Защита от компьютерных вирусов
Компьютерный вирус - это специально написанная небольшая по
размерам программа, которая может "приписывать" себя к другим
программам (т.е. "заражать" их), а также выполнять различные
нежелательные действия на компьютере. Программа, внутри которой
находится вирус, называется "зараженной". Когда такая программа
начинает работу, то сначала, как правило, управление получает вирус.
Вирус находит и "заражает" другие программы или выполняет какие-нибудь
вредные функции: портит файлы или таблицу размещения файлов на диске,
"засоряет" оперативную память, изменяет адресацию обращений к внешним
устройствам и т.д. Более того, зараженные программы могут быть
перенесены на другой компьютер с помощью дискет или локальной сети.
В настоящее время известно более сорока тысяч вирусов. Условно
они подразделяются на классы по следующим признакам.
*По среде обитания*:
- сетевые, распространяющиеся по компьютерной сети;
- файловые, внедряющиеся в выполняемый файл;
- загрузочные, внедряющиеся в загрузочный сектор жесткого диска
или дискеты.
*По способу заражения*:
- резидентные, загружаемые в память ПК;
- нерезидентные, не заражающие память ПК и остающиеся активными
ограниченное время.
*По возможностям*:
- условно-безвредные, не влияющие на работу ПК;
- неопасные, влияние которых ограничивается уменьшением свободной
памяти на диске и графическими звуковыми и прочими эффектами;
- опасные, которые могут привести к серьезным сбоям в работе ПК;
- очень опасные, которые могут привести к потере программ,
уничтожению данных, стиранию информации в системных областях памяти и
даже преждевременному выходу из строя периферийных устройств.
Данная классификация объединяет, естественно, далеко не все
возможные вирусы; в каждой категории встречаются варианты, не
названные в силу их экзотичности, например, CMOS-вирусы, FLASH-вирусы
или вирусоподобные структуры, "обитающие" в среде Microsoft Word.
Кроме того, встречается ряд программ, не обладающих всеми свойствами
вирусов, но могущих представлять серьезную опасность ("троянские кони"
и т.п.)
Для защиты и борьбы с вирусами применяются специальные
антивирусные программы, которые можно разделить на несколько видов:
- *программы-детекторы* позволяют обнаружить файлы, зараженные
вирусом. Работа детектора основывается на поиске участка кода,
принадлежащего тому или иному известному вирусу. К сожалению,
детекторы не гарантируют обнаружения "свежих" вирусов, хотя в
некоторых из них для этого предусмотрены особые средства. Наиболее
известными детекторами являются DRWEB, Norton Antivirus, AVP.
- *программы-доктора* (или фаги) "лечат" зараженные программы или
диски, уничтожая тело вируса. При этом в ряде случаев ваша информация
может быть утеряна, так как некоторые вирусы настолько искажают среду
обитания, что ее исходное состояние не может быть восстановлено.
Широко известными программами-докторами являются AVP, DRWEB, Norton
Antivirus;
- *программы-ревизоры* сначала запоминают сведения о состоянии
программ и системных областей дисков, а в дальнейшем сравнивают их
состояние с исходным. При выявлении несоответствий выдают сообщение
пользователю. Работа этих программ основана на проверке целостности
(неизменности) файлов путем подсчета контрольной суммы и ее сравнения
с эталонной, вычисленной при первом запуске ревизора; возможно также
использование контрольных сумм, включаемых в состав программных файлов
изготовителями. Могут быть созданы, и встречаются, вирусы, не
изменяющие при заражении контрольную сумму, сосчитанную традиционным
образом - суммированием всех байтов файла, однако практически
невозможно замаскировать модификацию файла, если подсчет ведется по
произвольной, заранее неизвестной схеме (например, четные байты
дополнительно умножаются на 2), и совсем невероятно при использовании
двух (или более...) по-разному сосчитанных сумм К широко
распространенным программам-ревизорам относятся Adinf, AVP Inspector;
- *доктора-ревизоры* - это программы, объединяющие свойства
ревизоров и фагов, которые способны обнаружить изменения в файлах и
системных областях дисков и при необходимости, в случае патологических
изменений, могут автоматически вернуть файл в исходное состояние. К
широко распространенным докторам-ревизорам относятся Adinf, AVP
Inspector;
- *программы-фильтры* располагаются резидентно в оперативной
памяти компьютера, перехватывают те обращения к операционной системе,
которые могут использоваться вирусами для размножения и нанесения
вреда, и сообщают о них пользователю. Программы-фильтры контролируют
действия, характерные для поведения вируса, такие как:
- обновление программных файлов;
- запись на жесткий диск по физическому адресу (прямая запись);
- форматирование диска;
- резидентное размещение программ в оперативной памяти.
Выявив попытку совершения одного из этих действий,
программа-фильтр выдает описание ситуации и требует от пользователя
подтверждение. Пользователь может разрешить операцию, если ее
производит "полезная" программа, или отменить, если источник данного
действия неясен. К широко распространенным программам-фильтрам
относятся Spider, AVP, Norton Antivirus. Это достаточно надежный метод
защиты, но создающий существенные неудобства для пользователя.
Некоторые антивирусные функции встроены в современные версии
BIOS.
Выпускаемые антивирусные программные продукты, а их очень много,
как правило, объединяют основные функции детектора-доктора-ревизора.
Следует отметить, что антивирусные программы постоянно обновляются, не
реже одного раза в месяц, и способны защитить компьютеры от вирусов,
известных программе на данный момент.
Прежде всего, необходимо подчеркнуть, что защитить компьютер от
вирусов может только сам пользователь. Только правильное и
своевременное применение антивирусных средств может гарантировать его
от заражения или обеспечить минимальный ущерб, если заражение все-таки
произошло. Необходимо правильно организовывать работу на ПК и избегать
бесконтрольной переписи программ с других компьютеров, в первую
очередь это касается развлекательных программ и компьютерных игр.