Пнз (пзу) - пнз (диск) - система

В загрузочных вирусах выделяют две части — так называе­мую голову и так называемый хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер под которым мы понимаем компьютер с активным рези­дентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая среда — в нашем случае не защи-нная от записи и еще незараженная дискета, он приступает кзаражению. Заражая дискету, вирус производит следующие действия:

• выделяет некоторую область диска и помечает ее как не доступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad);

• копирует в выделенную область диска свой хвост и ориги­нальный (здоровый) загрузочный сектор;

• замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;

• организует цепочку передачи управления согласно схеме:

ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА

Таким образом, голова вируса теперь первой получает управ­ление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

Как правило, вирусы способны заражать не только загрузоч­ные секторы дискет, но и загрузочные секторы НЖМД. При этом в отличие от дискет на винчестере имеются два типа загру­зочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с вин­честера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная за­пись). Если жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа началь­ной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раз­дела. Код последней совпадает с кодом программы начальной за­грузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загру­зочных вирусов — программа начальной загрузки в MBR и про­грамма начальной загрузки boot-сектора загрузочного диска.

Способы заражения программ

• метод приписывания — код вируса приписывается к концу файла заражаемой программы, и тем или иным спо­собом осуществляется переход вычислительного процесса на команды этого фрагмента;

• метод оттеснения — код вируса располагается в на­чале зараженной программы, а тело самой программы при­писывается к концу;

• метод вытеснения — из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, приписывается к концу. Сам вирус записывается на осво­бодившееся место. Разновидность метода вытеснения — когда оригинальное начало не сохраняется вообще. Такие программы являются полностью разрушенными и не могут быть восстановлены никакими антивирусами;

• прочие методы — сохранение вытесненного фрагмен­та программы в «кластерном хвосте» файла и пр.

Признаки проявления вируса

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления ви­русов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее ус­пешно функционировавших программ;

• медленная работа компьютера;

• невозможность загрузки операционной системы;

• исчезновение файлов и каталогов или искажение их содер­жимого;

• изменение даты и времени модификации файлов;

• изменение размеров файлов;

• неожиданное значительное увеличение количества файлов на диске;

• существенное уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных сообщений или изо­бражений;

• подача непредусмотренных звуковых сигналов;

• частые зависания и сбои в работе компьютера;

Следует отметить, что вышеперечисленные явления не обя­зательно вызываются присутствием вируса, а могут быть следст­вием других причин. Поэтому всегда затруднена правильная ди­агностика состояния компьютера.

Методы защиты. Антивирусы

Каким бы ни был вирус, пользователю необходимо знать о щрвные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезнь также как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

• профилактические меры, позволяющие уменьшить вероят­ность заражения вирусом;

• специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов.

Имеются две основные разновидности этих средств:

• копирование информации — создание копий файлов и системных областей дисков;

• разграничение доступа предотвращает несанкционирован­ное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Для обнаружения, удаления и защиты от компьютерных ви­русов разработано несколько видов специальных программ, ко­торые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

• программы-детекторы;

• программы-доктора или фаги;

• программы-ревизоры;

• программы-фильтры;

• программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сооб­щение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны раз­работчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы оперативной памяти, уничтожая их, и только затем переходят «лечению» файлов. Среди фагов выделяют полифаги, т. е. про­граммы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: /Vidstest, Scan, Norton AntiVirus, Doctor Web.

Программы-ревизоры относятся к самым надежным средст­вам защиты от вирусов. Ревизоры запоминают исходное состоя­ние программ, каталогов и системных областей диска тогда, ко­гда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с ис­ходным. Обнаруженные изменения выводятся на экран монито­ра. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Програм­мы-ревизоры имеют достаточно развитые алгоритмы, обнаружи­вают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространен­ная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой не­большие резидентные программы, предназначенные для обнару­жения подозрительных действий при работе компьютера, харак­терных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями СОМ, ЕХЕ;

• изменение атрибутов файла;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные сектора диска;

• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные Действия «сторож» посылает пользователю сообщение и предла­гает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размноже­ния. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входят в состав пакета утилит MS-DOS.

Вакцины или иммунизаторы — резидентные программы, пп дотвращающие заражение файлов. Вакцины применяют, если о сутствуют программы-доктора, «лечащие» этот вирус. Вакцина ция возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и по­этому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Следует отметить, что своевременное обнаружение заражен­ных вирусами файлов и дисков, полное уничтожение обнару­женных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.