Защита от вирусов и вредоносных программ.
Вирусы – специально разработанные программы, которые самопроизвольно копируются («саморазмножаются»), включаясь в текст других файлов (программ) или занимая загрузочные (используемые при запуске) сектора дисков, т.е. «заражая» файлы и диски.
Название дано Ф. Когеном (США) по аналогии с биологическими объектами, которые паразитируют на клетках живых организмов, проникая в них и размножаясь за их счет путем перехвата управления системой наследственности. Само латинское слово «вирус» означает «яд».
Вирусы перехватывают управление при обращении к зараженым файлам и дискам, обеспечивая дальнейшее свое распространение. При этим они могут вызывать помехи – от появления посторонних надписей на экране, замедления работы компьютера и вплоть до полного стирания долговременной памяти с уничтожением всей информации и всех программ.
Аналогичные эффекты могут вызывать другие типы вредоносных программ, рассматриваемые наряду с вирусами (иногда их все вместе называют вирусами, но это не верно): (а)«троянские кони» («трояны») – программы, рекламируемые и распространяемые как выполняющие определенные полезные функции (игры, обслуживание диска) и т.п., но при запуске, причиняющие вред; (б)«часовые бомбы» – фрагменты программ, активизирующиеся для нанесения вреда в определенное время и дату; (в)репликаторы («черви», «сетевые черви») – программы, массово самокопирующиеся («расползающиеся») по сети, используя адресную книгу компьютера и захватывающие ресурсы отдельных компьютеров и сети.
В составе программы–вируса выделяют:
а)«голову» – начальный код, который перехватывает управление обращение к диску или зараженной вирусом программе–носителю;
б)«хвост» (иногда говорят «тело») – основную часть вируса, осуществляющую копирование и вредоносные действия.
По среде обитания вирусы подразделяют на:
а)Файловые – внедряются в файлы, чаще всего исполняемые файлы программ с расширение .com или .exe, но также и, в виде макросов, в документы MS OFFICE – макровирусы (документные), и в элементы управления Web страниц Интернет – скриптовые вирусы.
б)Загрузочные (бутовые) – внедряются в загрузочные (используемые при запуске диска) сектора дисков (Boot–сектора).
в)Файлово–загрузочные – внедряются и в файлы и в загрузочные сектора.
Иногда сетевые репликаторы (черви) тоже включают в понятие вирусов и классифицируют по среде обитания как сетевые вирусы.
По способу заражения вирусы подразделяют на:
а)Резидентные – после начала действия остаются в оперативной памяти до выключения компьютера и перехватывают команды операционной системы для заражения новых файлов и дисков (как правило, загрузочные вирусы являются резидентными).
а)Нерезидентные – активизируются только на ограниченное время, например, при вызове зараженной ими программы для файловых вирусов.
По степени опасности (вредного воздействия) вирусы подразделяют на:
а)Неопасные – вызывают только графические и звуковые эффекты, в крайнем случае, уменьшают объем свободной памяти и быстродействие.
б)Опасные – вызывают серьезные нарушения и сбои в работе.
в)Очень опасные – уничтожают программы, данные, вплоть до потери всей информации, включая системную, необходимую для работы компьютера.
Выделяют особые классы вирусов по характерным особенностям функционирования:
а)Самомаскирующиеся (вирусы-невидимки, стелс (Stealth) вирусы) – перехватывают попытки их обнаружить и выдают ложную, маскирующую их присутствие информацию. Например, при запросе длины файла сообщают старую длину до заражения вирусом.
б)Полиморфные (самомодифицирующиеся, вирусы–мутанты) – при копировании в новые заражаемые файлы меняют (шифруют) текст вируса, что затрудняет его обнаружение по наличию определенных фрагментов кода.
Программы–антивирусы подразделяют на:
а)Фильтры (сторожа, блокираторы) – обнаруживают и блокируют до разрешения пользователя действия, похожие на действия вирусов (запись в загрузочные сектора дисков, изменение характеристик файлов, коррекция файлов с расширениями com и exe и т.п.). При этом они могут слишком часто и «назойливо» обращаться к пользователю за разрешением.
б)Ревизоры – запоминают характеристики файлов и сообщают об их изменениях. Эти программы не могут обнаружить вирусы в новых файлах, поступающих на компьютер.
в)Сканеры (детекторы) – ищут вирус по определенным признакам. В частности, они выполняют функции программ–мониторов (мониторинг – отслеживание), проверяя файлы при их загрузке в оперативную память. Использование полифагов требует наличия и постоянного обновления антивирусных баз данных, содержащих признаки максимального количества известных вирусов.
в)Фаги (доктора) – пытаются «вылечить» файлы, удаляя вирусы из них. В случае невозможности – предлагают удалить зараженый файл.
Особенно важны полифаги – программы для поиска большого количества и вирусов различного типа и лечения от них. Они выполняют одновременно функции сканеров и фагов. Использование полифагов требует наличия и постоянного обновления антивирусных баз данных, содержащих признаки максимального количества известных вирусов.
Наиболее известные и распространенные полифаги: Антивирус Касперского, (Kaspersky AntiVirus, Kaspersky Internet Security), Symantec Norton AntiVirus, Doctor Web (Dr.Web).