У подальшому, вірус перехоплює звернення ОС до дисків і, залежно від деяких умов, інфікує їх.
Віруси в структурі файлової системи — це найвитонченіші віруси, вони здатні вносити зміни в службові структури файлової системи таким чином, що вірус включається в файли, які призначені для виконання, явно не вкорінюючи в них свій код. Такі віруси використовують дуже незвичайну технологію розмноження. При цьому, усі записи в папках, що стосуються програм, модифікуються таким чином, що першим кластером програми стає кластер, який містить код вірусу. Отже, під час запуску будь-якої програми замість неї працює вірус. Першим вірусом, що використовував подібну технологію, був DIR-вірус.
Stealth-віруси — це такі, що намагаються приховати свою присутність у ПЕОМ. Це вдається тому що вони працюють разом з ОС та використовують усі її стандартні функції для свого маскування. Stealth-віруси мають резидентний модуль, який постійно знаходиться в оперативній пам’яті комп’ютера. Цей модуль встановлюється під час запуску зараженої програми або при завантаженні з диску, який заражено Boot-вірусом.
Маскування Stealth-вірусів спрацьовує тільки тоді, коли в ОЗУ ПЕОМ знаходиться резидентний модуль вірусу. Тому, якщо ПЕОМ завантажується з дискети, у вірусу немає ніяких шансів одержати управління, і тому Stealth-механізм не спрацьовує.
Щоб досягти ще меншої вразливості, використвується комбінований метод маскування. Віруси комбінують в собі властивості не тільки Stealth-, а й поліморфних вірусів.
MtE-віруси (поліморфні віруси), щоб утруднити виявлення, шифрують свій код. Кожен раз, коли вірус заражує нову програму, він зашифровує свій власний код, використовуючи новий ключ. У результаті два примірника таких вірусів можуть значно відрізнятись, навіть мати рузну довжину. Якщо запускається заражена програма і вірус одержує управління, він починає розшифровувати свій код.
Процедура розшифрування не може бути зашифрована, інакше вона не працюватиме, Цим користуються антивірусні програми, що використовують, як сігнатуру, код процедури розшифрування. Але зараз віруси, що самошифруються, стали доповнюватися генераторами дешифровки. Вони створюють для кожної нової копії вірусу свій унікальний розшифровщик. Два екземпляри такого вірусу не будуть мати жодного збігу послідовності коду.
CD-ROM-віруси. На цей час майже основним носієм інформації стають компакт-диски. На відміну від вінчестерів і дискет, через CD-ROM вірус розповсюджується лише тоді, коли файл було інфіковано і таким записано на компакт-диск. Якщо ви не довіряєте своєму компакт-диску, то можна скопіювати заражений файл на жорсткий диск і відразу вилікувати його за допомогою антивірусу.
Класифікація антивірусних програм.
Для захисту від різноманітних вірусів існує декілька видів антивірусів, що різняться за своїми функціями:
Детектори (сканери) перевіряють оперативну або зовнішню пам’ять на наявність вірусу за допомогою розрахованої контрольної суми або сігнатури і складають список ушкоджених програм. Якщо детектор — резидентний, то програма перевіряється і тільки в разі відсутності вірусів вона активується. Детекторами є, наприклад, програма MS AntiVirus.
Фаги (поліфаги) виявляють та знешкоджують вірус (фаг) або кілька вірусів. Сучасні версії поліфагів, як правило, можуть проводити евристичний аналіз файлу, досліджуючи його на наявність коду, характерного для вірусу (додання частини однієї програми в іншу,шифрування коду тощо). Фагами є, наприклад, програми Aidstest, DrWeb.
Ревізори — програми, що контролюють можливі засоби зараження комп’ютера, тобто вони можуть виявити вірус, невідомий програмі. Ці програми перевіряють стан BOOT-сектора, FAT-таблиці, атрибути файлів. При створенні будь-яких змін користувачеві видається повідомлення (навіть у разі відсутності вірусів, але наявності змін). Ревізором є, наприклад, програма Adinf.
Сторожі — резидентні програми, які постійно зберігаються у пам’яті комп’ютера й у визначений користувачем час перевіряють оперативну пам’ять комп’ютера, файли, BOOT-сектор, FAT-таблицю. Сторожем є, наприклад, програма AVP, що може виявити понад 47000 вірусів.
Вакцини — це програми, які використовуються для оброблення файлів та завантажувальних секторів з метою передчасного виявлення вірусів.
Засоби боротьби з вірусами.
Існує вислів: ніж швидко вилікуватись, краще не хворіти зовсім. Це відноситься і до комп’ютерних вірусів. Якщо вірус вже діє на комп’ютері, треба його, звичайно, знешкодити (видалити зовсім, вилікувати, або ж, перемістити в якусь окрему папку для подальшого лікування). З цією задачею дуже ефективно справляються антивіруси, що мають евристичний аналізатор та вміють лікувати файли. Навіть непотрібно, щоб вірус мав величезну базу даних (наприклад, в останніх версіях Kaspersky Antivirus розміри цієї бази становлять вже більше 47000 записів, а сумарний об’єм на диску сягає 50 кБ!). Отже, існуючі на комп’ютері віруси треба знаходити та знешкоджувати, але як бути з “потенційною загрозою”, звідки чекати небезпеки?
Віруси потрапляють на комп’ютер з Інтернету, через e-mail, p2p-мережі, з чужих дискет та CD-ROM (зрозуміло, також ±R, ±RW та ін.). У двох останніх випадках рекомендується запустити сканування носіїв та, у випадку, якщо будуть знайдені віруси, скопіювати ці файли на вінчестер та намагатися вилікувати їх. Для CD-ROM зі складною структурою (автозапуском, системою пошуку та ін.) має сенс створення віртуального його аналогу, що може бути вилікуваний.
Якщо ви хвилюєтесь про internet-, e-mail- та р2р-віруси, то, по словах Євгена Касперського, «найкраще усього <…> просто взяти велику сокиру та перерубати лінію вашого зв’язку з провайдером. Або ж, можна встановити брандмауер»[1]. Коротше кажучи, брандмауер — це спеціалізована програма, що фільтрує вхідний (а деякі — ще й вихідний) контент мережного обміну. В більшості випадків брандмауер — це комплексна програма, що включає до себе аналізатор усіх вхідних файлів і, у разі підозри на вірус, викликає антивірус (наприклад, так діє Kerio Personal Firewall); іноді останній (або його демо-версія), входить до складу брандмауеру (Norton Internet Security). Також, до його складу (у більшості випадків) входить аналізатор файлів, прикріплених до e-mail-листів (хоча, частіше всього, цей “аналізатор” просто перейменовує усі clip-файли, але зустрічаються і справжні антивіруси (наприклад, ZoneAlarm Email Watcher).
Що ж до р2р-протоколів і мереж (KaZaA, Gnutella…), то цей контент майже не контролюється, але віруси тут набули просто неймовірного поширення. Так, за дослідами журналу “Chip-Россия” у жовтні 2003 року, лише один з 37 скачаних за півгодини файлів був неінфікований (34 черв’яка, 2 троянця та 1 Windows-вірус)[2]. Більше того, як можна побачити в додатку, р2р-черв’як входить до десятки найшкідливіших мережевих програм.
Що можна порекомендувати для буденного захисту від вірусів? Ось три правила, які дозволять істотно зменшити кількість вірусів на вашому ПК та знизять вірогідність заражування:
Завантажити реферат