Середовище незаселеного вірусів

Як в реальному житті різні біологічні віруси вражають різні органи живого організму, так і комп'ютерні віруси різних типів призначені для пошкодження абсолютно шкода єлейних об'єктів файлової системи.

Файлові віруси. Цей тип вірусів вражає здійснимі файли, імплантуючи в них небезпечний код. Зараження відбувається в той момент, коли файл знаходиться в оперативній пам'яті, тобто у момент виконання. За часів MS DOS до здійснимих (чи програмних) файлів відносилися файли з розширеннями.СОМ і.ЕХЕ. Сьогодні на комп'ютерах, працюючих під управлінням Windows, програмний код міститься і у файлах типів.SYS,.BIN, в динамічних бібліотеках (.DLL), у файлах драйверів (.DRV,.VXD) а також деяких інших. Тому при пошуку вірусів в наші дні список файлів, що відносяться до «програмних», значно розширений.

Завантажувальні віруси (Boot-віруси). Такі віруси розташовуються в службових секторах носіїв даних і поступають в оперативну пам'ять тільки при завантаженні комп'ютера з цього носія. Наприклад, завантажувальний вірус може знаходитися завантажувальному запису (Boot Record) гнучкого диска, але якщо ніколи не завантажуєте операційну систему з цього диска вірус ніколи не перейде на жорсткий диск. Саме тому при настроюванні послідовності запуску комп'ютера BIOS слідує для захисту від Boot-вірусів встановити завантаження тільки з жорсткого диска і лише при проведенні ремонтно-відновних робіт підключати завантаження дисковода гнучких дисків (А:) або з дисковода компакт-диска (CD-ROM), зрозуміло, при цьому вставляти в ці дисководи можна тільки перевірені носії.

Мережні віруси. Ці віруси мешкають тільки в оперативній пам’яті комп'ютерів і не копіюють себе на носіїв даних. На автономному комп'ютері такі віруси існувати не можуть, оскільки при вимкненні живлення неодмінно загинуть. Комп'ютери великих мереж не вимикаються, а якщо якийсь один комп'ютер і вимкнеться, то цей період вірус перечекає на інших комп'ютерах. Ця порода вірусів для індивідуальних користувачів не страшна і ми її розглядати не будемо.

 

Макровіруси. Це єдина (поки що) порода вірусів, здатна мешкати у файлах документів. Частіше всього вони вражають документи, підготовлені в текстовому процесорі Microsoft Word, що пов'язано з величезною поширеністю даної програми, хоча в загальному випадку вони можуть вражати документипідготовлені і в інших додатках, якщо ці додатки мають свою мову макрокоманд і дозволяють вбудовувати макрокоманди в документ. Для захисту від цього типу вірусів достатньо в додатку відключити можливість виконання макрокоманд при перегляді документів, що вчинили ззовні. Для документів, що готуються самостійно («від нуля») макрокоманди можна підключити знов. Слід мати на увазі що якщо документ готується на основі шаблона, то це вже не значить «від нуля». Шаблон, навіть порожній — точно такий жн документ і він теж може бути заражений макровірусом. Тому необхідно відразу набудувати текстовий процесор так, щоб ніхто, окрім Вас самих не міг перезаписувати Ваші шаблони.

Руйнуюча дія вірусів

Для людини біологічні віруси представляють різну небезпеку — від одних ми чхаємо і кашляємо, інші — смертельні. Аналогічна ситуація і в світі комп'ютерів. Одні віруси практично нешкідливі, інші здатні повністю знищити інформацію на жорстких дисках.

«Нешкідливі» віруси. Безліч вірусів не представляють прямої небезпеки (їхній механізм спрацьовування не припускає небезпечних дій) і займаються тільки розмноженням. Ціль їх творців — витівка, бажання самостверджуватися, не беручи гріх на душу і, звичайно, проба сил. Ми беремо слово «нешкідливість» в лапки, тому що насправді шкода від них не таке мала, як здається. По-перше, вони перенавантажують ресурси комп'ютерних систем і здатні помітно знижувати їхню продуктивність, а по-друге, виявлення такого вірусу на комп'ютерах підприємства або організації різко упускає престиж цього підприємства в очах клієнтів і партнерів. Збитки від цього цілком реальні — їх можна зміряти як в умовних, так і в безумовних одиницях.

Малонебезпечні віруси. Віруси цієї категорії у момент активізації не виробляють руйнівних дій, але турбують користувачів несподіваними повідомленнями, екранними і звуковими ефектами. Шкідливість приблизно та ж, що і в «нешкідливих» вірусів, розглянутих вище. Позитивна властивість: вони попереджають власника комп'ютерної системи про те, що в його системі безпеки не все гаразд і можливо вони врятують його від великих неприємностей.

Руйнівні віруси. Під час вірусної атаки, віруси цієї породи завдають реальної поразки даним, що є на комп'ютері. Якщо стирати дані по-справжньому, то на це йде не менше часу, ніж на їхній запис. Віруси не можуть опрацьовувати жорсткий диск жертви годинами так, щоб ніхто його не помітив. Тому вони звичайно знищують тільки службові області — операція займає частки секунди, а знайти на цьому диску потрібну інформацію рядовий користувач вже не зможе. Відновлення диска зажадає спеціальні знання і спеціальні засоби (див. розділ «Відновлення жорсткого диска за допомогою програми Rescue» присвяченого Norton Utilities 2000).

Сучасні різновиди вірусів-руйнівників здатні пошкодити не тільки дані на жорсткому диску. Вони вмудряються добратися до даних, що зберігаються в мікросхемі CMOS-памяті, а в тих випадках, коли на комп'ютері використана перезаписувана мікросхема ПЗП (флэш-память),то і до неї. Відновлення мікросхеми ПЗП часто доводиться виробляти шляхом її заміни і це дещо підриває класичну аксіому про те, що віруси не в змозі ушкоджувати устаткування. Але якщо цю мікросхему перепрограмувати, не замінюючи, старий принцип поки що залишається в силі. Радикальний метод захисту полягає у фізичному відключенні можливості перезапису ПЗП за допомогою перемичок материнської платні. В деяких моделях портативних комп'ютерів такої можливості може і не бути — в них BIOS уявлений файлами на жорсткому диску. Тоді потрібно, принаймі, відключити можливість перезапису ПЗП програмним шляхом при настройці BIOS, в деяких найбільш простих випадках це вбереже від зараження

Механізми спрацьовування вірусів

Бомби сповільненої дії. Цей різновид вірусів-руйнівників відрізняється тим, що не має фази розмноження. Імплантований тим або іншим способом єдиний екземпляр вірусу пасивно «дрімає» в очікуванні моменту спрацьовування. З одного боку, «відловлювати» такі віруси важко, оскільки вони ніяк себе не виявляють. З другого боку, їх не менше важко і поширювати, оскільки будь-яке спрацьовування екземпляра такого вірусу стає для нього останнім. Вірусам цієї породи прогнозується важлива роль у міждержавних і міжкорпоративних інформаційних війнах XXI століття.

«Троянські коні». Троянські коні не призначені для руйнування. Їхня задача — агентська. Наприклад, такий агент може фіксувати натиснення клавіш у момент введення парольних або реєстраційних даних і записувати їх в невидимий файл. Отримавши доступ до інфікованого комп'ютера, зловмисник може легко скопіювати конфіденційні дані і понести їх з собою. У зв'язку з розвитком Інтернету останнім часом розповсюдилися «Троя», що виконують функції мережного серверу. Під час роботи в Інтернеті цей невидимий сервер займається поставкою в мережу інформацію від нас без нашого відома. Що він передає і кому — це залежить від властивостей конкретної «Трої». Звичайно він передає парольну інформацію тим, хто здатний його «почути». Зловмисники за допомогою спеціальних скануючих програм перебирають ІР-адреса Інтернету у пошуках потенційної жертви. Розшукавши такий працюючий «сервер», вони дістають з його допомогою доступ до комп'ютера жертви, як до свого власного.

 

Пакет Antiviral Toolkit Pro (AVP)

Загальні відомості

 

Пакет Antiviral Toolkit Pro (AVP) створений в Росії (автор — відомий «вірусолог» Євгеній Касперській) і тому має російськомовний інтерфейс. Але тих, хто внаслідок незнання англійської мови зупинить на ньому свій вибір, слід застерегти. Навряд чи робота з цим пакетом здасться простіше, ніж з розглянутими вище пакетами. Річ у тому, що зарубіжні аналоги в цілому розраховані на менш «підкованих» користувачів і тому в них все зроблене для максимального спрощення роботи. Це досягається, зокрема, скороченням функціональних можливостей.

 

Пакет AVP розрахований на «наших» користувачів, яким неодмінно хочеться докопатися до суті пристрою файлової системи і якомога більше дізнатися про віруси. Ці відомості широко освітлюються в довідковій системі AVP. Загалом, якщо Ви добре розумієте, що робите, то можете розраховувати на високу ефективність роботи з цією програмою. Навпаки, якщо відбувається незрозуміла Вам суть, Ви не отримаєте нічого, окрім додаткових клопотів.

Антивірусна база даних AVP на момент написання цих рядків налічує близько 30 тис. вірусів. Це набагато менше, ніж в пакеті Norton AntiVirus 2000, проте особливість AVP полягає в тому, що завдяки багаторічному вивченню «звичок» реальних вірусів в ЗАТ «Лабораторія Касперського» розроблено багато оригінальних алгоритмів і методів перевірки. З їхньою допомогою вдається розпізнавати не тільки існуючі, але і невідомі віруси, а також виявляти будь-які підозрілі об'єкти, що використовують «вірусоподібні» дії. Більше того, оригінальні методи лікування дозволяють надійно позбавлятися навіть від невідомих вірусів. Є спеціальні засоби для розпізнавання стелс-вірусів (вірусів-невидимок), а також поліморфних вірусів-примар. Завдяки цим можливостям пакет AntiViral Toolkit Pro неодноразово займав перші місця в незалежних міжнародних тестах антивірусних програм.

В цілому ж можна сказати, що застосування пакету найбільш доцільне в умовах підвищеної небезпеки зараження вірусами, тобто на комп'ютерах загального користування, працюючих в мережному оточенні або при підвищених вимогах безпеки, наприклад для банківських комп'ютерів, файлових серверів і т. д.

Антивірусний пакет AntiViral Toolkit Pro складається з декількох компонентів. Їхній перелік може поповнюватися новими розробками.

AVP Сканер. Незалежні компоненти для Windows і DOS, призначені для антивірусної перевірки (сканування) дисків комп'ютера.

AVP Монітор. Модуль фонового сканування, призначений для постійного антивірусного моніторингу з метою запобігання проникнення вірусів на комп'ютер.

AVP Центр Управління. Інтегруюча оболонка, призначена для організації установки і оновлення компонентів пакету та для автоматичного запуску задач по розкладу і контролю результатів.

AVP Автоматичне Оновлення. Компонент призначений для регулярного оновлення антивірусної бази даних через Інтернет.

AVP Inspector. Програма-ревізор, що стежить за змінами вмісту і файлів, і тек фіксуючи зміни, характерні для поведінки вірусів.

 

AVP Сканер

Після завантаження, в рядку стану відображається дата останнього оновлення антивірусної бази даних і число розпізнаваних вірусів, Якщо термін дії антивірусної бази закінчився, видається попередження. Проте для зручності роботи передбачена можливість перегляду терміну дії. Для цього треба дати команду: Сервіс > Настройки і у вікні, що відкрилося, зняти прапорець Перевіряти оновлення баз. Можна також в текстовому полі Інтервал (днів) замість 14 днів ввести інше значення.

Головне вікно AVP Сканера є панеллю з п'ятьма вкладками На вкладці Область (див. мал. 8.19) подвійним клацанням виділяють диски, що підлягають перевірці. Для спрощення виділення можна скористатися прапорцями Локальні диски, Мережні диски і Флоппі дисководи. На малюнку в списку дисків для прикладу уявлена конкретна тека З:\ WINDOWS — вона додана клацанням на кнопці Додати теку.

Вибравши диск, можна відразу ж приступити до його перевірки клацанням на кнопці Пуск. По ходу перевірки в нижній частині вікна виводиться звіт (за умовчанням документуються тільки імена заражених об'єктів). Якщо зустрінеться інфікований файл, відкривається вікно Заражений об'єкт, в якому можна вирішити долю цього файла. Після закінчення сканування відбувається перемикання на вкладку Статистика, на якій відображаються результати перевірки.

Повернемося до призначення інших вкладок головного вікна AVP Сканера. На вкладці Об'єкти визначають, що ж саме повинне перевірятися. Прапорцями задають наступні об'єкти:

- Пам'ять;

- Сектори (маються на увазі системні сектори диска);

- Файли;

- Упаковані об'єкти (наприклад здійснимі ЕХЕ-файли, упаковані утілітами PKLITE, LZEXE і т. д.);

- Архіви (файли.ZIP,.ARJ,.RAR і т. д.);

- Поштові бази даних;

- Поштові текстові формати.

Перемикачами групи Тип файлів задають типи об'єктів, що перевіряються:

- Програми по формату (файли, що мають внутрішній формат файлів, що запускаються,.СОМ,.ЕХЕ і.SYS,.VXD,.DLL);

- Програми по розширенню (файли, що мають розширення
.ВАТ,.COM,.EXE,.OV*,.SYS,.BIN, PRG);

- Всі файли;

- По масці (маску вводять в текстове поле).

Можна також виключити з сканування певні типи файлів, встановивши прапорець Виключення по масці і задавши необхідну маску в текстовому полі.

На вкладці Дії задають реакцію програми на виявлення заражених файлів, Цікаво, що окрім конкретних дій по видаленню заражених файлів або лікуванню від відомих вірусів, передбачено копіювання підозрілих об'єктів в спеціальну теку при виявленні невідомих вірусів. За умовчанням для інфікованих і підозрілих об'єктів використовуються теки \lnfected і \Suspicious, знаходяться усередині робочої теки AVP (за умовчанням це З:\Program Files\AntiViral Toolkit Pro).

На вкладці Параметри задають глибину сканування. Прапорець Попередження включає додатковий механізм перевірки. При цьому виводиться застережливе повідомлення, якщо сканований файл або сектор містить модифікований вірус, а також якщо в пам'яті комп'ютера виявлена підозріла послідовність інструкцій. Прапорець Аналізатор коду включає евристичний алгоритм, який здатний виявити ще невідомі програмі віруси в досліджуваних об'єктах. Евристичний сканер перевіряє коди файлів і секторів по-різних гілках алгоритму сканованої програми і видає повідомлення, якщо виявлена комбінація команд, таких як запис у файл, перехоплення векторів переривань і т. д. Евристичне сканування уповільнює перевірку. Прапорцем Надмірне сканування включають механізм повного сканування досліджуваних файлів замість стандартної обробки тільки «точок входу» (тобто тих місць, де починається обробка програм системою). Природно, для такого сканування потрібний більший час, але це може потрібно при поглибленій антивірусній перевірці.

Наступні два прапорці управляють висновком результату роботи на панель звіту і у файл звіту. За умовчанням в звіт заносяться тільки дані про заражені об'єкти. Установка прапорця Звіт про чисті об'єкти приводить до висновку відомостей про всі скановані об'єкти. Проти імені кожного неінфікованого об'єкта дається повідомлення «в порядку». Установка прапорця Звіт про упаковані об'єкти приводить до висновку додаткових відомостей про архіватор, яким упакований файл, наприклад: «упакований ExePack» або «архів ZIP» і т. п.

Щоб не виконувати кожного разу настройку заново, передбачена можливість її збереження за допомогою меню Файл, Створюють і використовують замовлені комплекти настройок командами Файл>Сохранить настройки і Файл > Завантажити настройки, Настройки зберігаються у файлах з розширенням.рrf і мають текстовий формат, зміненні настройки зберігають командою Файл > Зберегти настройки за умовчанням. Вони зберігаються у файлі C\Windows\avp32.m:.