola lettura, la sua rimozione prima dell'infezione e il ripristino dopo. Molti virus di file leggono la data dell'ultima modifica del file e la ripristinano dopo l'infezione. Per nascondere la loro diffusione, alcuni virus intercettano un'interruzione del sistema operativo che si verifica quando si accede a un disco protetto da scrittura (INT 24h) e lo elaborano autonomamente.
Velocità di propagazione
Parlando di virus di file, è necessario notare una loro caratteristica come la loro velocità di diffusione. Più velocemente un virus si diffonde, più è probabile che si verifichi un'epidemia di quel virus. Più un virus si diffonde lentamente, più è difficile rilevarlo (a meno che, ovviamente, questo virus non sia ancora sconosciuto ai programmi antivirus). I concetti di virus "veloce" e "lento" (Fast infector, Slow infector) sono piuttosto relativi e vengono utilizzati solo come caratteristica del virus nella sua descrizione.
I virus non residenti in memoria sono spesso "lenti": la maggior parte di essi, una volta avviati, infetta uno o due o tre file e non ha il tempo di inondare il computer prima dell'avvio del programma antivirus (o di una nuova versione dell'antivirus). -virus configurato per questo virus). Esistono, ovviamente, virus "veloci" non residenti in memoria che cercano e infettano tutti i file eseguibili quando vengono avviati, ma tali virus sono molto evidenti: quando viene lanciato ogni file infetto, il computer lavora attivamente con il disco rigido per tempo (a volte piuttosto lungo), che smaschera il virus.
La "velocità" dei virus residenti in memoria è generalmente superiore a quella dei virus non residenti in memoria: infettano i file ogni volta che vi si accede. Di conseguenza, tutti o quasi i file che vengono costantemente utilizzati nel lavoro vengono infettati sul disco.
La velocità di propagazione dei virus di file residenti che infettano i file solo quando vengono avviati per l'esecuzione sarà inferiore a quella dei virus che infettano i file quando vengono aperti, rinominati, modificati gli attributi dei file, ecc. Quando si crea una copia nella RAM del computer, molti virus cercano di occupare l'area di memoria con gli indirizzi più alti, distruggendo la parte temporanea dell'interprete dei comandi COMMAND.COM. Quando il programma infetto termina, la parte temporanea dell'interprete viene ripristinata e il file COMMAND.COM viene aperto e, se il virus infetta i file quando vengono aperti, viene infettato. Pertanto, quando viene lanciato un tale virus, il file COMMAND.COM verrà infettato per primo.
I materiali e i dati sono stati presi dalle risorse:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
- Per inviare commenti, fai il login o registrati
VIRUS INFORMATICI
E file contestati e infetti
Classificazione dei virus PREVENZIONE E LOTTA AI VIRUS INFORMATICI
INTRODUZIONE
Attualmente, molte aree dell'attività umana sono associate all'uso dei computer. Perché queste macchine elettroniche sono così strettamente integrate nelle nostre vite? Tutto è abbastanza banale. Eseguono calcoli di routine e lavori di progettazione, liberando il nostro cervello per compiti più necessari e responsabili. Di conseguenza, la fatica si riduce drasticamente e iniziamo a lavorare in modo molto più produttivo che senza l'uso di un computer.
Le possibilità dei computer moderni stupiscono l'immaginazione più fertile. Sono in grado di eseguire diversi compiti in parallelo, la cui complessità è piuttosto elevata. Pertanto, alcuni produttori stanno pensando di creare l'intelligenza artificiale. Anche ora, il lavoro di un computer assomiglia al lavoro di un assistente elettronico intelligente di una persona.
Ma chi avrebbe mai pensato che questo miracolo elettronico della tecnologia fosse caratterizzato da malattie simili a quelle umane. Lui, proprio come una persona, può essere attaccato da un "virus", ma informatico. E se non agisci, il computer presto "si ammalerà", ad es. inizierà a compiere le azioni sbagliate o "morirà" del tutto. i danni provocati dal "virus" saranno molto gravi. Cosa sono i virus informatici e come affrontarli verrà discusso ulteriormente.
VIRUS INFORMATICI
Che cos'è un virus informatico?
Oggi esistono diversi tipi principali di malware:
- classico virus informatico;
- "Trojan" o cavallo di Troia (troj);
- Verme;
- spia o spia, keyloger
- colpo di radice;
- bot o zombi.
Un tempo erano i virus classici a essere più diffusi, ma i loro creatori raramente si sono prefissati l'obiettivo specifico di danneggiare l'utente finale, ma piuttosto sono stati creati per scopi cognitivi. Gli autori di virus di oggi perseguono obiettivi assolutamente chiari e comprensibili: il denaro e la loro "progenie" sono diventati molto più pericolosi dei loro predecessori. Quindi permettetemi di presentare i predatori più pericolosi dello spazio informativo odierno: Trojan e Worm.
Trojan o troj prende il nome dalla somiglianza tra il metodo di infezione e la famosa mossa tattica durante l'assedio di Troia. Un esempio di infezione da Trojan: ricevi una lettera da un certo "amico" con il testo: - "Ciao! Sono appena tornato dal mare - mi sono riposato così bene! Ecco le mie foto - guarda.", E in allegato file con estensione ".JPG". Questi stessi file sono il cavallo di Troia nelle cui profondità è nascosto il codice dannoso. Le fonti di infezione più comuni sono e-mail, siti di incontri, siti di musica e siti di software gratuito. Cosa fa il Trojan? Di norma, il suo compito è aprire la strada ad altri virus, agire come primo punto d'appoggio. Come evitare di essere infettati da un Trojan? Qui tutto è come nella vita: proteggiti ed evita le connessioni casuali =). Questa regola è vera per qualsiasi virus e altro malware. Se ti è stata inviata un'e-mail, prima di guardare i file allegati, controlla il mittente, salva l'allegato sul tuo computer e controllalo con un antivirus, quindi aprilo.
Il worm o Worm è una caratteristica di questi programmi in evoluzione e autonomia. Quando un worm entra in un computer, di solito attacca i programmi di posta ei cercapersone Internet. Dopo aver ottenuto l'accesso alla posta o al cercapersone, inizia a inviare lettere/messaggi contenenti una versione modificata di se stesso. Successivamente, si autodistrugge o infetta i file eseguibili (EXE, COM, BAT). Poiché il virus cambia da solo, è invulnerabile fino a quando non viene rilevato nel database dell'antivirus. Ecco perché oggi un antivirus con licenza è un must assoluto per qualsiasi proprietario di PC.
Un virus informatico è un piccolo programma appositamente scritto che può "attribuirsi" ad altri programmi (cioè "infettarli"), nonché eseguire varie azioni indesiderate sul computer. Il programma che contiene il virus si chiama infetto. Quando un programma del genere inizia a funzionare, il virus prende prima il controllo. Il virus trova e "infetta" altri programmi ed esegue anche alcune azioni dannose (ad esempio, corrompe i file o la tabella di allocazione dei file (FAT) sul disco, "intasa" la RAM, ecc.). Per mascherare un virus, le azioni per infettare altri programmi e causare danni potrebbero non essere sempre eseguite, ma, ad esempio, quando vengono soddisfatte determinate condizioni. Dopo che il virus ha eseguito le azioni di cui ha bisogno, trasferisce il controllo al programma in cui si trova e funziona come al solito. Quindi, esteriormente, il lavoro di un programma infetto sembra lo stesso di uno non infetto.
Molti tipi di virus sono progettati in modo tale che quando viene lanciato un programma infetto, il virus rimane nella memoria del computer e di tanto in tanto infetta programmi ed esegue azioni indesiderate sul computer.
Tutte le azioni del virus possono essere eseguite molto rapidamente e senza emettere alcun messaggio, quindi è molto difficile, quasi impossibile per l'utente determinare che sta accadendo qualcosa di insolito sul computer.
Finché ci sono relativamente pochi programmi infetti sul computer, la presenza di un virus può essere quasi invisibile. Tuttavia, dopo qualche tempo, sul computer inizia a succedere qualcosa di strano, ad esempio:
- alcuni programmi smettono di funzionare o iniziano a funzionare in modo errato;
- sullo schermo vengono visualizzati messaggi, simboli, ecc. estranei;
- il lavoro al computer rallenta notevolmente;
- alcuni file sono danneggiati, ecc.
A questo punto, di regola, molti (o anche la maggior parte) dei programmi tecnici con cui lavori sono già stati infettati da un virus e alcuni file e dischi sono danneggiati. Inoltre, i programmi infetti dal tuo computer potrebbero essere già stati trasferiti tramite floppy disk o una rete locale ai computer dei tuoi colleghi e amici.
Alcuni virus sono molto subdoli. All'inizio, infettano in modo invisibile un gran numero di programmi e dischi, quindi causano danni molto gravi, ad esempio formattano l'intero disco rigido su un computer, ovviamente, dopo ciò, è semplicemente impossibile recuperare i dati. E ci sono virus che si comportano in modo molto furtivo e a poco a poco rovinano i dati sul disco rigido o spostano la tabella di allocazione dei file (FAT).
Pertanto, se non si adottano misure per proteggersi dal virus, le conseguenze dell'infezione possono essere molto gravi. Ad esempio, all'inizio del 1989. Il virus, scritto dallo studente americano Morris, ha infettato e disabilitato migliaia di computer, compresi quelli appartenenti al Dipartimento della Difesa degli Stati Uniti. L'autore del virus è stato condannato da un tribunale a tre mesi di carcere e una multa di 270mila dollari. La punizione avrebbe potuto essere più severa, ma il tribunale ha tenuto conto che il virus non ha rovinato i dati, ma si è solo moltiplicato.
Affinché il virus del programma sia invisibile, deve essere di piccole dimensioni. Pertanto, i virus sono generalmente scritti in linguaggi assembler di basso livello o comandi in linguaggio C di basso livello.
I virus vengono scritti da programmatori esperti o studenti semplicemente per curiosità o per ritorsione contro qualcuno o un'impresa che li ha trattati in modo inappropriato o per scopi di sabotaggio commerciale o mirato. Qualunque sia l'obiettivo perseguito dall'autore, il virus potrebbe finire sul tuo computer e tenterà di eseguire le stesse azioni dannose di quello per cui è stato creato.
Va notato che scrivere un virus non è un compito così difficile, abbastanza accessibile a uno studente che studia programmazione. Pertanto, ogni settimana compaiono sempre più virus nel mondo. E molti di loro sono realizzati nel nostro paese.
File corrotti e infetti
Un virus informatico può rovinare, ad es. modificare in modo improprio qualsiasi file sui dischi del computer. Ma il virus può "infettare" alcuni tipi di file. Ciò significa che un virus può "infiltrarsi" in questi file, ad es. modificarli in modo che contengano un virus che, in alcune circostanze, può iniziare a funzionare.
Va notato che i testi di programmi e documenti, file di informazioni di database, tabelle di processori di tabelle e altri file simili non possono essere infettati da un virus comune, possono solo rovinarli. Tali file possono essere infettati solo da virus Macro. Questi virus possono persino infettare i tuoi documenti.
Il caricatore del sistema operativo e il record di avvio principale del disco rigido. I virus che infettano queste aree sono chiamati virus di avvio o virus BOOT. Un tale virus inizia il suo lavoro quando il computer si avvia e diventa residente, ad es. risiede nella memoria del computer. Meccanismo di distribuzione: infezione dei record di avvio dei dischi floppy inseriti nel computer. Tali virus sono spesso costituiti da due parti, poiché il record di avvio è piccolo ed è difficile inserirvi l'intero programma antivirus. Parte del virus si trova in un'altra parte del disco, ad esempio alla fine della directory principale del disco o in un cluster nell'area dati del disco (di solito un tale cluster viene dichiarato difettoso per evitare che il virus venga sovrascritto durante la scrittura dei dati).
File dei driver di dispositivo a cui si fa riferimento nella clausola DEVICE del file CONFIG.SYS. Il virus in essi inizia il suo lavoro con ogni accesso al dispositivo corrispondente. I virus che infettano i driver dei dispositivi sono molto rari perché i driver vengono raramente riscritti da un computer all'altro. Lo stesso vale per i file di sistema DOS (MSDOS.SYS e IO.SYS): anche la loro infezione è teoricamente possibile, ma è inefficace per la diffusione del virus.
In genere, ogni particolare tipo di virus può infettare solo uno o due tipi di file. I virus più comuni sono quelli che infettano i file eseguibili. I boot virus sono al secondo posto in termini di prevalenza. Alcuni virus infettano sia i file che le aree di avvio del disco. I virus che infettano i driver di dispositivo sono estremamente rari e in genere tali virus possono infettare anche i file eseguibili.
Classificazione dei virus
I virus possono essere suddivisi in classi secondo criteri diversi. Ad esempio, sulla base del tradimento:
I virus che infettano istantaneamente un computer formattano il disco rigido, rovinano la tabella di allocazione dei file, rovinano i settori di avvio, cancellano la cosiddetta Flash ROM (dove si trova il BIOS) del computer (virus Chernobyl), in altre parole, causano danni irreparabili danni al computer il prima possibile. Ciò include anche i risultati delle lamentele dei programmatori di virus contro i programmi antivirus. Si tratta delle cosiddette allergie a determinati programmi antivirus. Questi virus sono abbastanza infidi. Ad esempio, un'allergia al Dr.Weber, quando si chiama questo programma, senza esitazione, blocca l'antivirus, rovina tutto ciò che è nella directory con l'antivirus e C: WINDOWS. Di conseguenza, devi reinstallare il sistema operativo e quindi combattere il virus con altri mezzi.
- virus progettati per una lunga vita nel computer. Infettano gradualmente e con attenzione programma dopo programma, senza pubblicizzare la loro presenza, e sostituiscono le aree di inizio del programma per i collegamenti al luogo in cui si trova il corpo del virus. Inoltre, apportano un cambiamento nella struttura del disco impercettibile per l'utente, che si farà sentire solo quando alcuni dati vengono irrimediabilmente persi (ad esempio, il virus "OneHalf-3544", "Yankey-2C").
La separazione può essere effettuata anche sulla base delle modalità di trasmissione e riproduzione.
In precedenza, i virus infettavano principalmente solo i file eseguibili (con le estensioni .com e.exe). Infatti, dopo tutto, un virus è un programma e deve essere eseguito.
Ora i virus vengono inviati via e-mail come programmi demo o come immagini, ad esempio, se hai ricevuto il file "PicturesForYou.jpg" via e-mail, non affrettarti a guardarlo, soprattutto perché è arrivato dal nulla. Se guardi più da vicino il nome, si scopre che ha 42 spazi in più e l'effettiva estensione .exe. Cioè, il nome completo effettivo del file sarà simile a questo:
"PicturesForYou.jpg .exe". Ora chiunque può capire cosa porta effettivamente questa immagine. Questo non è un file di immagine che, quando attivato, chiama il visualizzatore di immagini, ma un virus sfacciato e leggermente velato che aspetta solo di essere attivato con un clic del mouse o la pressione di un tasto. Scarichi un virus del genere sul tuo computer, sotto il guscio di qualche immagine, come un "cavallo di Troia". Da qui il termine gergale per virus come i Trojan.
Al momento ci sono tali gusci di canali di informazione come Internet Explorer, Outlook Express, Microsoft Office. Ora ci sono alcune classi di cosiddetti "Macro-virus". Contengono comandi nascosti per i dati della shell che non sono desiderabili per l'utente medio. E questo codice non è più il codice per il computer, cioè non è più un programma, ma il testo di un programma eseguito dalla shell. Pertanto, può essere scritto in qualsiasi formato richiesto: .html, .htm - per Internet Explorer, .doc, .xls, .xlw, .txt, .prt o qualsiasi altro - per Microsoft Office, ecc. Tali virus causano danni solo di una certa natura, perché la shell non ha comandi, ad esempio, per formattare l'hard disk. Tuttavia, questo tipo di virus merita attenzione, perché con l'aiuto di collegamenti ipertestuali nascosti è in grado di scaricare autonomamente il corpo del virus da Internet sul tuo computer e alcuni virus sono in grado di aggiornare e scaricare in parti via Internet da determinati server. Ad esempio, uno degli studenti giapponesi ha sviluppato proprio un virus del genere che collega un piccolo "downloader" a qualsiasi formato di input da Internet. Inoltre, questo downloader scarica i corpi dei virus da Internet dal server con l'indirizzo IP Babilon5. Ci sono quattro di questi corpi. Ognuno di essi è in grado di distruggere indipendentemente il tuo computer, ma ha uno scopo specifico. Questo virus è di tipo ibrido tra virus macro e virus comuni. Ma va notato che sono gli ibridi i più tenaci, astuti, pericolosi e numerosi tra i virus. Di recente, c'è stato uno scandalo su un programmatore che, secondo gli esperti, ha creato e ha iniziato a diffondere un macro-virus che ha infettato file di testo per Microsoft Word. È stato calcolato in base alla data e all'ora di creazione del documento originale, che è memorizzato in parti invisibili dei file .doc. È possibile che il file sia stato creato da un'altra persona prima che fosse allegato un virus, quindi la domanda sull'attaccante rimane aperta. Ma gli esperti dicono che è così.
Ad esempio, il virus Win32.HLLM.Klez. una delle varietà di un pericoloso worm di rete si diffonde inviando copie di se stesso tramite e-mail. Inoltre, questo worm può diffondersi su una rete locale, infettando i computer i cui dischi sono risorse di rete condivise disponibili per la scrittura. Una volta nel sistema, il worm si invia agli indirizzi trovati nella rubrica di Windows, nel database ICQ e nei file locali. I messaggi infetti inviati da questo worm sfruttano uno dei bug relativamente noti nel sistema di sicurezza di Internet Explorer, che consente di avviare automaticamente un file di programma (con un virus) allegato a un messaggio quando si visualizza semplicemente la posta in Outlook e Outlook Express .
Proviamo a considerare i metodi di mimetizzazione e protezione utilizzati dai virus contro di noi utenti ordinari e programmi antivirus.
Il tradimento è il modo principale e più veloce per fare un brutto scherzo prima di essere scoperto. Il virus Chernobyl, ad esempio, cancella completamente il BIOS (il programma di avvio che si trova nel chip ROM che fa funzionare il computer). Dopo questo, il computer non sarà in grado di visualizzare nulla. Ma il suo lavoro viene facilmente bloccato se all'interno del computer viene installato un interruttore che vieta la scrittura nell'area ROM. Pertanto, è stato il primo, ma anche, a mio avviso, l'ultimo rappresentante dei virus hardware.
I virus rigenerativi dividono il loro corpo in più parti e le immagazzinano in posti diversi sul disco rigido. Di conseguenza, queste parti sono in grado di trovarsi e assemblarsi in modo indipendente per la rigenerazione del corpo del virus. Il programma antivirus rileva e uccide solo il corpo del virus e le parti di questo corpo non sono incluse nel database antivirus, poiché sono state modificate. La formattazione mirata del disco rigido di basso livello aiuta contro tali virus. In anticipo, è necessario adottare misure attente per preservare le informazioni.
I virus furbi si nascondono non solo da noi, ma anche dai programmi antivirus. Questi "camaleonti" si modificano con l'aiuto delle operazioni più astute e intricate, utilizzando sia i dati correnti (tempo di creazione del file) sia utilizzando quasi la metà dell'intero set di istruzioni del processore. Ad un certo punto, ovviamente, secondo un astuto algoritmo, si trasformano in un virus subdolo e iniziano a occuparsi del nostro computer. Questo è il tipo di virus più difficile da rilevare, ma alcuni programmi antivirus, come "Dr. Weber", sono in grado di rilevare e neutralizzare virus simili utilizzando la cosiddetta analisi euristica.
I virus "invisibili" utilizzano il cosiddetto metodo "Stelth" per impedire il loro rilevamento. Consiste nel fatto che un virus residente in memoria intercetta le chiamate DOS (e quindi i programmi applicativi) ai file e alle aree del disco infetti e li visualizza nella loro forma originale (non infetta). Naturalmente, questo effetto si osserva solo su un computer infetto: su un computer "pulito", le modifiche ai file e alle aree di avvio del disco possono essere facilmente rilevate. Tuttavia, alcuni programmi antivirus possono rilevare virus invisibili anche su computer infetti.
Il worm di rete Randon è apparso nel marzo 2003. Si diffonde attraverso i canali IRC e le risorse della rete locale e infetta i computer che eseguono i sistemi operativi Windows 2000 e Windows XP. Per penetrare in un computer, si connette a una rete locale oa un server IRC, scansiona gli utenti su di esso, stabilisce una connessione con loro sulla porta 445 e cerca di indovinare una password dall'elenco integrato delle frasi usate più frequentemente. Se il sistema viene compromesso con successo, Random invia l'Apher Trojan al sistema, che a sua volta scarica il resto dei componenti del worm da un sito Web remoto. Dopo che "Randon" installa i suoi componenti nella directory di sistema di Windows, registra il suo file principale. Per nascondere la presenza in memoria, utilizza una speciale utility "HideWindows", anch'essa un componente del worm. Grazie ad esso, è invisibile all'utente, in modo che il processo "Randon" attivo possa essere rilevato solo nel Task Manager di Windows. I suoi effetti collaterali sono la creazione di una grande quantità di traffico in eccesso sulla macchina infetta e l'overflow dei canali IRC.
Secondo Kaspersky Lab, uno dei principali sviluppatori di programmi antivirus, fornisce una panoramica dell'attività dei virus per marzo 2003 (Tabella 2 e Fig. 1)
I 20 programmi dannosi più comuni
tab. 2
Nome Quota nel numero totale di incidenti di virus (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03%
4. I-Worm.Avron 3,30%
5. Macro.Parola97. Quindi 2,62%
6. I-Worm.Tanatos 1,38%
7. Macro. Parola97.Marcatore 1.21%
8. Worm.Win32.Opasoft 1.13%
9. I-Worm.Hybris 1.04%
10. Win95.CIH 0,69%
11. Worm.Win32.Randon 0,58%
12. VBS.Redlo dello 0,57%
13. Backdoor.Morte 0,51%
14. Win95.Spazi 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0,49%
17. Backdoor.NetDevil 0,48%
18. Win32.HLLP.Hantaner 0,45%
19. TrojanDropper.Win32.Delf 0,42%
20. TrojanDropper.Win32.Yabinder 0,41%
Altro malware * 26,33%
* non incluso nei 20 più comuni
PREVENZIONE E LOTTA AI VIRUS INFORMATICI
Metodi di protezione di base contro i virus informatici
Per proteggersi dai virus, puoi utilizzare:
- Strumenti di protezione delle informazioni generali, utili anche come assicurazione contro danni fisici ai dischi, programmi mal funzionanti o azioni errate degli utenti;
- misure preventive per ridurre la probabilità di contrarre un virus informatico;
- programmi specializzati per la protezione antivirus.
-Gli strumenti di sicurezza delle informazioni generali sono utili per qualcosa di più della semplice protezione dai virus. Esistono due tipi principali di questi rimedi:
copia delle informazioni - creazione di copie di file e aree di sistema dei dischi;
la delimitazione dell'accesso impedisce l'uso non autorizzato delle informazioni, in particolare la protezione contro modifiche di programmi e dati da virus, programmi malfunzionanti e azioni errate degli utenti.
Sebbene gli strumenti di sicurezza delle informazioni generali siano molto importanti per la protezione dai virus informatici, non sono sufficienti. È necessario utilizzare programmi specializzati per proteggersi dai virus informatici. Questi programmi possono essere suddivisi in diversi tipi:
I programmi di rilevamento possono rilevare i file infetti da uno dei numerosi virus conosciuti.
Programmi - medici, o fagi, programmi o dischi infetti "cura virus", "mordere" il corpo del virus dai programmi infetti, ad es. ripristinare il programma nello stato in cui si trovava prima dell'infezione da virus.
Programmi: i revisori prima memorizzano le informazioni sullo stato dei programmi e delle aree di sistema dei dischi, quindi confrontano il loro stato con l'originale. Se vengono rilevate incongruenze, l'utente ne viene informato.
Medici - i revisori dei conti sono ibridi di revisori dei conti e medici, ad es. programmi che non solo rilevano i cambiamenti nei file e nelle aree di sistema delle unità, ma possono ripristinarli automaticamente allo stato originale.
Programmi: i filtri risiedono nella RAM del computer e intercettano quelle chiamate al sistema operativo utilizzate dai virus per moltiplicarsi e danneggiarle e le segnalano all'utente. L'utente può abilitare o disabilitare l'operazione corrispondente.
Programmi - vaccini, o immunizzatori, modificano programmi e dischi in modo tale che ciò non influisca sul funzionamento dei programmi, ma il virus da cui viene eseguita la vaccinazione considera questi programmi e dischi già infetti. Questi programmi sono altamente inefficaci e non vengono considerati ulteriormente.
Sfortunatamente, nessun tipo di software antivirus offre una protezione completa contro i virus informatici. Pertanto, la migliore strategia per la protezione dai virus è una difesa "a scaglioni" a più livelli. Descriviamo la struttura di questa difesa.
Gli strumenti di intelligence nella "difesa" contro i virus corrispondono a programmi - rilevatori che consentono di controllare la presenza di virus nel software appena ricevuto.
In prima linea nella difesa ci sono i programmi di filtro (programmi residenti per la protezione dai virus). Questi programmi possono essere i primi a segnalare un attacco di virus e prevenire l'infezione di programmi e disco.
Il secondo livello di difesa è costituito da programmi di audit, programmi medici e dottori revisori. Gli esaminatori rilevano un attacco anche quando il virus è riuscito a "filtrare" attraverso le prime linee della difesa. I programmi Doctor vengono utilizzati per ripristinare i programmi infetti se le loro copie non sono nell'archivio. Ma non sempre li trattano correttamente. I medici-ispettori rilevano un attacco di virus e trattano i virus - file infetti e controllano la correttezza del trattamento dei virus e, se è impossibile trattare i virus, raccomandano decisamente la rimozione dei virus (file infetti).
Il livello più profondo della difesa è il mezzo per differenziare l'accesso. Impediscono a virus e programmi malfunzionanti, anche se sono entrati nel tuo computer, di rovinare dati importanti.
E, infine, la "riserva strategica" contiene copie archiviate di informazioni e dischetti di "riferimento" con prodotti software. Consentono di recuperare le informazioni se sono danneggiate sul disco rigido.
Programmi - rilevatori e medici
Nella maggior parte dei casi, è possibile trovare programmi di rilevamento già sviluppati per rilevare un virus che ha infettato un computer. Questi programmi controllano se i file sull'unità specificata dall'utente hanno una combinazione di byte specifica del virus. Se si trova in un file, sullo schermo viene visualizzato un messaggio corrispondente. Molti rilevatori dispongono di una modalità di cura o rimozione dei virus.
Va notato che il programma di rilevamento può rilevare solo quei virus che gli sono noti (cioè inseriti nel database antivirus di questo programma).
Uno di questi programmi è KIS di Kaspersky.
Tutto in esso ha un'interfaccia comoda e intuitiva. Il programma è progettato per il sistema operativo Windows XP e Windows Vista, che gli consente di funzionare in parallelo con altre applicazioni. Kaspersky Lab è il leader russo nello sviluppo di sistemi di sicurezza antivirus.
C'è anche AVAST.
Questi sono difensori ben collaudati del tuo computer: il trattamento della maggior parte dei virus e la rimozione dei virus in caso di loro minaccia critica o incurabile.
La maggior parte dei programmi di rilevamento ha anche una funzione "medico", ad es. cercano di riportare i file infetti e le aree del disco al loro stato originale - per pulire i virus. I file che non possono essere disinfettati vengono generalmente resi inutilizzabili o eliminati.
Prevenzione contro l'infezione da virus
Diamo un'occhiata ad alcune delle misure che puoi adottare per ridurre la probabilità che un virus infetti il tuo computer, nonché per ridurre al minimo i danni causati da un'infezione da virus se si verifica.
1. Sarebbe bello avere e, se necessario, aggiornare copie archiviate e master dei pacchetti software e dei dati utilizzati. Prima di eseguire il backup dei dati, è consigliabile verificarne la presenza di un virus.
2. Si consiglia inoltre di copiare su floppy disk le informazioni di servizio del disco (FAT, settori di avvio) e CMOS (memoria non volatile del computer). È possibile eseguire il backup e ripristinare queste informazioni utilizzando il programma Rescue nella suite di software Norton Utilities.
3. Dovresti impostare la protezione da scrittura sui floppy di archivio.
4. Non dovresti impegnarti nella copia illegale e senza licenza di software da altri computer. Potrebbero avere un virus su di loro.
5. Tutti i dati provenienti dall'esterno devono essere controllati per la presenza di virus, in particolare i file "scaricati" da Internet.
6. È necessario preparare in anticipo un pacchetto di ripristino su dischetti con protezione da scrittura.
7. Durante il normale lavoro, non correlato al ripristino del computer, vale la pena disabilitare l'avvio da un dischetto. Ciò impedirà l'infezione con il virus di avvio.
8. Utilizzare programmi - filtri per il rilevamento precoce dei virus.
9. Controllare periodicamente il disco con rilevatori software o medici - rilevatori o revisori per rilevare possibili errori nella difesa.
10. Aggiorna il database dei programmi antivirus.
11. Tieni gli utenti dubbi lontani dal tuo computer.
CONCLUSIONE
In conclusione, vorrei mettere in guardia contro la lotta troppo zelante contro i virus informatici. Anche eseguire una scansione completa del disco rigido alla ricerca di virus ogni giorno non è un ottimo passo per prevenire le infezioni. L'unico modo civile per proteggersi dai virus, lo vedo nell'osservanza delle precauzioni preventive quando si lavora su un computer. E devi anche ricorrere all'aiuto di specialisti per combattere un virus informatico. Inoltre, anche se un virus penetra nel tuo computer, non c'è motivo di farsi prendere dal panico.
Spesso, il problema principale di Internet non sono virus e hacker, ma un fenomeno così diffuso come l'analfabetismo informatico. Usando l'analogia di Kaspersky, l'ignoranza delle regole della strada. Le persone che hanno recentemente imparato a ricevere e inviare posta demonizzano i virus informatici, quasi immaginandoli come vermi neri invisibili che strisciano lungo i fili. Ecco alcune semplici regole che puoi seguire per cercare di evitare di essere infettato da virus. Primo: non hanno paura dei virus informatici, sono tutti curabili. Secondo: mettere Microsoft Outlook in una modalità di funzionamento nell'area dei siti con restrizioni, che gli impedirà di eseguire automaticamente determinati programmi - il principio base della propagazione dei virus informatici. Terzo: non aprire lettere di destinatari sospetti. Quarto: utilizzare un antivirus nuovo e, soprattutto, CON LICENZA.
Dopo aver avviato un programma contenente un virus, diventa possibile infettare altri file. Il virus più comune infetta il settore di avvio del disco e i file eseguibili con le estensioni EXE, COM, SYS o BAT. È estremamente raro che i file di testo e grafici vengano infettati.
Un programma infetto è un programma che contiene un programma antivirus incorporato al suo interno.
Segni di un virus
Quando un computer viene infettato da un virus, è molto importante rilevarlo tempestivamente. Per fare ciò, dovresti conoscere i principali segni della manifestazione dei virus. Questi includono quanto segue:
Cessazione del lavoro o funzionamento errato di programmi precedentemente funzionanti con successo;
Prestazioni lente del computer;
Impossibilità di caricare il sistema operativo;
Scomparsa di file e directory o distorsione del loro contenuto;
Modifica della data e dell'ora di modifica del file;
Ridimensionamento dei file;
Un aumento significativo e inaspettato del numero di file su disco;
Una significativa riduzione delle dimensioni della RAM libera;
Visualizzazione di messaggi o immagini involontarie sullo schermo;
Invio di segnali sonori involontari;
Frequenti blocchi e arresti anomali del computer.
Va notato che i suddetti fenomeni non sono necessariamente causati dalla presenza di un virus, ma possono essere dovuti ad altre cause. Pertanto, è sempre difficile diagnosticare correttamente lo stato del computer.
I principali tipi di virus
Attualmente sono noti più di 15.000 virus software, che possono essere classificati secondo i seguenti criteri (Fig.11.10):
Per habitat;
Con il metodo di infezione;
Dal grado di impatto;
Dalle caratteristiche dell'algoritmo.
Dipende da habitat i virus possono essere separati
In rete,
File,
Stivale
Avviabile da file.
· I virus di rete si diffondono su varie reti di computer.
· I virus dei file vengono introdotti principalmente nei moduli eseguibili, ad es. in file con estensione COM ed EXE. I virus dei file possono infettare altri tipi di file, ma, di norma, registrati in tali file, non acquisiscono mai il controllo e, pertanto, perdono la capacità di replicarsi.
· I virus di avvio vengono introdotti nel settore di avvio del disco (settore di avvio) o nel settore contenente il programma di avvio per il disco di sistema (Master Boot Record).
· I virus di avvio dei file infettano sia i file che i settori di avvio dei dischi.
A titolo di infezione i virus si dividono in
Residente
Non residente.
· Un virus residente in memoria, quando infetta (infetta) un computer, lascia la sua parte residente nella RAM, che quindi intercetta l'accesso del sistema operativo agli oggetti di infezione (file, settori di avvio dei dischi, ecc.) e si inietta in essi . I virus residenti risiedono in memoria e rimangono attivi fino allo spegnimento o al riavvio del computer.
· I server non residenti non infettano la memoria del computer e sono attivi per un tempo limitato.
In base al grado di impatto, i virus possono essere suddivisi nei seguenti tipi:
non pericoloso, non interferiscono con il funzionamento del computer, ma riducono la quantità di RAM libera e memoria sui dischi, le azioni di tali virus si manifestano in qualsiasi effetto grafico o sonoro;
virus pericolosi che può portare a varie interruzioni nel funzionamento del computer;
molto pericoloso, il cui impatto può portare alla perdita di programmi, distruzione di dati, cancellazione di informazioni nelle aree di sistema del disco
Dalle caratteristiche dell'algoritmo i virus sono difficili da classificare a causa della loro ampia varietà.
Si può notare virus replicatori chiamati worm, che si diffondono sulle reti di computer, calcolano gli indirizzi dei computer di rete e scrivono copie di se stessi a questi indirizzi.
Conosciuto virus stealth chiamati virus di passaggio, che sono molto difficili da rilevare e neutralizzare, poiché intercettano le chiamate del sistema operativo a file e settori del disco infetti e sostituiscono aree del disco non infette al posto dei loro corpi.
Più difficile da trovare virus mutanti contenente algoritmi di crittografia-decrittografia, grazie ai quali le copie dello stesso virus non hanno una singola stringa di byte ripetuta.
Ci sono anche i cosiddetti programmi quasi-virus o "Trojan", che, pur non essendo capaci di autopropagarsi, sono molto pericolosi, poiché, travestendosi da programmi utili, distruggono il settore di avvio e il file system dei dischi.
Programmi di rilevamento e protezione antivirus
Caratteristiche dei programmi antivirus
Per rilevare, rimuovere e proteggere dai virus informatici, sono stati sviluppati diversi tipi di programmi speciali che consentono di rilevare e distruggere i virus. Tali programmi sono chiamati programmi antivirus.
Esistono i seguenti tipi di programmi antivirus:
· Programmi-rivelatori;
· Programmi-medici o fagi;
· Programmi-auditori;
· Programmi di filtro;
· Programmi vaccinali o immunizzanti.
Programmi del rivelatore cercare una sequenza di byte (firma del virus) caratteristica di un particolare virus nella RAM e nei file e, al rilevamento, emettere un messaggio corrispondente. Lo svantaggio di tali programmi antivirus si manifesta è che possono trovare solo virus noti agli sviluppatori di tali programmi.
Programmi medici o fagi - progettato per curare unità e programmi infetti. Il trattamento del programma consiste nella rimozione del corpo del virus dal programma infetto. Il polifago è in grado di distruggere molti virus. I più famosi sono Aidstest, Norton AntiVirus e Doctor Web.
programmi per revisori: progettato per rilevare l'infezione di file da virus e per trovare file danneggiati. Questi programmi ricordano i dati sullo stato del programma e le aree di sistema dei dischi nello stato normale (prima dell'infezione) e confrontano questi dati mentre il computer è in funzione. In caso di incongruenza dei dati viene visualizzato un messaggio circa la possibilità di infezione;
filtrare programmi o memorie sono progettati per intercettare le chiamate al sistema operativo, che vengono utilizzate dai virus per la propagazione e informarne l'utente. L'utente può abilitare o disabilitare l'operazione corrispondente. Tali programmi sono residenti, cioè si trovano nella RAM del computer.
programmi di vaccinazione: vengono utilizzati per elaborare file e settori di avvio al fine di prevenire l'infezione da virus noti (di recente questo metodo è stato utilizzato sempre più spesso).
Vaccini o immunizzanti sono programmi TSR che prevengono le infezioni dei file. I vaccini vengono utilizzati se non ci sono programmi medici che "curano" questo virus. La vaccinazione è possibile solo contro virus conosciuti. Il vaccino modifica il programma o il disco in modo tale da non influire sul loro lavoro e il virus li percepirà come infetti e quindi non verrà introdotto. I programmi vaccinali sono attualmente di utilità limitata.
Va notato che la scelta di un "migliore" antivirus è una decisione estremamente errata. Si consiglia di utilizzare diversi pacchetti antivirus contemporaneamente. Quando si sceglie un programma antivirus, è necessario prestare attenzione a un parametro come il numero di firme di riconoscimento (una sequenza di caratteri che garantiscono il riconoscimento di un virus). Il secondo parametro è la presenza di un analizzatore euristico per virus sconosciuti, la sua presenza è molto utile, ma rallenta notevolmente i tempi di funzionamento del programma. Oggi esiste un'ampia varietà di programmi antivirus.
Uno dei migliori antivirus con un potente algoritmo di rilevamento dei virus. Il polifago, in grado di scansionare file in archivi, documenti Word e cartelle di lavoro Excel, rileva virus polimorfici che recentemente sono diventati più diffusi. Basti pensare che l'epidemia del pericolosissimo virus OneHalf è stata fermata da DrWeb. L'analizzatore euristico DrWeb, esaminando i programmi per la presenza di frammenti di codice tipici dei virus, consente di trovare quasi il 90% dei virus sconosciuti. Quando si carica un programma, prima di tutto, DrWeb controlla se stesso per l'integrità, dopo di che verifica la RAM. Il programma può funzionare in modalità dialogo, ha una comoda interfaccia utente personalizzabile.
L'ispettore del disco antivirus ADINF (Avanced DiskINFoscope) consente di trovare e distruggere sia i virus convenzionali, stealth e polimorfici esistenti, sia quelli completamente nuovi. Antivirus ha a sua disposizione un'unità di cura dell'auditor ADINF - Adinf Cure Module - che può neutralizzare fino al 97% di tutti i virus. Questa cifra è data da "Dialogue Science", sulla base dei risultati dei test, che hanno avuto luogo sulle raccolte di virus di due autorità riconosciute in questo campo: D. N. Lozinsky e Dr. Solomon "s (Gran Bretagna).
ADINF viene caricato automaticamente all'accensione del computer e monitora il settore di avvio ei file sul disco (data e ora di creazione, lunghezza, checksum), visualizzando messaggi sulle loro modifiche. A causa del fatto che ADINF esegue le operazioni del disco bypassando il sistema operativo, facendo riferimento alle funzioni del BIOS, non solo si ottiene la capacità di rilevare virus stealth attivi, ma anche un'elevata velocità di controllo del disco. Se viene rilevato un virus di avvio, ADINF ripristinerà semplicemente il settore di avvio precedente memorizzato nella sua tabella. Se il virus è un file virus, allora ci viene in soccorso il blocco curativo Adinf Cure Module che, in base al report del modulo principale sui file infetti, confronta i nuovi parametri del file con i precedenti memorizzati in apposite tabelle. Se vengono rilevate discrepanze, ADINF ripristina lo stato precedente del file, invece di distruggere il corpo del virus, come fanno i polifagi.
Antivirus AVP (AntiVirus Program) si riferisce ai polifagi, nel processo controlla RAM, file, inclusi quelli archiviati, su unità floppy, locali, di rete e CD-ROM, nonché strutture di dati di sistema come il settore di avvio, la tabella delle partizioni , ecc ecc. Il programma ha un analizzatore euristico che, secondo gli sviluppatori di antivirus, è in grado di trovare quasi l'80% di tutti i virus. AVP è un'applicazione a 32 bit per i sistemi operativi Windows 98, NT e 2000, ha un'interfaccia intuitiva e uno dei database antivirus più grandi al mondo. I database antivirus per AVP vengono aggiornati circa una volta alla settimana e possono essere ottenuti da Internet. Questo programma cerca e rimuove un'ampia varietà di virus, tra cui:
- virus polimorfici o autocrittografanti;
- virus stealth o virus invisibili;
- nuovi virus per Windows;
- virus macro che infettano documenti Word e fogli di calcolo Excel.
Inoltre, il programma AVP monitora le operazioni sui file nel sistema in background, rileva un virus prima che infetti effettivamente il sistema e rileva anche virus sconosciuti utilizzando un modulo euristico.
virus informatici
Virus di file
Il virus può infiltrarsi in tre tipi di file:
Squadra (BAT);
Driver caricabili (IO.SYS, MSDOS.SYS, ecc.);
Binari eseguibili (EXE, COM).
È possibile introdurre un virus nei file di dati, ma questi casi si verificano a causa di un errore del virus o quando il virus manifesta le sue proprietà aggressive.
Un virus viene inserito in un file SYS nel modo seguente: i virus vengono introdotti in un file SYS, assegnano i loro codici al corpo del file e modificano gli indirizzi dei programmi Strategy e Interrupt del driver infetto (ci sono virus che cambiano l'indirizzo del solo uno dei programmi). Quando un driver infetto viene inizializzato, il virus intercetta la richiesta corrispondente dal sistema operativo, la trasferisce al driver, attende una risposta, la corregge e rimane nella RAM insieme al driver in un blocco di memoria. Un tale virus può essere estremamente pericoloso e tenace, poiché viene introdotto nella RAM quando viene caricato il DOS prima di qualsiasi programma antivirus, se è, ovviamente, anche un driver.
File del driver infetto:
È anche possibile infettare il driver di sistema in un altro modo, quando il virus modifica la sua intestazione in modo che il DOS tratti il file infetto come una catena di due (o più) file.
File del driver infetto:
Allo stesso modo, un virus può scrivere i suoi codici all'inizio del driver e, se il file contiene diversi driver, al centro del file.
Un virus viene introdotto nei file COM ed EXE nel modo seguente: i binari eseguibili sono nei formati COM o EXE, diversi nell'intestazione e nel modo in cui i programmi vengono avviati per l'esecuzione. L'estensione del nome del file (COM o EXE) non sempre corrisponde al formato file effettivo, il che non influisce in alcun modo sul funzionamento del programma. I file COM o EXE vengono infettati in modi diversi, quindi il virus deve distinguere i file di un formato da un altro.
I virus risolvono questo problema in due modi: alcuni analizzano l'estensione del nome del file, altri - l'intestazione del file. Il primo metodo sarà indicato di seguito come infezione. File COM- (.EXE-), il secondo metodo di infezione: file COM- (EXE-). Nella maggior parte dei casi, il virus infetta correttamente il file, ovvero dalle informazioni contenute nel suo corpo è possibile ripristinare completamente il file infetto. Ma i virus, come la maggior parte dei programmi, spesso contengono errori invisibili a prima vista. Per questo motivo, anche un virus scritto completamente correttamente può danneggiare irreversibilmente il file se viene sconfitto. Ad esempio, i virus che distinguono i tipi di file in base all'estensione del nome (.COM-, .EXE-) sono molto pericolosi perché rovinano i file la cui estensione del nome non corrisponde al formato interno.
Quando si diffondono, i virus dei file vengono introdotti nel corpo di un file infetto: inizio, fine o metà. Esistono diverse possibilità per introdurre un virus nel mezzo di un file: può essere copiato nella tabella delle impostazioni dell'indirizzo del file EXE ("Boot - Exe"), l'area dello stack del file COMMAND.COM ("Lehigh") , può espandere il file o sovrascrivere una parte del file alla fine e i suoi codici - nello spazio libero ("Apri l - 1 - Exe", "Phoenix"), ecc. Inoltre, la copia di un virus nel metà di un file può verificarsi a causa di un errore di virus. In questo caso, il file potrebbe essere danneggiato in modo irreversibile. Esistono altri modi per introdurre un virus all'interno di un file, ad esempio il virus "mutante" utilizza un metodo per comprimere alcune parti del file.
Un virus può essere inserito all'inizio di un file in tre modi. Il primo modo è che il virus riscrive l'inizio del file infetto fino alla fine e si copia nello spazio vuoto. Quando un file viene infettato con il secondo metodo, il virus crea una copia di se stesso nella RAM, vi aggiunge il file infetto e salva la concatenazione risultante su disco. Quando si infetta con il terzo metodo, il virus scrive i suoi codici all'inizio del file senza salvare il vecchio contenuto dell'inizio del file, naturalmente il file smette di funzionare e non viene ripristinato.
L'iniezione di virus all'inizio di un file viene utilizzata nella stragrande maggioranza dei casi in cui i file COM sono infetti. I file EXE vengono infettati da questo metodo a causa di un errore del virus o utilizzando l'algoritmo del virus "Pascal".
L'inserimento di un virus alla fine di un file è il metodo di infezione più comune. In questo caso, il virus modifica l'inizio del file in modo tale che i primi comandi eseguiti del programma contenuto nel file siano i comandi del virus. In un file COM, ciò si ottiene modificando i suoi primi tre (o più) byte con i codici dell'istruzione JMP Loc_Virus (o, in generale, con i codici del programma che trasferisce il controllo al corpo del virus). Il file EXE viene convertito in un formato di file COM e quindi infettato come ultimo, oppure l'intestazione del file (lunghezza, indirizzi iniziali) viene modificata.
Un metodo di infezione standard è un metodo in cui un virus viene aggiunto alla fine di un file e modifica i primi byte di un file COM e diversi campi di intestazione di un file EXE.
Il virus, dopo avergli trasferito il controllo, agisce secondo il seguente algoritmo:
Ripristina il programma (ma non il file) nella sua forma originale;
Se il virus risiede in memoria, controlla la RAM per una copia di se stesso e infetta la memoria del computer se non viene trovata alcuna copia; se il virus non è residente in memoria, cerca i file non infetti nelle directory corrente e radice, nelle directory contrassegnate nel comando PATH, esegue la scansione dell'albero delle directory delle unità logiche e quindi infetta i file rilevati;
Esegue, se del caso, funzioni aggiuntive: azioni distruttive, effetti grafici o sonori.
Restituisce il controllo al programma principale.
Virus di avvio
I virus di avvio infettano il settore di avvio del disco floppy e il settore di avvio, o Master Boot Record del disco rigido. Quando un disco viene infettato, il virus nella maggior parte dei casi trasferisce il settore di avvio originale in un altro settore del disco. Se la lunghezza del virus è maggiore della lunghezza del settore, la prima parte del virus viene spostata nel settore infetto, il resto viene collocato in altri settori. Quindi il virus copia le informazioni di sistema memorizzate nel bootloader iniziale e le scrive nel settore di avvio (per MBR questa informazione è la tabella delle partizioni del disco, per il settore di avvio dei dischi floppy - BIOS Parameter Block).
L'algoritmo del virus di avvio.
L'iniezione di memoria si verifica durante l'avvio da un disco infetto. In questo caso, il boot loader legge il contenuto del primo settore del disco da cui è caricato, mette le informazioni lette in memoria e trasferisce il controllo ad esso (cioè al virus). Successivamente, iniziano a essere eseguite le istruzioni del virus, il che riduce la quantità di memoria libera; legge la sua continuazione dal disco; si trasferisce in un'altra area di memoria; imposta i vettori di interrupt richiesti; esegue azioni aggiuntive; copia il settore di avvio originale in memoria e trasferisce il controllo ad esso.
In futuro, il virus di avvio si comporta allo stesso modo di un virus di file residente in memoria: intercetta l'accesso del sistema operativo ai dischi e li avvia, a seconda di determinate condizioni, esegue azioni distruttive o provoca effetti sonori o video.
Caratteristiche dei virus informatici
L'essenza e la manifestazione dei virus informatici
L'uso massiccio di personal computer, purtroppo, si è rivelato associato all'emergere di virus autoreplicanti che interferiscono con il normale funzionamento del computer, distruggono la struttura dei file dei dischi e danneggiano le informazioni memorizzate nel computer. Dopo essere penetrato in un computer, un virus informatico può diffondersi ad altri computer. Virus informaticoè un programma appositamente scritto che può attaccarsi spontaneamente ad altri programmi, creare copie di se stesso e inserirle in file, aree di sistema di un computer e reti di computer al fine di interrompere il funzionamento dei programmi, danneggiare file e directory, creare ogni tipo di interferenza nel lavoro al computer la diffusione dei virus informatici, da un lato, sono nascosti nella psicologia della personalità umana e dei suoi lati oscuri (invidia, vendetta, vanità di creatori non riconosciuti, incapacità di usare in modo costruttivo le proprie capacità), dall'altro, sono dovute alla mancanza di protezione hardware e contromisure dal sistema operativo di un personal computer Nonostante le leggi adottate in molti paesi per combattere i crimini informatici e lo sviluppo di speciali strumenti software per la protezione dai virus, il numero di nuovi virus software è in costante crescita. Ciò richiede che l'utente di un personal computer conosca la natura dei virus, come infettare e proteggersi dai virus.I principali modi in cui i virus entrano in un computer sono i dischi rimovibili (floppy e laser), così come le reti di computer. L'infezione del disco rigido con virus può verificarsi quando il computer viene avviato da un disco floppy contenente un virus. Tale infezione può anche essere accidentale, ad esempio, se il dischetto non viene rimosso dall'unità A: e il computer viene riavviato, mentre il dischetto potrebbe non essere il disco di sistema. Infettare un floppy disk è molto più semplice. Un virus può raggiungerlo, anche se un dischetto viene semplicemente inserito nell'unità floppy di un computer infetto e, ad esempio, ne legge il sommario. Disco infetto- questo è un disco nel settore di avvio di cui si trova un programma - un virus Dopo aver avviato un programma contenente un virus, diventa possibile infettare altri file. Il virus più comune infetta il settore di avvio del disco e i file eseguibili con le estensioni EXE, .COM, SYS o BAT. È estremamente raro che i file di testo e grafici vengano infettati. Programma infettoè un programma che contiene un programma antivirus incorporato.Quando un computer viene infettato da un virus, è molto importante rilevarlo in modo tempestivo. Per fare ciò, dovresti conoscere i principali segni della manifestazione dei virus. Questi includono quanto segue:- cessazione del lavoro o funzionamento errato di programmi precedentemente funzionanti con successo;
- prestazioni lente del computer;
- impossibilità di caricare il sistema operativo;
- scomparsa di file e directory o distorsione del loro contenuto;
- modifica della data e dell'ora di modifica del file;
- ridimensionamento dei file;
- un aumento significativo inaspettato del numero di file su disco;
- significativa riduzione delle dimensioni della RAM libera;
- visualizzare messaggi o immagini inaspettati;
- dare segnali sonori involontari;
- frequenti blocchi e malfunzionamenti del computer.
- non pericoloso, non interferiscono con il funzionamento del computer, ma riducono la quantità di RAM libera e memoria sui dischi, le azioni di tali virus si manifestano in qualsiasi effetto grafico o sonoro;
- pericoloso virus che possono portare a varie interruzioni nel funzionamento del computer;
- molto pericoloso il cui impatto può portare alla perdita di programmi, distruzione di dati, cancellazione di informazioni nelle aree di sistema del disco.
PROGRAMMI DI RILEVAZIONE E PROTEZIONE VIRUS
Caratteristiche dei programmi antivirus Nel giorno del rilevamento, della rimozione e della protezione dai virus informatici, sono stati sviluppati diversi tipi di programmi speciali che consentono di rilevare e distruggere i virus. Tali programmi sono chiamati antivirus. Esistono i seguenti tipi di programmi antivirus (Fig. 11.11): Programmi del rivelatore cercare una sequenza di byte (firma del virus) caratteristica di un particolare virus nella RAM e nei file e, al rilevamento, emettere un messaggio corrispondente. Lo svantaggio di tale antivirus pro-Fig. 11.11. Tipi di programmi antivirus
gram è che possono trovare solo virus noti agli sviluppatori di tali programmi. Programmi medici o fagi, così come programmi di vaccinazione non solo trova i file infetti da virus, ma li "cura", ad es. rimuovere il corpo del programma antivirus dal file, riportando i file al loro stato originale. All'inizio del loro lavoro, i fagi cercano virus nella RAM, distruggendoli e solo dopo procedono a "curare" i file. Tra i fagi ci sono polifagi,
quelli. Programmi medici progettati per cercare e distruggere un gran numero di virus. I polifagi più famosi sono i programmi Aidstest , Scansione, Norton AntiVirus e Doctor Web .
Considerando che nuovi virus compaiono costantemente, i programmi di rilevamento e i programmi medici diventano rapidamente obsoleti e le loro versioni devono essere aggiornate regolarmente. Programma per revisori sono tra i mezzi di protezione più affidabili contro i virus. I revisori ricordano lo stato iniziale di programmi, directory e aree di sistema del disco quando il computer non è stato infettato da virus, quindi periodicamente, o su richiesta dell'utente, confrontano lo stato corrente con quello iniziale. Le modifiche rilevate vengono visualizzate sullo schermo del monitor video. Di norma, gli stati vengono confrontati immediatamente dopo il caricamento del sistema operativo. Durante il confronto, vengono controllati la lunghezza del file, il codice di controllo ciclico (checksum del file), la data e l'ora della modifica e altri parametri. I programmi auditor hanno algoritmi abbastanza avanzati, rilevano virus nascosti e possono persino distinguere le modifiche nella versione del programma che viene scansionata dalle modifiche apportate da un virus. Il programma Adinf della società Dialog-Nauka, ampiamente utilizzato in Russia, è uno dei programmi per auditor. Filtri o "guardiano" sono piccoli programmi residenti progettati per rilevare azioni sospette durante il funzionamento del computer, tipiche dei virus. Tali azioni possono essere: - tenta di correggere i file con estensione COM e ЕХЕ;
- modifica degli attributi del file;
- scrittura diretta su disco a un indirizzo assoluto;
- scrivendo nei settori di avvio del disco.
- in modalità interfaccia a schermo intero utilizzando menu e finestre di dialogo;
- in modalità di controllo della riga di comando.
- informazioni sui settori di avvio;
- informazioni sui cluster danneggiati;
- lunghezza del file e checksum;
- la data e l'ora in cui sono stati creati i file.
- equipaggia il tuo computer con un moderno software antivirus, ad esempio test dell'aids o Dottor Web, e aggiornare costantemente le loro versioni;
- prima di leggere informazioni registrate su altri computer da floppy disk, verifica sempre la presenza di virus in questi floppy disk eseguendo i programmi antivirus del tuo computer;
- quando trasferisci file zippati sul tuo computer, controllali subito dopo averli decompressi sul disco rigido, limitando l'area di scansione solo ai file appena scritti;
- controllare periodicamente la presenza di virus nei dischi rigidi del computer eseguendo programmi antivirus per testare file, memoria e aree di sistema dei dischi da un dischetto protetto da scrittura, dopo aver caricato in precedenza il sistema operativo da un dischetto di sistema protetto da scrittura;
- proteggi sempre i tuoi floppy disk dalla scrittura quando lavori su altri computer, se le informazioni non verranno registrate su di essi;
- assicurati di fare copie d'archivio su floppy disk di informazioni preziose per te;
- non lasciare nella tasca dell'unità A: floppy disk all'accensione o al riavvio del sistema operativo, per evitare di infettare il computer con virus di avvio;
- utilizzare programmi antivirus per il controllo in entrata di tutti i file eseguibili ricevuti dalle reti di computer;
- per una maggiore sicurezza d'uso test dell'aids e Dottor Web deve essere combinato con l'uso quotidiano dell'auditor del disco ADInf.
