Вирусы можно подразделить на два вида

Вирусы можно подразделить на два вида по методу их работы. Итак, существует два вида вирусов:

1. Вирус работает только тогда, когда ему передано управление. После того, как программа отработает, она удаляется из оперативной памяти, передав управление той программе, которая за ней должна выполняться. В следующий раз программа-вирус будет выполняться, когда снова получит управление. За время работы она должна заразить другие файлы или системные области.

2. При получении управления вирус остается в оперативной памяти как резидентная программа и работает до прекращения работы компьютера. В это время программа-вирус может перехватывать обращение к дискам или другим устройствам, с тем чтобы их заразить. Данные вирусы можно определить при помощи программы MSD, которая выводит содержимое оперативной памяти на экран дисплея. Если вы знаете, какие программы и драйверы у вас имеются в компьютере, посмотрев файлы Autoexec.bat и Config.sys, то на любую другую программу, кроме вышеупомянутых, следует обратить внимание. Описание работы программы MSD приведено в разделе ДОС.

Определенные программы-вирусы имеют свои названия. Так, троянская программа заражает – выполняет свою функцию – и самоуничтожается, логическая бомба активизируется при определенных условиях, часто используется шантажистами. Например, бухгалтерская программа работает нормально до тех пор, пока в ведомости присутствует фамилия разработчика-шантажиста. Черви нацелены на выполнение определенной функции, например, по центу за счет округления переводить деньги на счет разработчика и т.д.

Как вирусы распространяются? Имеется несколько путей, прежде всего, через гибкие дискеты. Если вы получили диск от друга, у которого на компьютер вирус, то, скорее всего, диск будет заражен. Здесь возможны два варианта. Первый - вирус находится в системной области диска и второй - имеется один или несколько зараженных файлов. Как уже было сказано, вирус должен получить управление, поэтому, если это системная дискета, то при загрузке с нее можно заразить компьютер. Если это не системная дискета, а вы попробовали загрузить с нее свой компьютер и на экране появилось сообщение: Non system disk (не системный диск), то вы и в этом случае могли заразить свой компьютер, так как на любой дискете имеется загрузчик операционной системы и при включении он получит управление. Поэтому не следует оставлять диск, подготовленный или побывавший на другом, неизвестном компьютере, в устройстве считывания дискет при загрузке вашего компьютера.

Второй вариант - это зараженные файлы. Не все файлы могут быть заражены. Так, например, если имеется текст письма или какого-то другого документа, набранный при помощи блокнота, то там не будет вируса. Даже если он там случайно оказался, то, просмотрев файл при помощи этого же редактора или ему подобного, можно увидеть в самом начале или конце такого файла непонятные символы, которые лучше уничтожить. Но это случается очень редко, и если вы просматриваете файл, управление программе в файле не передается и вы не заразите свой компьютер. Другие редакторы создают файлы, в которых содержится управляющая информация, такая, как размер или тип шрифта, отступы, разные таблицы перекодировки и другие. Как правило, заразиться через такой файл практически невозможно. Однако редактор Word имеет возможность в самом начале документа содержать макрокоманды, которым будет передаваться управление, и таким образом через документы может распространяться вирус. Кроме того, имеются некоторые другие файлы, которые не содержат программ, например, графические, звуковые файлы и информационные файлы, базы данных. Предположим, что получен диск с неизвестного компьютера. Если это файлы, по которым не может быть передано управление, как это было описано, то этими файлами можно пользоваться, но не загружать компьютер с диска. Если там имеются исполняемые файлы, то следует проверить их при помощи специальных антивирусных программ, которые описаны ниже.

Другой способ распространения вируса - это перенос на других носителях информации, например, на флеш-дисках, внешнего жесткого диска. Бывало, что при покупке лицензионного программного обеспечения оно оказывалось заражено вирусом, но подобные случаи чрезвычайно редки.

Особенность оптических (не перезаписываемых) дисков в том, что на них не записывается дополнительная информация. Если такой диск, свободный от вирусов, побывал на зараженном компьютере, от этого он не станет зараженным. Однако если на нем записана информация, зараженная вирусом, то в этом случае никакие антивирусные программы не смогут почистить диск от вирусов. Антивирусные программы можно запустить для проверки файлов на наличие вируса. В случае зараженного диска не следует запускать с него зараженные программы.

Наиболее же частым способом распространения вирусов является сеть компьютеров, и, в частности, Интернет, когда переписывают другие программы, например, игровые и их запускают. Могут быть и другие, довольно редкие случаи, когда в компьютер вставляется другой жесткий диск, который был заражен. Чтобы этого избежать, загрузитесь с системной дискеты и либо проверьте жесткий диск специальными антивирусными программами, либо, что лучше, разметьте и отформатируйте диск.

Для выявления вирусов существуют специальные антивирусные программы, которые позволяют обнаружить и уничтожить вирусы. Однако не все вирусы могут быть обнаружены, так как появляются все новые и новые их формы. Поэтому, чем более поздней версией антивирусной программы вы пользуетесь, тем больше вероятность обнаружения вирусов, хотя и не стопроцентная. Существует большое количество антивирусных программ, существуют типы вирусов, которые модифицируют свой вид, и даже если программа известна разработчикам антивирусных программ, поймать такую программу-вирус довольно трудно.

Антивирусная программа похожа на лекарство, то есть действует выборочно на одни вирусы, пропуская другие. Так что если на компьютере каждый день (неделю, месяц) запускается антивирусная программа, что проходит без предупреждающих сообщений, то все равно нет стопроцентной уверенности, что вирусы отсутствуют. Антивирусная программа обнаруживает с довольно большой вероятностью вирусы, известные к моменту ее написания, но вероятность того, что эта антивирусная программа обнаружит вирусы, написанные после ее выхода, невелика. В то же время, не следует поддаваться вирусомании, когда некоторые люди надевают белые халаты и резиновые перчатки, садясь к клавиатуре. Вирус не действует на человека. Существуют вирусы, которые, например, помещают сообщение в 25 кадр, но пока нет данных об их негативном воздействии на человека.

Имеется довольно широкий выбор антивирусных программ. По способу работы их можно разделить на три вида:

1. Детекторы, производящие сканирование. Это самая простая и распространенная форма, которая предполагает просмотр файлов и загрузочных записей с целью проверки их содержимого на предмет обнаружения сигнатуры (сигнатура – код вирусной программы). Однако не все сигнатуры могут храниться, для некоторых хранится только контрольная сумма. Поскольку полиморфные вирусы меняют свой код, при помощи данных программ их обнаружить довольно трудно. Помимо просмотра на сигнатуру, может быть использован метод эвристического анализа: проверяя коды с целью выявления характерных для вирусов кодов, детекторы удаляют обнаруженные вирусы, называемые полифагами. Такие программы могут проводить эвристический анализ и обнаруживать новые вирусы. Антивирусные программы проверяют исполняемые файлы. Однако существуют вирусы, которые меняют название, например, rab.exe на rab.txt, поэтому для более тщательной проверки лучше использовать режимы проверки всех файлов, не только исполняемых, где могут находиться вирусы.

2. Ревизоры - программы, запоминающие состояние файлов и системных областей, часто подсчитывая контрольную сумму или размер файла. При изменении выдают об этом сообщение пользователю.

3. Программы-фильтры или резидентные сторожа, постоянно находящиеся в оперативной памяти компьютера и анализирующие запускаемые файлы и вставляемые дискеты. Они сообщают пользователю о попытке изменить загрузочный сектор, появлении резидентной программы, возможности записи на диск и т.д. Пользователь решает, разрешить эту запись или нет. К сожалению, файлы могут быть изменены очень многими программами, и всякий раз программа-фильтр выдает запрос, требующий ответа. Это вызывает раздражение, и эту антивирусную программу часто отключают. Кроме того, такие программы занимают место в оперативной памяти, оставляя его меньше для других программ.

4. Аппаратная защита представляет собой контроллер, который вставляется в разъем расширения и следит за обращениями к гибким и жестким дискам. Можно защитить определенные части, например, загрузочные записи, исполняемые файлы, файлы конфигурации и пр. В отличие от предыдущих методов, он может действовать и тогда, когда компьютер заражен.

5. Существуют и программы, установленные в Bios компьютера, когда при попытке записи в загрузочный сектор на экране появляется сообщение об этом. Однако вирусы способны обходить эту защиту, то есть она менее действенна, чем при аппаратном способе.

6. В последнее время антивирусные программы используют облачные технологии. Суть их в том, что исполняемый файл с программой, который появляется в интернете анализируется на наличие вируса. Для него создается своеобразный код, типа вычисления контрольных сумм. Если такой файл будет скачан на компьютер пользователя, то программа не проверяет его на наличие вируса, а посчитает контрольную сумму. Если она совпадает с контрольной суммой, полученной из базы данных компьютерной программы, то файл не изменен и не содержит вирусов. Если контрольной суммы для файла не имеется, то он как и прежде проверятся на наличие вирусов. Этот метод дает значительное ускорение работы антивирусной программы.

Каждый из этих видов имеет свои достоинства и недостатки. Например, программы-фильтры часто выдают сообщения об операциях, что требует от пользователя довольно глубоких знаний системы и человеку надоедает то и дело отвечать на запросы, хотя программы эти достаточно эффективны.

Если на компьютере, зараженном резидентным вирусом, запускается антивирусная программа, то она может и не определить этот вирус. Резидентный вирус работает до выключения компьютера. Любая резидентная программа уменьшает размер оперативной памяти.

.

Профилактические меры против вирусов.

Необходимо проводить архивацию данных. Архивация - это запись файлов на съемные носители. Чаще всего в такой роли выступают внешние жесткие диски, флешки, оптические накопители. Как правило, нет необходимости запоминать все файлы, так как много информации находится в файлах операционной системы и приложений. Например, нет необходимости запоминать файлы Windows, если имеется установочный диск, с которой можно перезагрузить систему и восстановить файлы. Поэтому, если на компьютере имеются из съемных устройств только гибкие диски, то запоминать нужно информацию, которую трудно восстановить. С этой целью для каждого вида создается своя поддиректория. Например, на жестком диске для редактора Word желательно иметь свою подпапку, в которой находились бы только файлы с текстом, для графического редактора свои, для Excel - свои и так далее. Можно иметь разные подпапки для разных видов редакторов. Содержимое этих папок нужно регулярно сбрасывать на диски, которые нужно надписать с указанием даты архивирования. Теперь, если случится поломка или заражение вирусом, информацию можно будет быстро восстановить.

Архивирование. Как правило, информацию записывают не на один диск. Допустим, информация помещается на один перезаписываемый оптический диск и копирование производится раз в неделю. Сначала информация записывается 4 августа, в следующий раз 11 августа запись производится на другой диск из тех же папок. 18 августа запись происходит снова на первый диск, 25 августа на второй, затем снова на первый и так далее, для этого нужно иметь как минимум два диска. Дело в том, что при записи на диск может произойти сбой и большая часть информации потеряется. Поэтому желательно иметь две, возможно, три или больше копий файлов. Чем больше, тем лучше, так как информация на диске может испортиться и тогда у вас будет запасной диск. Можно хранить информацию и по месяцам дополнительно. Дело в том, что пользователь работает, как правило, с одними файлами и создает новые. Если испортились созданные месяц назад файлы, к которым не было обращения, то на архивных дисках нужных неиспорченных файлов может не оказаться, так как на одном диске, к примеру, будет информация недельной давности, на другой двухнедельной, поэтому желательно иметь архивную копию и более старой версии. Как правило, дома и в мелких офисах копирование практически не ведется, так как случаи технических неполадок бывают довольно редко, а вирусы, если соблюдать профилактические меры, появляются нечасто. На больших машинах или в локальной сети специальные администраторы или системные программисты время от времени проводят архивацию, для этого имеется специальный график. На домашнем компьютере время от времени нужно проводить копирование, частоту же определяет сам пользователь. Хотя бы раз в месяц такую операцию все равно нужно начинать делать, иначе может оказаться, что уже поздно.

Вся информация, получаемая от других компьютеров, должна проверяться антивирусными программами. Выше мы уже подчеркивали, что некоторые файлы, например, с графической информацией, довольно безопасны с точки зрения заражения вирусом. Так что если на дискете только такого рода информация, то она не опасна. Если обнаружен вирус, то нужно проверить все компьютеры, которые были связаны с зараженным через диски, сеть. Необходимо удалить вирус не только с жесткого диска, но и с дисков, архивных файлов.

Как обнаружить вирус. Прежде всего, при появлении каких-либо необычных действий на компьютере запустите антивирусную программу, которая выведет на экран список зараженных файлов, если они имеются. На что следует обратить внимание.

- На экран или принтер выводятся сообщения с непонятными символами, не предусмотренные программным обеспечением, с которым происходит работа. На экран может выводиться посторонняя графическая информация;

– На клавиатуре не работают какие-либо клавиши, или работают, но печатают другие символы;

- Постоянные сбои системы;

- Замедление работы программ;

- Программа работает неправильно или перестает работать;

- Не производится загрузка с жесткого диска;

- Разрушение файловой структуры на дисках или отдельных файлов;

- Непредсказуемая подача звукового сигнала;

- Отключение последовательного или параллельного порта;

- Вывод на экран текстовой строки или графической информации;

- Произвольная перезагрузка компьютера;

- Печать на принтере незнакомого текста;

- Смена имени портов компьютера;

- Порча информации в определенных секторах диска;

- Зацикливание компьютера;

- Выполнение определенной программы, которую вы не запускали;

- Подача звукового сигнала через динамики на колонки или громкоговоритель в системном блоке;

- Очистка экрана;

- Отключение порта компьютера;

- Вывод определенного или случайного значения в порт компьютера;

- Самопроизвольное соединение через модем,

- Взаимное изменение имен двух портов;

- Порча информации в секторе на диске и так далее.

Однако по всем этим признакам нельзя с уверенностью сказать, что в компьютере завелся вирус, так как могут быть другие неисправности, причиной которых являются неполадки или неотлаженность системы. Сбои системы могут иметь причиной плохой контакт микросхемы внутри системного блока или в подключении шнура. Но в любом случае при появлении странностей полезно запустить антивирусную программу.

Если определено, что, скорее всего, на компьютере вируса нет, то есть антивирусная программа дает хороший результат, необходимо в случае сбоев, при полном или частичном отказе устройства, например, клавиатуры, проверить провода, ведущие к системному блоку. Если программа после своей работы выдала сообщение, что все в порядке, то это не значит, что в компьютере нет вируса. Сама программа может быть заражена вирусом, который и сделал так, чтобы его не определили, вариант антивирусной программы старый или появился вирус, неизвестный программе. Поэтому полезно программу запускать не с жесткого диска, а с системного диска, для чего заранее ее записать на диск.

Может быть так, что вы уверены – на компьютере имеется вирус, а программы его не определяют. На экране появляется сообщение программы-вируса, а антивирусные программы показывают, что вирус отсутствует. В этом случае от вируса можно избавиться кардинальным образом, переписав файлы на жестком диске заново. При обнаружении вируса, прежде всего, нужно выключить компьютер, чтобы вирус не нанес дальнейших разрушений. Вставьте системный диск и с нее перезагрузитесь. Потом скопируйте на диск исходные тексты, документы и прочие файлы, которые не подвержены вирусам.

После форматирования скопируйте на жесткий диск файлы и программы, которые там находились. Полезно при выполнении этих действий их записывать, с тем, чтобы в дальнейшем, когда возникнет необходимость снова их установить, можно было легко ответить на запросы, которые выдают программы при установке.