Поиск

Эффективные способы борьбы с компьютерными вирусами. Методы борьбы с компьютерным вирусом. Лечение народными средствами

20.04.2024

Методы обнаружения и удаления компьютерных вирусов.

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса:

· Профилактика заражения компьютера;

· Восстановление пораженных объектов;

· Антивирусные программы.

Профилактика заражения компьютера

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение небольшого числа правил, которое позволяет значительно снизить вероятность заражения вирусом и потери каких-либо данных.

Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.

Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office97. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Выводы - следует избегать контактов с подозрительными источниками информации и пользоваться только законными (лицензионными) программными продуктами. К сожалению в нашей стране это не всегда возможно.

Восстановление пораженных объектов

В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через некоторое время (обычно - несколько дней или недель) получить лекарство-"апдейт” против вируса. Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно. Для большинства пользователей необходимо иметь резервные копии своей информации.

Классификация антивирусных программ

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаг, полифаг, программа-доктор). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Сканеры.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски”. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик - вирусов. Сканеры также можно разделить на две категории - "универсальные" и "специализированные”. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на "резидентные" (мониторы, сторожа), производящие сканирование "на-лету”, и "нерезидентные”, обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска. С другой стороны резидентный сканер может несколько замедлить работу компьютера в том числе и из-за возможных ложных срабатываний.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам - относительно небольшую скорость поиска вирусов. Наиболее распространены в России следующие программы: AVP - Касперского, Dr. Weber - Данилова, Norton Antivirus фирмы Semantic.

CRC-сканеры.

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту "слабость” CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода - ADINF и AVP Inspector.

Блокировщики.

Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные” ситуации и сообщающие об этом пользователю. К "вирусо-опасным” относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (например, неизвестно ни об одном блокировщике для Windows95/NT - нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера ("железа”). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает "ложное срабатывание” защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы.

Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.

Компьютерный вирус – это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять на компьютере различные нежелательные действия.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус, который находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия, например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д. для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, к примеру, при выполнении определенных условий.

Распространяются вирусы в основном по глобальным и локальным сетям, а также переносятся от одной машины к другой на гибких или оптических дисках вместе с инфицированными программами. Заражение машины или программы происходит при: выполнении программы, зараженной вирусом; загрузке ОС с зараженной дискеты; установке на компьютере уже зараженной операционной системы.

Классификация компьютерных вирусов представлена в таблице 1.3.

Таблица 1.3

Классификация компьютерных вирусов

Классификационный признак

Название вируса

Краткая характеристика

Среда обитания

сетевые

распространяются по компьютерной сети

файловые

внедряются в выполняемые файлы

загрузочные

внедряются в загрузочный сектор диска (Boot-сектор)

Способы заражения

резидентные

находятся в памяти, активны до выключения компьютера

нерезидентные

не заражают память компьютера, являются активными ограниченное время

Деструктивные возможности

безвредные

никак не влияют на работу компьютера; уменьшают свободную память на диске в результате своего распространения

неопасные

уменьшают свободную память на диске; создают графические, звуковые и пр. эффекты.

опасные

могут привести к серьезным сбоям в работе.

очень опасные

могут привести к потере программ, или системных данных

Особенности алгоритма вируса

вирусы-«спутники»

вирусы, не изменяющие файлы; созздают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM

вирусы-«черви»

распространяются в компьютерной сети; рассылают свои копии, вычисляя сетевые адреса других компьютеров

изменяют содержимое дисковых секторов или файлов

«студенческие»

крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок

«стелс»-вирусы

перехватывают обращения операционной системы к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации; при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы

«вирусы-призраки»

достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода.

макровирусы

используют возможности макро-языков, встроенных в системы обработки данных.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов . К ним можно отнести следующие:

    прекращение работы или неправильная работа ранее успешно функционировавших программ;

    медленная работа компьютера;

    невозможность загрузки операционной системы;

    исчезновение файлов и каталогов или искажение их содержимого;

    изменение даты и времени модификации файлов;

    изменение размеров файлов;

    неожиданное значительное увеличение количества файлов на диске;

    существенное уменьшение размера свободной оперативной памяти;

    вывод на экран непредусмотренных сообщений или изображений;

    подача непредусмотренных звуковых сигналов;

    частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому правильная диагностика состояния компьютера представляет собой довольно сложную задачу.

Каким бы ни был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от компьютерных вирусов можно использовать:

    общие средства защиты информации , которые полезны также как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя. К таким средствам относят резервное копирование информации иразграничение прав доступа к информации;

    профилактические меры , позволяющие уменьшить вероятность заражения вирусом;

    специализированные программы-антивирусы для защиты от вирусов

    Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые называются антивирусами .

Антивирусная программа, как правило, состоит из следующих частей: монитор, сканер, центр управления и модуль, отвечающий за обновление антивирусных баз через Internet. Противодействие вирусам оказывают два компонента: монитор и сканер.

Первый все время загружен в памяти компьютера и перехватывает вирусы "на лету", т.е. в момент открытия файлов, приема электронной почты, а также при попытке сетевого червя атаковать ваш компьютер через локальную вычислительную сеть. Часто имеется такая разновидность монитора, как Script-Checker. Последний загружается лишь перед запуском Windows-интерпретатора сценариев, а после проверки сразу же выгружается. Это позволяет экономить системные ресурсы.

Сканер (также называется полифаг) обследует все программы, документы и системные области на предмет наличия характерных признаков вируса. Сканер, как и монитор, осуществляет поиск характерной последовательности байтов, так называемой сигнатуры вируса. Правда, в случае полиморфного вируса эта методика не срабатывает, тогда применяются более сложные алгоритмы. В частности, простейшие полиморфные вирусы могут быть обнаружены с помощью некоторой перебираемой маски, сложные полиморфные вирусы требуют принципиально других алгоритмов. Иногда для обнаружения полиморфных вирусов может использоваться так называемый эмулятор процессора, т. е. программная модель центрального процессорного устройства.

Чаще всего программа может вылечить поврежденный файл, бесследно удалив найденные вирусы, однако иногда помогает лишь уничтожение зараженного файла.

Наряду с методом поиска вирусов по сигнатуре электронные лекари используют эвристический анализ . Так называется алгоритм, предназначенный для обнаружения фрагментов программ, типичных для компьютерных вирусов. Эвристические анализаторы используются полифагами для обнаружения вирусов, не входящих в базу данных полифага. Эффективность его определяется соотношением обнаруженных вирусов и так называемых ложных срабатываний (подозрений на наличие вируса в файлах, в которых его нет).

Проблема эвристического анализа в том, что он не всегда может правильно определить наличие вируса. С другой стороны, только с помощью такого анализа можно выследить новые вирусы. Некоторые электронные лекари позволяют послать файл с новым вирусом производителю программы, чтобы он быстро разработал противоядие и включил его в свой продукт.

В результате все большего распространения вредоносного ПО многие компании задумались о своей безопасности и стали приобретать антивирусные программы, что в свою очередь привело к росту количества производителей подобных продуктов. Несмотря на то, что сегодня известно несколько десятков таких программ, рассмотрим последние версии наиболее используемых антивирусных программ в Украине.

McAfee VirusScan .Насыщенность пакета McAfee VirusScan различными инспектирующими функциями позволяет обеспечить качественную и полную защиту ПК от вирусных атак. В состав продукта входит множество модулей, предоставляющих возможность контролировать запуск различных файлов на жестком диске, электронную почту, загрузку файлов из Internet и даже блокировать выполнение вредоносных Java- и ActiveX-компонентов во время Web-серфинга.

Управление периодичностью запуска монитора, сканера модуля обновления антивирусных баз и ядра программы осуществляется из консоли управления, там же можно осуществить конфигурирование каждой из утилит. Если компьютер поражен загрузочным вирусом, McAfee VirusScan позволяет создать загрузочную дискету с компактным сканером, который конфигурируется и выполняется из командной строки.

McAfee VirusScan показал очень высокие результаты при обнаружении вредоносных программ, особо продукт отличился при дезинфекции вирусов. При сканировании полифаг потребляет весьма мало ресурсов, кроме того, есть режим его запуска одновременно с включением экранной заставки.

KAV Personal Pro .Программа KAV (Kaspersky AntiVirus) отличается максимальной функциональностью - в состав пакета помимо общепринятого сканера и монитора входят также утилита для проверки электронной почты и сценариев, модуль для создания загрузочной дискеты и ревизор диска. Для доступа ко всем утилитам используется единый центр управления. Хотя надо отметить некоторую насыщенность интерфейса различными опциями, и вследствие этого определенную сложность в конфигурировании для начинающего пользователя.

KAV показал один из лучших результатов по обнаружению и удалению вирусов, червей и троянских коней, и кроме того, достаточно высокую скорость сканирования. Частично такая скорость обусловлена тем, что KAV, как и большинство других антивирусных программ, не излечивает вирусы в заархивированных файлах, а только детектирует их наличие.

К отрицательным характеристикам продукта можно отнести разве что довольно высокое потребление ресурсов, в частности оперативной памяти. Несмотря на это, KAV удержалась в пределах 15 % потребления ресурсов, принятых за максимально возможную величину при тестировании.

Norton AntiVirus . К достоинствам антивирусных продуктов Питера Нортона можно отнести продуманный интерфейс, легкость инсталляции, умеренную цену. NAV отличается большим набором различных функций, для полного комплекта ему не хватает разве что ревизора дисков. При работе со сканером можно прибегнуть к услугам мастера, значительно облегчающим применение NAV для начинающих пользователей. Антивирусные базы актуализируются через Internet, причем можно задать регулярное автоматическое обновление.

Монитор пакета NAV проверяет всю входящую и исходящую электронную почту. В случае обнаружения инфекции монитор автоматически пытается ликвидировать заразу, если же это невозможно сделать, он блокируют доступ к зараженному файлу и предлагает поместить его в карантин.

DrWeb. Весьма популярная программа на просторах СНГ DrWeb немного уступает своему земляку антивирусу Касперского по функциональности – так в состав персональной версии входит лишь монитор, полифаг и планировщик. Обновление антивирусных баз производится через Internet автоматически. В целом, пакет DrWeb произвел приятное впечатление своим простым и удобным интерфейсом, хорошей документацией и качественным эвристическим анализатором.

Лабораторные работы

Лабораторная работа №1.1 Знакомство с Windows XP. Окна и диалоги, панель задач. Рабочий стол Windows XP. Главное меню системы. Работа с файлами и папками с помощью программ Мой Компьютер и Проводник

Цель работы: получить представление об ОС Windows XP, ее интерфейсе, принципах работы, освоить технологию работы с манипулятором «мышь»; изучить структуру и типы окон; получить основные навыки работы с файлами и папками в программах Мой Компьютер и Проводник .

    Методические указания

Windows XP – многозадачная операционная система с графическим интерфейсом.

Операционная система Microsoft Windows XP, создана на основе технологии NT и является прямой наследницей системы Windows 2000. При сохранении высоких показателей надежности, безопасности и быстродействия, система стала более простой в освоении, в ней появилось множество средств, предназначенных для индивидуальных домашних пользователей

Система поставляется в нескольких вариантах, ориентированных на разные особенности применения. Версия Microsoft Windows XP Home Edition предназначена для индивидуальных пользователей, чаще всего работающих на домашнем компьютере. В этой версии особый упор сделан на работу с рисунками, аудио и видео. Версия Microsoft Windows XP Professional предназначена, как ясно из названия, для профессионалов. Эта версия наиболее часто используется в организациях.

Windows XP Professional. Практически не отличается от нее версия Windows XP Home Edition. Об имеющихся незначительных отличиях будет особо указано.

Никаких действий по запуску (загрузке) установленной операционной системы предпринимать не нужно – просто включите ПК.

Управлять работой Windows XP проще всего с помощью мыши. Когда вы двигаете мышь по поверхности, на экране перемещается указатель мыши . Большинство выполняемых на компьютере действий осуществляется путем указания объекта на экране и нажатием кнопки мыши. Чтобы указать на объект, переместите мышь так, чтобы кончик указателя мыши закрывал нужный объект на экране.

Основные действия мыши – "клик" (быстрое однократное нажатие левой клавиши, сопровождаемое звуком "клик") и "двойной клик" (быстрое двукратное нажатие левой клавиши). При наведении указателя мыши на объект (без клика) возникает всплывающая подсказка о данном объекте.

Важнейшая функция мыши – реализация метода Drag and Drop (Тащи и Отпусти) . Поместив курсор мыши на какой-либо объект (значок, ярлык или папку) и нажав левую или правую клавишу, можно, не отпуская нажатой клавиши, перетащить объект в нужное место – например, в другое окно, в другую папку, в корзину "для мусора" и т.д.

Щелчок (клик) правой кнопки мыши на выделенном объекте вызывает меню, называемое контекстным илиобъектным с перечнем ряда операций, допустимых для заданного объекта.

Типичные действия мыши

После запуска операционной системы Windows XP весь экран монитора занимает особый рисунок, который называется Рабочим столом или, в английской версии, Desktop 2 . Все окна работающих программ располагаются поверх рабочего стола, и их можно перемещать, увеличивать, уменьшать или убирать. Окна могут полностью или частично перекрывать друг друга.

В нижней части рабочего стола расположена полоса, называемая Панель задач (Taskbar). Основное назначение панели задач – отображение запущенных программ в виде кнопок и значков, а также быстрое переключение между ними. Кроме того, с помощью панели задач можно запускать некоторые полезные программы.

В левой части панели задач находится кнопка Пуск (Start) . Нажатие этой кнопки приводит к открытию главного меню системы. Назначение этой кнопки – запуск программ и настройка компьютера. Можно сказать, что почти любая работа в Windows ХР начинается с нажатия данной кнопки.

Работа в системе Windows представляет собой запуск различных программ с помощью кнопки Пуск (Start) или с помощью значков на рабочем столе. Вы можете также выполнять различные действия с окнами уже запущенных программ. Запуск программ и работа с окнами осуществляются с помощью компьютерной мыши и клавиатуры.

Общие сочетания клавиш Windows XP

Для завершения работы в Windows XP нужно щелкнуть по кнопке Пуск (Start ) , выбрать в меню пункт Выключить компьютер , подтвердить в появившемся диалоговом окне выход из Windows XP. Не следует пытаться завершать работу с Windows XP иначе. Это может привести к потере данных в активных приложениях а также нарушению работы системы.

Все программы в Windows выдают результаты работы в связанные с ними окна. Внешний вид окон может быть самым разным, но есть несколько элементов, которые присутствуют в большинстве окон. Какую бы программу вы не запустили, внешний вид ее окна будет напоминать окна других программ. Конечно, есть и исключения. Окна некоторые программы непохожи на другие, но таких программ достаточно мало.

Чтобы открыть окно программы, нужно запустить программу на выполнение. Типичное окно программы (окно приложения) представлено на рис.1 и имеет следующие элементы: строка заголовка (кнопка оконного или системного меню, кнопки свернуть, развернуть/восстановить, закрыть), строка меню, рабочее пространство, полосы прокрутки, угол окна, границы окна.

Программные окна можно сворачивать, разворачивать, а затем восстанавливать, закрывать, перемещать по экрану (укажите на строку заголовка окна, нажмите кнопку мыши и, удерживая ее, перетащите окно на новое место) и изменять их размеры (раздвоенной поместите указатель мыши на границу окна, чтобы он принял форму стрелки, удерживая левую кнопку мыши, передвиньте границу в любую сторону, затем отпустите кнопку; «потяните» за угол окна для пропорционального изменения размеров).

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

Обнаружение вирусов в КС;

Блокирование работы программ-вирусов;

Устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных действий вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

Удаление вирусов;

Восстановление (при необходимости) файлов, областей памяти.

Восстановление системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу деструктивных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, подразделяемые на:

Методы обнаружения вирусов;

Методы удаления вирусов.

Методы обнаружения вирусов:

- сканирование (осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называют полифагами). Пример – Aidstest Дмитрия Лозинского;

- обнаружение изменений (базируется на использовании программ-ревизоров, которые определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков, по результата которых программа выдает сообщение о предположительном наличии вирусов. Недостатки метода – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными; вирусы будут обнаружены только после размножения в системе);

- эвристический анализ (позволяет определить неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе. Сущность метода – проверка возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов (команды создания резидентных модулей в ОП, команды прямого обращения к дискам, минуя ОС);

- использование резидентных сторожей (основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ: при выполнении каких-либо подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Недостаток – значительный процент ложных тревог, что мешает работе и вызывает раздражение пользователя);

- вакцинирование программ (создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в т.ч. и незнакомые, за исключением «стелс»-вирусов);

- аппаратно-программная защита от вирусов (самый надежный метод защиты. В настоящее время используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Можно устанавливать защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.).

Достоинства программно-аппаратных средств перед программными:

Работают постоянно;

Обнаруживают все вирусы, независимо от механизма их действия;

Блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один – зависимость от аппаратных средств ПЭВМ, изменение которых ведет к необходимости замены контроллера.

Методы удаления последствий заражения вирусами:

Существует два метода удаления последствий воздействия вирусов антивирусными программами:

первый – предполагает восстановление системы после воздействия известных вирусов (разработчики программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания);

второй – позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами (для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход – уничтожить файл и восстановить его вручную).

Практически каждый человек за свою жизнь много раз слышит слово «вирус» и даже сталкивается с ним на практике. Вирусы поражают организм человека, населяя его и активно размножаясь. Уже много веков человек ищет способы борьбы с вирусами. Однако полностью изжить их не удаётся. Стоит ли пытаться сделать это?

Вирус, как живой организм, принимает участие в круговороте веществ и процессов природы. Полностью истребить его – значит нарушить естественный баланс экологической системы мира. Но всё же человеку и животным он приносит достаточно серьёзные неприятности. Поэтому необходимо научиться сосуществовать с ними рядом и знать способы борьбы с размножением вируса в организме человека.

Доктор Вирус и мистер Хайд

История возникновения вируса

Вирус стал одним их первых жителей планеты Земля. Около трёх-четырёх миллионов лет назад, по мнению учёных, на Земле появились первые микроорганизмы. Ещё в те далёкие времена произошло разделение на животный и растительный мир. Однако считается, что первыми появились организмы, давшие жизнь растениям. Они более просты по своей структуре. Предполагается, что затем появились усложнённые микроорганизмы – одноклеточные животные .

Мнение учёных расходятся насчёт происхождения жизни на планете. Одни считают, что жизнь зародилась во льдах или водоёмах естественным путём, другие придерживаются мнения, что жизнь была принесена на Землю астероидами с других планет. Но достоверно знать, к сожалению, не может никто. Поэтому остаётся только рассматривать теории и выбирать ту, которая кажется наиболее достоверной. Но основной теорией появления вирусов считается мутация бактериальных клеток и усиление защитных функций этих микроорганизмов.

Иммунная система человеческого организма

Исследование вирусов человеком

Знание особенностей строения и жизнедеятельности вируса помогает найти эффективные способы борьбы с ним. Именно обнаружение вирусного организма и микроскопическое исследование его позволило человеку начать научное знакомство с этим удивительным и древним представителем фауны.

Несмотря на длительное существование вируса, человеком он был открыт относительно недавно. В конце XIX века русский учёный Ивановский Д.И., занимаясь изучением табачных растений, обнаружил микроорганизм, который вызывает табачную мозаику. Из публикации учёного видно, что в природе возникновения этого организма и его свойствах он до конца разобраться не смог. Однако он увидел связь между заболеванием растения и воздействием вируса. Он указывал, что они представляют собой «бактерии, проходящие через фильтр Шамберлана» . То есть обычная антибактериальная защита не является для них помехой.

Только через несколько лет после этих исследований голландский ботаник М. Бейеринк дал микроорганизму название «фильтрующийся вирус» . Также были обнаружены вирусы и при изучении причин ящура у крупного рогатого скота. Были проведены аналогии между возбудителями болезней растений и животных. Несколько позже были обнаружены вирусы, вызывающие болезни у человека. Первым открытым вирусом, опасным для него, стал вирус жёлтой лихорадки. Он был открыт в 1901 году. Затем в 1911 году был выявлен вирус саркомы Рауса – онкологического заболевания.

Развитие микробиологии позволило открыть множество других вирусов и изучить их свойства. Это помогло значительно повысить эффективность борьбы с ними. Сегодня учёные настолько много знают о них, что могут даже создавать их искусственно. В частности, был создан первый искусственный вирус (полиомиелита) в 2002 году. Это сделали специалисты Нью-Йоркского университета.

Структура вирусного организма

Как и любой другой представитель биологического сообщества, вирус имеет свою индивидуальную структуру. Она определяет особенности его поведения. Несмотря на различия между вирусными возбудителями разных инфекций, они имеют схожие черты, выделяющие их среди других микроорганизмов.

Примечательно, что вирус имеет гораздо меньшие размеры, чем бактерии. Потому они и способны проходить через антибактериальный фильтр. Размер вируса варьирует от нескольких десятков до трёхсот нанометров. Они недоступны для микроскопического исследования через световое оборудование. Именно это долгое время не позволяло их обнаружить даже при исследовании тканей заражённых организмов.

Место вируса в природном сообществе

В природном балансе вирусы имеют достаточно большое значение. Несмотря на вред для многих живых организмов, вирусы могут приносить и пользу своим хозяевам. Однако такая польза является побочным эффектов вирусной инфекции, но не первостепенной задачей самого микроорганизма.

Особенно в растительном мире известны случаи мирного сосуществования вирусов и . При этом вирусы могут поражать организм одного своего хозяина для облегчения жизни другого, восстанавливая природное равновесие и сохраняя обменную (пищевую) цепочку между представителями флоры и фауны.

Можно выделить несколько примеров такого поведения вирусов:

  • Вирус табачной мозаики поражает не только растения табака, но и плодовую мушку, которая им питается. Таким образом, продлевая жизнь мушки и её плодовитость (принося пользу), вирус вредит растениям;
  • Вирус, поражающий грибок, который размножается в траве возле геотермальных источников, позволяет растению выживать в условиях повышенной температуры. Это выгодно вирусному организму для сохранения хозяина в труднодоступных для истребления местах, где температура достигает 50 градусов по Цельсию;
  • Некоторые вирусы защищают организм хозяина от проникновения и размножения в организме других вирусных агентов. Вирус охраняет свою территорию и в некоторых случаях не приносит значительного вреда хозяину для сохранения места проживания.

Пути передачи вирусов

Кожа человека обладает достаточно сложными защитными механизмами и не позволяет вирусам проникать в организм. Однако она нередко травмируется. В этом случае вирус находит входные ворота для попадания внутрь. Причём вирус может проникнуть как в момент травмы, так и позже в период снижения защитных функций повреждённой кожи. Часто происходит заражение крови при инъекциях нестерильными шприцами или укусах животных-переносчиков.

Вирусы могут поражать весь организм, углубляясь в ткани, а также быть причиной кожных заболеваний, образуя местные опухоли и новообразования. Например, происхождение некоторых видов бородавок имеет вирусную природу. Также известен вирусный контагиозный моллюск, поражающий кожу. Оба эти вируса передаются через микротравмы кожи и становятся причиной заболевания.

Передаваться вирусы могут также от больных животных. Часто причиной становится употребление заражённого мяса или тесный контакт с заражёнными особями. Хотя существуют и вирусы, которые не способны передаваться между видами. Такие микроорганизмы для человека и других животных относительно безопасны. Чаще всего человек заражается, употребляя мясо крупного рогатого скота и домашней птицы. Но известны вирусы, которые разносятся дикими животными, например, голубями. Кроме того, при укусах заражённых млекопитающих передаётся вирус бешенства и другие.

Несмотря на многочисленные возможности заражения вирусными инфекциями, человек научился бороться со многими из них. Поэтому в некоторых случаях удаётся предотвратить развитие эпидемии и приостановить размножение вируса.
Методы борьбы с вирусом и профилактика

Сегодня борьба с вирусами приобретает особую актуальность. В связи с изменениями состава атмосферного воздуха и организма человека, вирусы успешно мутируют в те формы, с которыми человек ещё не умеет бороться. Существует огромное количество противовирусных средств. Но даже медики часто замечают снижение эффективности этих препаратов для преодоления инфекции. Для уничтожения вируса с каждым годом нужны всё большие дозы лекарств или же новые средства. Можно отметить и то, что вирус мутирует и приспосабливается порой гораздо быстрее человека.

Однако прогрессивные технологии позволяют относительно быстро находить средства борьбы с вирусной инфекцией и вакцины против их возникновения. Кстати, вакцинация населения является одним из наиболее эффективных способов предотвращения эпидемий вирусных инфекций. Хотя качество вакцин и безопасность для человека не может быть гарантирована, так как они не так давно изобретены. Часто возникают различные побочные эффекты, аллергии и другие реакции организма.

Некоторые вирусы требуют также хирургического вмешательства для устранения очага инфекции. В частности, представителей контагиозного моллюска или папилломатозные образования (ВПЧ) необходимо удалять хирургическим путём. После удаления проводят иммуномодулирующую терапию, которая направлена на восстановление защитных функций организма. Любой вирус опасен тем, что вызывает подавление иммунной системы, подвергая организм опасности заражения любыми заболеваниями. Особенно этим отличается ВИЧ. Поэтому с ним так сложно бороться и поддерживать жизнеспособность пациента.

Вирусы являются достаточно опасными формами жизни

В связи с возможностью передачи вируса даже по воздуху или через слизистые оболочки следует укреплять свое здоровье и избегать сомнительных контактов. Беспорядочные половые связи и тесное взаимодействие с больным человеком может привести к заражению. При этом человек может даже не знать о том, что имеет заболевание, и вести самый обычный образ жизни. Поэтому лучше всегда быть осторожными в общении, а также заботиться о себе и своих близких.

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

Ш общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

Ш профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

Ш специализированные программы для защиты от вирусов.

Ш Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

Ш копирование информации - создание копий файлов и системных областей дисков;

Ш разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan фирмы McAfeeAssociates и AidstestД.Н.Лозинского позволяют обнаруживать около 9000 вирусов, но всего их более двадцати тысяч! Некоторые программы-детекторы, например NortonAntiVirus (см. приложение 4 рис. 4.) или AVSP фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мнение невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

Некоторые детекторы (скажем ADinf фирмы "Диалог-Наука") умеют ловить "невидимые" вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится AVSP фирмы "Диалог-МГУ".

Программы-ревизорыимеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда.

Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы. Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах.

Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

Доктора-ревизоры

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е доктора-ревизоры программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.

Программы-фильтры

Существуют также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны

компьютер вирус антивирус