Расскажи друзьям!

Вирусы: классификация и способы защиты

Как ни удивительно, но некоторые до сих пор не знают, что вирус в контексте компьютерных технологий - это программа и вредить она может лишь программно, но ни в коем случае не аппаратно. Голливудские вариации на тему вирусов, убивающих и сводящих с ума пользователей при помощи вывода на экран смертельной цветовой гаммы не более чем страшное кино. Также стоит отметить, что вирус является программой, способной к размножению. Совсем не случайно не было упомянуто о наносимом ущербе - существуют вирусы, которые не занимаются ничем, кроме самораспространения.

Существуют следующие группы вирусов:

-файловые вирусы - заражают файлы. Эта группа в свою очередь подразделяется на вирусы, инфицирующие исполняемые файлы (сом-, ехе-вирусы); файлы данных (макровирусы); вирусы-спутники, использующие имена других программ; вирусы семейства Dir, использующие информацию о файловой структуре. Причем два последних типа вообще не модифицируют файлы на диске.

-загрузочные вирусы - инфицируют загрузочные секторы жестких дисков и дискет.

-загрузочно-файловые вирусы - поражают как код загрузочных секторов, так и код файлов.

Проблему создания совершенно нового алгоритма работы поставило перед разработчиками антивирусов появление полиморфных вирусов. Данные вирусы способны шифровать свое тело и поэтому не имеют неизменного набора символов, т. е. сигнатуры. В последнее время данный вид вирусов получил наибольшее распространение.

Вирусы можно разделить также на резидентные и нерезидентные. Резидентные, в отличие от нерезидентных, при получении управления загружаются в память и могут действовать не только во время работы зараженного файла.

Обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их или делая неработоспособными называются рeтровирусами. Поэтому практически все антивирусы в первую очередь проверяют свои собственные размер и контрольную сумму.

Stealth-вирусы фальсифицируют информацию, читаемую с диска, так, что активная программа получает неверные данные. Вирус перехватывает вектор прерывания int 13h и поставляет читающей программе ложную информацию, которая показывает, что на диске "все в порядке". Эта технология используется как в файловых, так и загрузочных вирусах.

Multipartition-вирусы могут поражать одновременно исполняемые файлы, boot-сектор, MBR, FAT и директории. Такие вирусы - одни из наиболее опасных, если они к тому же обладают полиморенными свойствами и элементами невидимости.

Также в классификации вирусов Dr.Solomon"s присутствуют "троянские программы" (Trojans), производящие вредоносные действия вместо объявленных легальных функций или наряду с ними. Эти вирусы не способны на самораспространение и передаются только при копировании пользователем.

Результатом порчи реального вируса либо просто плохого программирования со стороны вирусописателей является вышедший из строя вирус. Такой вирус практически ничего не делает - или "зависает" при выполнении, или оказывается не в состоянии заражать файлы. Возможен и обратный процесс - вирус выполняет непредусмотренные действия, ведущие к порче информации. Подобные явления свидетельствуют о том, что среди авторов вирусов нередко встречаются слабые программисты.

На сегодняшний день существуют тысячи вирусов. Но только в нескольких десятках из них реализованы оригинальные идеи, тогда как остальные - лишь "вариации на тему".

Средства защиты от вирусов подразделяются на следующие группы:

-детекторы (сканеры). В их функции постановка диагноза, тогда как лечением будет заниматься другая антивирусная программа или профессиональный "вирусолог".

-ревизоры. Тип антивирусов, контролирующий все известные на момент выпуска программы возможные способы заражения компьютера. Следовательно, можно обнаружить вирус, созданный уже после выхода программы-ревизора.

-фаги (полифаги). Данные программы способны обнаружить и уничтожить вирус (фаги) или несколько вирусов (полифаги). Современные версии полифагов, как правило, обладают возможностью проведения эвристического анализа файлов. Они исследуют файлы на предмет наличия кода, характерного для вируса (внедрения части этой программы в другую, шифрования кода и т. п.).

-сторожа. Постоянно находящиеся в памяти компьютера резидентные программы, контролирующие все операции. Не пользуются особой популярностью из-за большого количества ложных срабатываний, которые в отдельных случаях способны если не парализовать, то серьезно застопорить работу системы.

-вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами. В последнее время этот метод применяется все реже так как обрабатывать можно только на предмет конкретного вируса, причем некоторые антивирусы подобную вакцинацию могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле весьма невелико.

Стоит принять во внимание тот факт, что ни один из известных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и их желательно использовать в связке с другими пакетами. Выбор только одного, "лучшего", антивируса является крайне ошибочной поицией .

В заключение рассмотрим некоторые характеристики антивирусных пакетов.

Итак, первое, на что пользователи должны обращать внимание - это количество распознаваемых сигнатур (кодов) - последовательностей символов, однозначно определяющих вирус. Производители применяют разные системы подсчета сигнатур: если у одних различные версии или близкие по характеристикам версии вирусов считаются за одну сигнатуру, то другие подсчитывают все вариации. Лучшие из пакетов определяют более 10 тысяч вирусов. Тем не менее это несколько меньше общего числа существующих сегодня вредоносных программ. Вторым параметром является наличие эвристического анализатора неизвестных вирусов; его присутствие очень полезно, но стоит помнить, что оно существенно замедляет время работы программы.

Среди российских разработок наиболее известными являются комплект программ от "ДиалогНаука" и AntiViral Toolkit Pro by Eugene Kaspersky от НТЦ KAMI. Эти программы уже стали некоторым стандартом, и подавляющее большинство компьютеров в нашей стране укомплектовано именно их антивирусами. Хотя проблематичным будет угадать, какое количество из них находится на лицензии.

Литература:

1. “Компьютерное Обозрение” №108.—Киев: ООО “ITC”, 1997.