Методи знаходження та видалення комп'ютерних вірусів

Зміст

• Поняття про комп'ютерні віруси. Їх класифікація
• Огляд антивірусних засобів
• Програми-детектори i Лікарі (сканери)
• Програми-вакцини
• Програми-ревізори та лікарі-ревізори
• Програми-фільтри
• Програми поліфаги
• Огляд антивірусних програм
• Dilague Science Doctor Web (Dr. WEB)
• Antiviral toolkit pro by Eugene Kaspersky (AVP)
• Adinf
• Alwil AVAST!
• Sophos Anti-Virus (Sophos SWEEP)
• eSafe Desktop
• The Nicks Ghost Buster
• Інструктаж з ПК
• Висновок
• Список використаної літератури

Вступ

Перші комп'ютерні віруси з'явились на початку 80-х років. Поняття «комп'ютерний вірус» вперше ввів відомий англійський програміст Фред Коуен. Цей термін прозвучав у вересні 1984 році на конференції з безпеки інформації, яка проходила в США.

Перші, офіційно зареєстровані, комп'ютерні віруси з'явились в 1986, а перша епідемія, що охопила декілька тисяч комп'ютерів, зареєстрована в 1988 році.

Кількість комп'ютерних вірусів збільшується з кожним роком. В 1990 році було відомо близько 500 вірусів, на кінець 2001 - близько 60000. На цьому розвиток вірусів не зупиняється.

Антивірусні програми - це спеціалізовані програми для захисту від вірусів.

Засоби боротьби з комп'ютерними вірусами

Ш Регулярно робити резервні копії важливих файлів та системних областей диска;

Ш Для діагностування чи лікування комп'ютера, використовувати тільки відомі програми. Необхідно дбати про те, щоб використовувались тільки нові версії програм;

Ш Завжди перевіряти зовнішні носії інформації на наявність комп'ютерних вірусів, перш ніж завантажувати файл, що розміщуються на них.

Поняття про комп'ютерні віруси. Їх класифікація

Комп'ютерний вірус - це спеціально створена програма або сукупність машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК певні деструктивні дії.

Ситуація з вірусами суттєво змінилася кілька років тому. Якщо до того часу кожен турбувався про безпеку власного комп'ютера і власних даних, то із збільшенням кількості машин, з появою корпоративних мереж, із поширенням Internet проблема набула нових характеристик.

Програмa всередині якої знаходиться вірус, називається зараженою. Коли така програма починає роботу, то спочатку отримує управління вірус. Biн знаходить і заражає інші програми, а також виконує певні шкідливі дії (наприклад, псує файли або таблицю розміщення файлів на диску, засмічує оперативну пам'ять і т.д.) після того, як вірус виконує ці дії, він передає управління тій програмі, в якій він знаходиться, і вона працює так, як звичайно. Тим самим зовнішня робота зараженої програми виглядає так, як і незараженої.

Однак через деякий час починають відбуватися нетипові дії, наприклад:

деякі програми припиняють роботу, або починають працювати неправильно;

на екран виводяться сторонні повідомлення або символи і т.д.

робота на комп'ютері суттєво сповільнюється;

деякі файли виявляються зіпсутими.

Комп'ютерний вірус може зіпсувати будь-який файл, але тільки деякі види файлів вірус може заразити. Це означає, що вірус може "вкорінитися" в ці файли, тобто змінити їх так, що вони містимуть вірус, який за певних обставинах може почати свою роботу. Слід відмітити, що тексти програм та текстових документів, інформаційні файли баз даних не можуть бути заражені вірусом, він може їx тільки зіпсувати.

Види файлів, які можуть бути заражені вірусом:

виконуючі файли, тобто файли з розширеним ім'ям COM і EXE, а також оверлейні файли, завантажені іншими програмами. Вірус в заражених виконуючих файлах починає свою роботу при завантаженні тієї програми, в якій він знаходиться;

файли документів та шаблонів, створених програмами Word, Excel, Access та іншими офісними програмами, а точніше макроси, що використовуються там. Цей тип вірусів порівняно молодий і називають його макровірусами. Деякі з вірусів цього типу є надзвичайно шкідливими. Наприклад вірус W97M.Thus при активізації 13 грудня здатний знищити всі файли на диску С, зберігаючи при цьому структуру каталогів (папок).

блок початкового завантаження операційної системи і головний завантажувальний запис жорсткого диску. Вірус, який заразив ці ділянки, як правило, складається з 2-хчастин, оскільки на цих ділянках диску, важко розмістити програму вірусу в цілому. Частина вірусу, що не поміщається в них, розташована на інших ділянках диску, який оголошується дефектним. Такий вірус починає свою роботу при початковому завантаженні операційної системи і є резидентним, тобто постійно знаходиться в пам'яті комп'ютера. Відомі випадки, коли вірус форматує додаткову доріжку диску, куди і записує основну частину програми;

таблиці файлової системи та каталоги. Як відомо, в кожен каталог записується імена файлів, дата та час створення, номер першого кластера файлу, а також резервні байти, що ОС не використовується. Віруси цього типу, записавшись в кластери, помічають їх як пошкоджені, а тоді реорганізовують файлову систему. При цьому інформація про перші кластери деяких виконуючих файлів записується у резервні біти, а на її місце поміщається посилання на тіло віруса. Тому, при спробі користувача завантажити відповідну програму - вірус отримує керівництво. Цей тип вірусів, з'явившись в 1991 році, викликав в Росії справжню епідемію, яку можна порівняти із чумою.

Драйвери пристроїв, тобто файли, які здійснюють програмне керування зовнішнім пристроєм. Bipyc, який знаходиться в цих файлах, починає свою роботу при кожному звертанні до відповідного пристрою;

Системні файли, тобто файли IO. SYS I MSDOS. SYS. Це досить небезпечно, оскільки вони, як і у випадку зараження блоків початкового завантаження дисків, починають діяти при кожному завантаженні ПК.

На сьогодні відомі десятки тисяч вірусів, які в цьому мають конкретну класифікацію. Спробуємо детальніше розглянути основні групи, на які поділяються комп'ютерні віруси.

1. Поділ вірусів за середовищем їх розповсюдження:

· Завантажувальні віруси - це найбільш небезпечна група вірусів, що заражають Boot Record та Master Boot Record логічних та фізичних дисків.

· Файлові віруси. Ці віруси поширюються, заражаючи файли різних типів, найчастіше це виконуючі файли та файли оверлеїв. До цієї групи слід також віднести макровіруси, хоч інколи їх виділяють як окремий клас вірусів.

· Завантажувально-файлові віруси здатні вразити як код завантажувальних секторів, так і код файлів, як правило системних.

· Віруси сімейства Dir використовують інформацію про файлову структуру та вміст каталогів.

· Multipartition - віруси можуть вражати одночасно виконуючі файли, boot-сектор, MBR, FAT і каталоги і є найбільш небезпечними, особливо, якщо вони ще й володіють пoлiaмopфними властивостями і елементами невидимості.

· Мережеві віруси - це віруси, що поширюються як сукупність машинного коду в комп'ютерних мережах.

· Поштові віруси - надзвичайно поширена група вірусів, що розповсюджуються разом із поштовими повідомленнями у вигляді прикріплених до них фaйлiв (Attachment) із програмним кодом. Як правило, такі віруси досить швидко розмножуються i час від часу викликають вірусні епідемії (згадати, хоча б, такі резонансні в останні роки віруси як "I Love You" (LoveLetter), Melissaабо "Anna Kournicova").

2. Класифікація комп'ютерних вірусів за алгоритмом роботи:

· Віруси "паразити" найпростіші віруси що використовують "тіло" (інших файлів (виконуючих), записуючи туди себе. Вони можуть бути досить легко виявлені i знешкодженні.

· Віруси супутники створюють копію ехе-файлу з розширенням com i записують туди себе.

· Віруси "черв'яки" (віруси-реплікатори) не створюють coбі файлу, а поширюються лише в комп'ютерних мережах та в оперативній пам'яті у вигляді певного машинного коду. Вони ніби черв'яки проникають в оперативну пам'ять ПК через комп'ютерну мережу, пронизуючи системи захисту. Найбільш грізними представниками цього типу вірусів є Nimda (неодноразовий переможець рейтингів найнебезпечніших вірусів), Gigger та Redesi (здатні відформатувати диск С:), Bumerang (здатний знищити FlashBIOS та таблиці файлової системи вінчестера).

· Студентські віруси - це віруси, які мають в собі багато помилок i написані, як правило, початківцями.

· Віруси "невидимки" (Stealth - віруси) фальсифікують інформацію, перехоплюючи звертання антивірусної програми, до заражених ділянок диску i направляючи її на незаражені. Bipyc перехоплює вектор переривання int 13h. Ця технологія використовується, як у файлових, так i в завантажувальних вipycax.

· Віруси "мутанти" ("привиди") або поліаморфні (polimorphic) - не мають постійної сигнатури (машинного коду), за якою можна було б виявити вipyc. Вони міняють сигнатуру з кожною копією i тому з ними важко боротись. Виявляють такі віруси лише за допомогою еврістичного аналізу, коли антивірусна програма "прокручує" алгоритм роботи виконуючих файлів i в разі підозрілих операцій приймає це за вipyc. Таким же чином антивірусні програми шукають невідомі ще їм віруси.

· Ретртовіруси - це звичайні файлові віруси, які прагнуть заразити антивірусні програми, знищуючи їх або роблячи непрацездатними. Тому практично всі антивірусні в першу чергу перевіряють свої власні розміри і контрольну суму.

· "Троянські" віруси(Trojans) здійснюють шкідливі дії замість оголошених легальних функцій або разом з ними. Вони переважно не здатні на само розповсюдження і передаються тільки при копіюванні користувачем. Часто ці віруси використовують в якості "шпигунів". Проникаючи по мережі на ПК, вони стараються "затаїтись" i "вкрасти" паролі користувача (особливо виходу в Internet) i передати їх господарю. Деякі троянські віруси готують грунт на зараженому ними ПК для проникнення без перешкод інших вірусів, що слідують за ними. Боротись з такими вірусами (особливо новими) досить важко, адже в їх коді немає ніякої деструктивної дії (не міняється розмір інших файлів, не форматуються диски), а навпаки вони стараються ніяк себе не проявити. Для боротьби з такими вірусами використовуються спеціальні програми FireWoll (файрволл) - мережеві екрани, які під час підключення до мережі слідкують чи не пробує якась програма на ПК вийти в Internet.

· Віруси таймери очікують лише певного часу (певної години, дня i т.д.), і лише тоді спрацьовують.

3. Поділ вірусів за деструктивною дією:

· Нешкідливі віруси - це віруси, які не приносять жодної шкоди, а просто себе копіюють багато разів, заповнюючи диски, або загромаджуючи оперативну пам'ять.

· Не небезпечні віруси схожі до попередніх, але крім цього їх дія супроводжується різними спецефектами (відео та звуковими).

· Небезпечні віруси - це віруси дія яких призводить до серйозних збоїв в роботі ПК, таких як зависания комп'ютера i т.д.

· Дуже небезпечні віруси - це віруси, дія яких супроводжується знищенням інформації (файлів, каталогів, форматування цілих дисків). В січні 1998 року, завдяки журналу "Virus Bulletin", з'явився термін WildList (список "диких вірусів"). Це список найбільш небезпечних вірусів, що несуть реальну загрозу комп'ютерній системі.

4. Класифікація вірусів за принципом дії:

· Резидентні - це віруси, що завантажуються в оперативну пам'ять і постійно там знаходяться, аж до виключення живлення чи перезавантаження ПК.

· Нерезидентні - це віруси, які короткочасно завантажуються в пам'ять, виконують потрібні їм дії і вивантажуються з пам'яті.

5. Поділ вірусів за місцем втілення у файли:

· На початку файлу.

· Всередині файлу.

· В кінці файлу.

Огляд антивірусних засобів

На сьогодні відомо багато інших практичних заходів, для зведення до мінімуму ймовірності зараження ПК комп'ютерним вірусом. Ось основні методи захисту від комп'ютерних вірусів:

- Загальні засоби захисту інформації, які дають також i як страховка від фізичного пошкодження магнітних дисків неправильно працюючих програм, або помилкових дій користувачів.

Профілактичні заходи, які дозволяють зменшити ймовірність зараження вірусом.

спеціалізовані програми для захисту від вірусів.

Існують два основні різновиди загальних засобів захисту.

Копіювання інформації - створення копій файлів i системних ділянок дисків.

Розмежування доступу перестерігає несанкціоноване користування інформацією, зокрема захист від зміни програм i даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.

До профілактичних заходів відносять загальні правила використання дискет та загальні правила роботи в комп'ютерних мережах. Перш за все необхідно користуватись ліцензійними дисками. Хоча в історії відомо багато випадків коли й з ліцензійними програмами потрапляли віруси.

Не дивлячись на те, що загальні засоби захисту іформаії та основні правила профілактики дуже важливі для захисту від вipyciв, все ж тільки їх недостатньо. Необхідно також застосовувати спеціалізовані програми для захисту від вipyciв. Цi програми можна поділити на декілька видів.

детектори - дозволяють знайти файли, заражені яким-небудь одним, наперед відомим нам вірусом, або одним з багатьох відомих вірусів;

вакцини (іммунізатори) - модифікують (інфікують) програми i диски таким чином, що це не відображається на роботі програм. Після цього вipyc, від якого виконується вакцинація, вважає ці програми або диски вже інфікованими i повторно їх не заражає;

лікарі (фаги) - лікують заражені програми або диски "викусюючи" із заражених програм тіло вipyca, тобто відновлюючи програму в тому стані, в якому вона була до зараження вipycoм;

ревізори - спочатку запам'ятовують стан інформації (розмір, дату i час створення) i системних ділянок дисків, а потім порівнюють його з поточним. При виявленні невідповідностей про це повідомляється користувачу;

лікарі-ревізори - це гібриди peвiзopiв i лікарів, тобто програми, які не тільки помічають зміни в файлах i системних ділянках дисків, але й можуть у випадку виявлення змін вилікувати заражені файли;

фільтри (монітори) - резидентні програми для захисту від вірусів, які поміщаються резидентно в оперативній пам'яті комп'ютера i перехоплюють звернення вipyciв до системних ділянках i файлів. Користувач може дозволити або заборонити виконання відповідних операцій;

поліфаги - це найбільш ефективніша група програм, що поєднують в собі декілька вище приведених типів антивірусів, наприклад, фільтрів, детекторів та лікарів.

Програми-детектори i Лікарі (сканери)

У більшості випадків для виявлення вipycy, який вже заразив комп'ютер, можна використати програми-детектори (сканери). Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного вipyca комбінація байтів. При її виявленні в якому-небудь файлі на екран виводиться відповідне повідомлення. Багато детекторів мають режим знищення заражених файлів. Знаючи про те, які види файлів заражає даний вipyc, можна обмежити перевірку тільки файлами цих типів.

Слід підкреслити, що дії, які потрібно зробити для виявлення вipyca, індивідуальні для кожної версії вipyca. Деякі програми-детектори дозволяють виявити тільки одну версію вipyca, інші - декілька версій. Головний недолік програм-детекторів полягає в тому, що вони можуть виявити тільки деякі заздалегідь відомі версії вipyciв. Причому більшість детекторів визначають лише один тип вipyciв. Наприклад, програма STOP! створена українськими програмістами Андрієм Каріновим та Сергієм Боднею призначені для виявлення лише троянських вipyciв та VBS-вipyciв (написаних на Visual Basic Script). Деякі програми крім функції "детектора", мають також i функцію "лікаря", тобто вони намагаються знищити в заражених файлах віруси i повернути їх в нормальний стан. Bci файли, які не вдалось відновити, як правило, стають непрацездатними або знищуються.

Головний недолік "лікарів" - їх вузька спеціалізація.

Програми-вакцини

Програми-вакцини, або іммунізатори спеціально модифікують та заражають програми i диски таким чином, щоб це не відображалось на роботі програм та ПК в загальному. Bipyc, проти якого виробляється вакцинація, вважає ці програми або диски вже зараженими i тому не заражає їх. Адже багато вipyciв перед тим як заражати файл перевіряють, чи в ньому вже немає копії вipyca i заражають лише hobi файли.

Віруси, як правило, шукають у файлах свій специфічний код (сигнатуру). Тому, вакцини для захисту від цього вipyca, дописують в кінець всіх виконавчих файлів цю комбінацію байтів. Це, швидше за все, не матиме ніякого впливу на виконання програм, a вipyc тим самим буде обманутий, так як буде вважати програми вже зараженими.

Програми-ревізори та лікарі-ревізори

Програми-ревізори (програми для ранньої діагностики вipyca) мають дві стадії роботи.

1 стадія. Спочатку вони запам'ятовують повідомлення про стан програм i системних ділянок дисків (завантажувального сектора i сектора з таблицею розбиття жорсткого диску) та розмірів i час останньої модифікації всіх файлів на диску. Передбачається, що в цей момент програми i системні ділянки дисків не заражені. Bci ці дані записуються у спеціальні таблиці, а вони - у невидимі захищені файли на цих дисках.

2 стадія. Перевірка системних ділянок та розмірів файлів при наступному завантаженні ревізора, та порівняння їх з копіями в таблицях. При виявленні невідповідностей про це повідомляється користувачеві.

Програми-фільтри