Антивирусные программные средства

Вирус (вирусная программа) - это, как правило, небольшая по объему последовательность программных кодов, обладающая следующими свойствами:

1. Возможность создавать свои копии и внедрять их в другие программные объекты,

2. Обеспечение скрытости (латентность) до определенного момента ее существования и распространения.

3. Несанкционированность (со стороны пользователя) производимых ею действий.

4. Наличие отрицательных последствий от ее функционирования.

Приведенные признаки, строго говоря, не являются характеристическими, так как не все программы, обычно называемые вирусами, обладают всеми из перечисленных свойств. С другой стороны, другие программы, которые обладают одним или несколькими свойствами из этого списка, также могут не являться вирусами.

Любая обстоятельная дискуссия о компьютерных вирусах так или иначе затрагивает проблему причин их возникновения. Сразу оговоримся, что их обсуждение выходит за рамки настоящей книги. Поэтому ограничимся констатацией того факта, что реально существует целый комплекс причин существования и развития «индустрии» вирусов. Среди основных из них следует выделить:

§ причины технического характера (пробелы в защите ранних версий операционных систем, предназначенных для персональных компьютеров с ограниченными возможностями);

§ причины экономического характера (допустим, борьба с конкурентами);

§ причины социального и психологического характера (наличие «специалистов», обладающих профессиональной квалификацией для написания вирусов и по той или иной причине не находящих путей для конструктивной реализации своих способностей).

Классификация вирусов. В настоящее время описано большое количество вирусов, исчисляемых десятками тысяч. Но среди них можно насчитать не более 40-50 активных, которые имеют распространение. Вирусы можно классифицировать следующим образом:

§ загрузочные вирусы;

§ файловые вирусы:

§ макровирусы; •

§ сетевые вирусы.

Загрузочные вирусы. Загрузочные вирусы внедряются в так называемые загрузочные области носителей. Если зараженным окажется системный диск, с которого происходит загрузка системы, то управление получает не обычная программа загрузки, а замещающий его код вируса. При заражении вирус считывает необходимую информацию ^Виз первоначального загрузчика и сохраняет ее в своем коде.

Как правило, загрузочные вирусы являются резидентными, то есть при загрузке системы вирус устанавливается в память компьютера и находится там постоянно, перехватывает необходимые прерывания и производит все действия, на которые он запрограммирован.

Файловые вирусы. Файловые вирусы используют особенности файловой организации системы. Такие вирусы внедряются в выполняемые файлы, в библиотечные и объектные модули, загружаемые драйверы, файлы исходных текстов программ.

Файловые вирусы заражают файлы, внедряясь в начало, в конец или в середину файла. Такие файлы остаются работоспособными, так как код вируса дописывается к исходному коду.

Некоторые вирусы вместо исходного содержимого файла записывают свой код. Такие файлы уже не могут быть использованными по своему прямому назначению.

Файловые вирусы могут и не изменять содержимое заражаемых файлов. Иногда для своей активизации они используют свойства операционной системы, определяющие порядок запуска программ. Так, если в одном каталоге есть файлы с одинаковыми именами, то сначала запускается файл с расширением имени *.ВАТ, потом ^•*.СОМ и *.ЕХЕ. Соответственно, если заражаемый файл имеет расширение *.ЕХЕ, то вирусный файл с тем же именем, но расширением *.СОМ будет запускаться первым. В других случаях файл с вирусом для перехвата управления располагает себя в таком каталоге, который, согласно переменной среды PATH, находится «выше» каталога одноименного программного файла. Некоторые вирусы «присваивают» имя заражаемого файла, а тому дают новое (измененное) имя. Это, опять-таки, приводит к тому, что при запуске «зараженного» файла сначала отработает вирус.

Как правило, затем управление передается на оригинальный файл. Последнее делается для того, чтобы скрыть от пользователя факт работы вируса.

Среди файловых вирусов встречаются вирусы, которые не связаны ни с одним из файлов. Запуск таких вирусов осуществляется «по ошибке». Файлы таких вирусов имеют «интересные» с точки зрения пользователя имена: Instali.exe, Start.com и т.д. Такие вирусы называют червями (англ. вариант - worm).

Макровирусы. Макровирусы - это файловые вирусы, использующие особенности файлов документов популярных редакторов и электронных таблиц. В этих файлах размещаются программы на макроязыках, возможности которых позволяют создавать программы-вирусы.

Сетевые вирусы.Сетевые вирусы используют для своего распространения возможности компьютерных сетей. Наибольшее распространение сетевые вирусы получили в конце 80-х годов. Эти вирусы использовали ошибки в сетевых протоколах и программном обеспечении глобальных сетей. Сейчас эти ошибки исправлены и эти вирусы не имеют распространения.

В настоящее время сетевые вирусы распространяются, используя возможности электронной почты. В основном это макровирусы.

Особенности алгоритма работы вирусов. Вирусы, которые могут оставлять свои копии в оперативной памяти, называются резидентными. Такие вирусы остаются активными и после завершения работы программы (и даже после удаления файла вируса) вплоть до перезагрузки системы.

С целью скрыть до определенного момента свое существование некоторые вирусы используют разные методы. Стелс-вирусы перехватывают команду чтения зараженного участка и подставляют незараженный код. Полиморфик-вирусы шифруют свой код, чтобы затруднить свое обнаружение.

Способы защиты от вирусов. Одним из основных последствий деятельности вирусов является потеря или порча информации. Поэтому для обеспечения устойчивой и надежной работы необходимо (или, по крайней мере, желательно) всегда иметь чистые, незараженные эталонные) копии используемой информации и программного обеспечения.

При заражении вирусом нарушается целостность информации. Использование специальных утилит, которые позволяют отслеживать информацию о системных областях и файлах (контрольные суммы, размеры, даты создания и др.), позволяют относительно быстро обнаружить проникновение вирусов.

Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.

Среди популярных и эффективных антивирусных программных систем можно выделить:

§ антивирус Касперского - AntiViral Toolkit Pro (AVP);

§ McAfee VirusScan;

§ Panda Antivirus;

§ Trend Micro PC-Citlin;

§ F-Secure Anti-Virus;

§ Sophos Anti-Virus;

§ Norton AntiVirus.

K сожалению, не существует антивирусов, которые бы обеспечивали абсолютную защиту от вирусов. Это связано, прежде всего, с постоянным развитием отрасли написания вирусов, в ответ на которое создатели антивирусов, в свою очередь, стремятся как можно быстрее создать нужную вакцину. Поэтому необходимо воспользоваться антивирусами, версии которых постоянно обновляются.

При выборе антивирусного обеспечения следует принимать во внимание перечень и качество предоставляемых услуг:

§ возможность сканирования «на лету», когда любой объект, к которому осуществляется доступ, проверяется на наличие вируса;

§ возможность сканирования по запросу, когда время и область действия антивируса определяются пользователем;

§ возможность настройки антивируса в соответствии с потребностями пользователя.

Качество работы антивируса определяется его надежностью (отсутствие ошибок, зависаний и т.п.) и эффективностью (обезвреживание всех вирусов, особенно полиморфик-вирусов, отсутствие ложных срабатываний).