IV.Защита от вирусов и вредоносных программ.

Вирусы – специально разработанные программы, которые самопроизвольно ко­пи­руются («са­мо­раз­мно­жа­ют­ся»), включаясь в текст других файлов (прог­рамм) или занимая загрузочные (ис­пользуемые при запуске) сектора дисков, т.е. «за­ражая» файлы и диски.

Название дано Ф. Когеном (США) по аналогии с биологическими объектами, которые па­ра­зи­тируют на клетках жи­вых организмов, проникая в них и размножаясь за их счет путем пе­рех­ва­та управления сис­те­мой наследственности. Само латинское слово «вирус» означает «яд».

Вирусы перехватывают управление при обращении к зараженым файлам и дис­­кам, обеспечивая дальнейшее свое распространение. При этим они могут вы­зы­­вать помехи – от появления посторонних надписей на эк­ра­­­не, замедления ра­бо­ты компьютера и вплоть до полного стирания долго­вре­мен­­­ной памяти с унич­то­же­нием всей информации и всех программ.

Аналогичные эффекты могут вызывать другие типы вредоносных прог­рамм, рас­сматриваемые наряду с вирусами (иногда их все вместе называют вирусами, но это не вер­но): (а) «троянские кони» («трояны») – программы, рекламируемые и рас­про­с­траняемые как выполняющие определенные полезные функции (игры, об­слу­жи­­вание диска) и т.п., но при запуске, причиняющие вред; (б) «часовые бомбы» – фрагменты программ, активизирующиеся для нанесения вреда в определенное вре­мя и дату; (в) репликаторы («черви», «сетевые черви») – программы, массово са­мокопирующиеся («располза­ю­щи­еся») по сети, используя адресную книгу ком­пьютера и захватывающие ре­сур­сы отдельных компьютеров и сети.

В составе программы–вируса выделяют:

а )«голову» – начальный код, который перехватывает управление обращение к дис­ку или зараженной вирусом программе–носителю;

б )«хвост» (иногда говорят «тело») – основную часть вируса, осу­щест­вля­ю­щую копирование и вредоносные действия.

По среде обитания вирусы подразделяют на:

а) Файловые – внедряются в файлы, чаще всего исполняемые файлы прог­рамм с расширение .com или .exe, но также и, в виде макросов, в документы MS OF­FICE – макровирусы (документные), и в элементы управления Web страниц Ин­тернет – скрип­­товые вирусы.

б) Загрузочные (бутовые) – внедряются в загрузочные (используемые при за­пус­ке диска) сектора дисков (Boot–сектора).

в) Файлово–загрузочные – внедряются и в файлы и в загрузочные сектора.

Иногда сетевые репликаторы (черви) тоже включают в понятие вирусов и клас­­сифицируют по среде обитания как сетевые вирусы.

По способу заражения вирусы подразделяют на:

а) Резидентные – после начала действия остаются в оперативной памяти до вы­ключения компьютера и перехватывают команды операционной системы для за­ражения новых файлов и дисков (как правило, загрузочные вирусы являются ре­зидентными).

а) Нерезидентные – активизируются только на ограниченное время, на­при­мер, при вызове зараженной ими программы для файловых вирусов.

По степени опасности (вредного воздействия) вирусы подразделяют на:

а) Неопасные – вызывают только графические и звуковые эффекты, в крайнем слу­чае, уменьшают объем свободной памяти и быстродействие.

б) Опасные – вызывают серьезные нарушения и сбои в работе.

в) Очень опасные – уничтожают программы, данные, вплоть до потери всей ин­формации, включая системную, необходимую для работы компьютера.

Выделяют особые классы вирусов по характерным особенностям фун­к­ци­о­ни­рования:

а) Самомаскирующиеся (вирусы-невидимки, стелс (Stealth* [ЕЗ1] ) вирусы) – пе­ре­х­ва­ты­­вают попытки их обнаружить и выдают ложную, маскирующую их присут­ст­вие информацию. Например, при запросе длины файла сообщают старую длину до заражения вирусом.

б) Полиморфные (самомодифицирующиеся, вирусы–мутанты [ЕЗ2] ) – при ко­пи­ро­ва­нии в новые за­ра­жа­е­мые файлы меняют (шифруют) текст вируса, что за­т­руд­ня­ет его об­­на­ру­жение по на­личию определенных фрагментов кода.

Программы–антивирусы подразделяют на:

а) Фильтры (сторожа, блокираторы) – обнаруживают и блокируют до раз­ре­ше­ния пользователя действия, похожие на действия вирусов (запись в за­г­ру­зоч­ные сектора дисков, изменение характеристик файлов, коррекция файлов с рас­ши­рениями com и exe и т.п.). При этом они могут слишком часто и «назойливо» об­ращаться к пользователю за разрешением.

б) Ревизоры – запоминают характеристики файлов и сообщают об их из­ме­не­ни­ях. Эти программы не могут обнаружить вирусы в новых файлах, пос­ту­па­ю­щих на компьютер.

в) Сканеры (детекторы) – ищут вирус по определенным признакам. В част­нос­­ти, они выполняют функции программ–мониторов (мониторинг – от­с­ле­жи­вание), проверяя файлы при их загрузке в оперативную память. Ис­поль­зо­ва­ние по­лифагов требует наличия и постоянного обновления антивирусных баз дан­ных, содержащих признаки максимального количества известных вирусов.

в) Фаги (доктора) – пытаются «вы­лечить» файлы, удаляя вирусы из них. В слу­чае невозможности – пред­ла­га­ют удалить зараженый файл.

Особенно важны полифаги – программы для по­ис­ка большого количества и ви­русов различного типа и лечения от них. Они выполняют одновременно фун­к­­ции сканеров и фагов. Ис­поль­зо­ва­ние полифагов требует наличия и посто­ян­ного обновления антивирусных баз дан­ных, содержащих признаки максималь­но­го количества известных вирусов.

Наиболее известные и распространенные полифаги: Антивирус Касперского, (Kaspersky AntiVirus, Kaspersky Internet Security), Symantec Norton AntiVirus, Doctor Web (Dr.Web).