Вірус dinamo (назва не потребує перекладу)

Це бутовий вірус, який при деяких обставинах видає на екран вічну мрію київських уболівальників: " Dinamo (Kiev) champion!!! ".

Найбільш поширені сучасні комп'ютерні віруси

Вже згадуваний антивірусний дослідний центр SARC фірми Symantec Corporation опублікував наприкінці 1996 р. список 10 найбільш поширених у всьому світі комп'ютерних вірусів. Деякі з них, розповсюджені, зокрема, і в нашій країні, розглянемо більш докладно.

Макро-віруси Word (Word Macro Viruses)

Макро-віруси, що діють у середовищі відомого та широко поширеного у всьому світі текстового процесора Word for Windows версії 6 та вище фірми MicroSoft, використовують макроси мови WordBasic для зараження утворюваних у цьому процесорі документів та шаблонів документів (MS Word documents and templates) файлів з роширеннями DOC та DOT.

Ці віруси використовують декілька властивостей "оточення" MS Word, для автоматичного виконання інфікованого макро-коду. Зразу, коли інфікований документ відкривається і починає працювати вірус, то, як правило, вірус заражає шаблон документа користувача NORMAL.DOT. Цей шаблон є основою більшості інших документів та шаблонів і саме через нього макро-вірус заражає останні. У своїй роботі віруси використовують стандартні макроси мови WordBasic, такі як AutoOpen, FileSaveAs, AutoExec, System та інші.

На перший погляд здається, що макро-віруси не підкоряються старому правилу: "Віруси заражають тільки виконувані програми" (зауважимо, що у Boot-секторі також знаходиться деякий код, що виконується під час завантаження системи). Але це не так. Документи, які готуються за допомогою текстового процесора MS Word, мають досить складну структуру, куди крім суто текстових фрагментів включаються малюнки, графіки тощо, а також макроси мови WordBasic. Саме останні компоненти під управлінням системи MS Word можуть використовуватися як компоненти вірусного коду.

Серед макро-вірусів найбільш поширеними є: Anti-DMV (або MDMADMV), Atom, Boom, Colors (або RainBow), Concept, Concept.FR.B, DMV, FormatC (при деяких умовах форматує диск C:), Friendly, Hot (вперше з'явився в Росії), Imposter, Infezione, Irish, NOP, Nuclear (при друкуванні зараженого файлу-документа виводить повідомлення: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!"), Parasite, Polite, Wazzu, Xenixos.

AntiEXE

Інші назви вірусу: CMOS4, D3, NewBug, New Bug.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Використовує Stealth- технологію. Як і всі бутові віруси, AntiEXE є резидентним. Шукає деякі EXE-файли та пошкоджує їх.

AntiCMOS

Інші назви вірусу: Lenart.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Псує інформацію про конфігурацію комп'ютера, що записана в енергонезалежній пам'яті CMOS.

Штамами (різновидами) вказаного вірусу є віруси AntiCMOS.A та AntiCMOS.B.

One_Half

Інші назви вірусу: Free Love, One_half, One Half.3544

One_Half це файлово-бутовий, резидентний, поліморфний вірус, який використовує Stealth- технологію. Заражає COM- та EXE-файли, збільшуючи їх довжину на 3544 байт та Master Boot запис жорсткого диска.

Під час холодного (пере)завантаження системи з інфікованого жорсткого диска One_Half зашифровує два циліндра у кінці жорсткого диска. При кожному наступному (пере)завантаженні системи кількість зашифрованих циліндрів зростає. Поки вірус знаходиться у пам'яті, інформація, що міститься у цих циліндрах, доступна. Коли вірус зашифрує приблизно половину жорсткого диска, він виводить на екран повідомлення " Dis is one half. Press any key to continue...". Шифрування інформації, що проводить One_Half, значно ускладнює роботу антивірусних програм, яким треба не тільки вилікувати комп'ютер, але і відновити зашифровану інформацію.

One_Half не заражає деякі антивірусні програми (SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV).

Tchechen 1912, 1914

Ці віруси не входять до десятки найбільш поширених у світі, але на території СНД, мабуть, стоять чи не найпершому місці.

Дуже небезпечні резидентні поліморфні віруси. При старті віруси зчитують 2-й сектор жорсткого диска і записують у нього слово " МИР " та число 4, яке надалі буде лічильником стартів інфікованих програм. Потім намагаються знайти в ROM BIOS текстові рядки Megatrends, AWARD. Якщо цей пошук успішний, то віруси вимикають у CMOS-пам'яті опцію Virus Warning on Boot (контроль запису до Boot-сектору). При досягненні лічильника у 2-у секторі значення 0 віруси замінюють слово " МИР " на непотрібне слово із 3 літер та записують в MBR жорсткого диска "троянський" код. Цей код при завантаженні системи самостійно віддає управління активному Boot-сектору жорсткого диска, але приблизно через місяць після запису даного коду в MBR знищує вміст всього першого жорсткого диска. Після чого планувалося виведення на екран такого тексту (Tchechen.1914 містить помилку в даному виведенні): " POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, (C) RUSSIAN BEAR,1995. "

Tchechen.1914 непрацездатний на процесорі Pentium.

Засоби боротьби з комп'ютерними вірусами

Загальні рекомендації

Не можна дати 100% гарантії від зараження вірусами комп'ютера, на якому ви працюєте. В той же час виконання наступних правил принаймні суттєво зменшить ймовірність тяжких наслідків.

Регулярно робіть резервні копії важливих файлів та системних областей диска (утиліта П.Нортона Rescue, архіватори, утиліти MS-DOS Backup, Replace і т.п.). Якщо ви розробляєте власний програмний продукт, ведете базу даних тощо, візьміть за правило зберігати на окремих магнітних носіях результати своєї праці наприкінці робочого дня! Врешті-решт може просто серйозно відмовити обладнання і ви не зможете дістатися своєї інформації.

Якщо хтось із ваших колег демонструє на вашому комп'ютері свій продукт або ви встановлюєте нове програмне забезпечення, обов'язково перевірте його антивірусними засобами. Намагайтеся використовувати тільки законні шляхи одержання програм. Зауважимо, однак, що відомі випадки, коли і більш-менш серйозні фірми (звичайно, не злонавмисно) розповсюджували заражений продукт. Якщо ж ви працюєте на ПК "колективного користування", то перевірка комп'ютера на зараженість на початку вашого сеансу обов'язкова!

Для діагностування чи лікування вашого комп'ютера використовуйте тільки відомі програми, які добре зарекомендували себе. До їх числа відносяться в першу чергу ті, про які мова буде йти далі. Ще раз підкреслимо, що кожного дня з'являється у середньому 57 нових вірусів. Отже, ви повинні подбати про те, щоб у вас завжди були нові версії антивірусних програм!

При лікуванні комп'ютера від вірусів використовуйте чисту операційну систему, завантажуючи її з дискети. Але ж і тут, як ми казали вище, вірус може вас обманути. Захищайте дискети від записування, якщо є хоча б мала ймовірність зараження!.

Сучасні антивірусні програми добре документовані. У відповідних файлах, що постачаються разом із цими програмами, міститься опис усіх вірусів, з якими вони борються. Прочитайте ці файли! Ви будете мати більш повне уявлення про небезпеку, що загрожує вам і вашому комп'ютеру.

Дамо тепер загальну класифікацію антивірусних програм. За своїм призначенням вони поділяються на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.

Детектори служать тільки для виявлення вірусів у комп'ютері. Фаги лікують його від вірусної інфекції. Дуже часто функції детектора та фага суміщені в одній програмі, а вибір режиму роботи здійснюється завданням відповідних параметрів (опцій, ключів). На початку вірусної ери кожний новий вірус визначався та лікувався окремою програмою. При цьому для деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка. Згодом окремі програми почали виявляти та лікувати декілька типів вірусів, тому їх стали звати полідетекторами та поліфагами відповідно. Сучасні антивірусні програми знаходять і знешкоджують багато тисяч різновидів вірусів і заради простоти їх звуть коротко детекторами та фагами. Серед детекторів та фагів найбільш відомими та популярними є програми Aidstest, DrWeb (фірма ДиалогНаука, Росія), Scan, Clean (фірма McAfee Associates, США), Norton AntiVirus (фірма Symantec Corporation, США). Ці програми періодично (в середньому двічі на місяць) поновлюються, даючи користувачеві змогу боротися з новими вірусами. Показником важливості антивірусних засобів стало включення до складу операційної системи MS-DOS утиліти MSAV (MicroSoft AntiVirus). Щоправда, цей продукт був розроблений фірмою Central Point Soft Ware (автором славнозвісних PCTools та PCShell) і звався CPAV, а згодом був куплений фірмою MicroSoft. Утиліта MSAV є одночасно детектором, фагом, ревізором та вакциною.

Під час запуску фагів у пам'яті комп'ютера не повинно бути резидентних антивірусних програм, які блокують запис на диск (фільтрів).

Ще одним типом антивірусних програм є ревізори. Ці програми можуть виявляти факт зараженості комп'ютера новими вірусами, слідкуючи за всіма змінами системних областей та файлової структури на вашому ПК. При першому запуску ревізор утворює таблиці, куди заносить інформацію про вільну пам'ять, Partition Table, Boot, директорії, файли, що містяться у них, погані кластери тощо. При повторному запуску ревізор сканує пам'ять та диски і видає повідомлення про всі зміни, що відбулися у них з часу останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно визначити факт зараження комп'ютера вірусами. Серед ревізорів, мабуть, найбільш популярною є програма ADinf (фірма ДиалогНаука, Росія). Вже згадувана програма MSAV також може виконувати функції ревізора.

Свого часу, коли не було надійних засобів боротьби з вірусами, широкого поширення набули так звані фільтри. Ці антивірусні програми блокують операцію записування на диск і виконують її тільки при вашому дозволі. При цьому легко визначити, чи то ви санкціювали команду на запис, чи то вірус намагається щось заразити. До числа широко відомих свого часу фільтрів можна віднести програми VirBlk, FluShot, Anti4us. До речі, остання програма німецького виробництва і при читанні її назви ми одержимо щось на зразок "антивірус". Зараз фільтри майже не використовують, оскільки вони, по-перше, дуже незручні, бо відволікають час на зайвий діалог, по-друге, деякі віруси можуть обманювати їх. Відмітимо утиліту П.Нортона DISCMON, яка у режимі Protect здійснює саме функцію фільтра.

Нарешті до антивірусних програм відносяться вакцини. Зауважимо відразу, що їх поширення було дуже обмеженим раніше, а зараз вони практично зовсім не використовуються. Справа у тому, що вакцини призначені для боротьби з дуже обмеженими класами вірусів і для кожного їх типу потребують досить складної розробки відповідних програм. Пояснимо на прикладах суть дії вакцин. Як ми вже казали раніше, вірус VIENNA проставляє у зараженому файлі неіснуючий час утворення (62 секунди). Це ж саме робить і вакцина проти вказаного вірусу. Аналогічно, вакцина проти вірусу BLACK FRIDAY використовує той факт, що цей вірус прикметою зараженості використовує сполучення MsDos, що записується у кінець файлу-жертви.

Розглянемо тепер деякі із згаданих вище антивірусних програм.