1. Сканирование
Если вирус известен и уже проанализирован, то можно разработать программу, выявляющую все файлы и загрузочные записи, инфицированные этим вирусом. Такая программа снабжена «медицинским» справочником, содержащим характерные образцы программного кода вируса. Программа ведет поиск комбинаций байтов, характерных для вируса, но нетипичных для обычных программ. Программы-детекторы, ведущие поиск подобных комбинаций байтов, называются полифагами, или сканерами.
Для многих вирусов характерна простая комбинация, представляющая собой последовательность фиксированных байтов. Другие вирусы используют более сложные комбинации байтов. Необходимо удостовериться, что комбинация байтов не характерна для обычных программ, иначе программа-детектор сообщит о вирусе даже при его отсутствии.
2. Выявление изменений
Для инфицирования программ или загрузочных записей вирусы должны их изменить. Существуют программы, которые специализируются на вылавливании таких изменений. Программу, регистрирующую изменение файлов и загрузочных записей, можно использовать даже для выявления ранее неизвестных вирусов. Однако изменение файлов и загрузочных записей может быть обусловлено целым рядом причин, которые не имеют никакого отношения к вирусам. Выявление изменений само по себе приносит не так много пользы, т. к. необходимо очень четко понимать, какие изменения действительно указывают на наличие вируса.
3. Эвристический анализ
Эвристический анализ — это смутное подозрение антивирусной программы о том, что что-то не в порядке.
При выявлении вирусов с помощью эвристического анализа ведется поиск внешних проявлений или же действий, характерных для некоторых классов известных вирусов. Например, в файлах могут выявляться операции, применяемые вирусами, но редко используемые обычными программами. Могут также выявляться попытки записи на жесткие диски или дискеты с помощью нестандартных методов.
Так же, как при использовании предыдущего метода, с помощью эвристического анализа можно выявить целые классы вирусов, однако необходимо удостовериться, что обычные программы не были приняты за инфицированные.
4. Верификация
Рассмотренные выше методы могут свидетельствовать, что программа или загрузочная запись поражены вирусом, однако таким образом нельзя с уверенностью опознать поразивший их вирус и уничтожить его. Программы, с помощью которых можно идентифицировать вирус, называются верификаторами. Верификаторы можно разработать только для уже изученных вирусов после их тщательного анализа.
5. Обезвреживание
Не исключено, что после выявления вируса его можно будет удалить и восстановить исходное состояние зараженных файлов и загрузочных записей, свойственное им до «болезни». Этот процесс называется обезвреживанием (дезинфекцией, лечением).
Некоторые вирусы повреждают поражаемые ими файлы и загрузочные записи таким образом, что их успешная дезинфекция невозможна. Не исключено также, что детектор одинаково идентифицирует два различных вируса, поэтому дезинфицирующая программа будет эффективна для одного вируса, но бесполезна для другого.
Дезинфицирующие программы изменяют ваши программы, поэтому они должны быть очень надежными.
Меры профилактики
Рассмотренные выше методы могут применяться с помощью различных способов. Одним из общепринятых методов является использование программ, которые тщательно обследуют диски, пытаясь обнаружить и обезвредить вирусы. Возможно также использование резидентных программ DOS, постоянно проверяющих вашу систему на вирусы. Резидентные программы имеют следующее преимущество: они проверяют все программы на вирусы при каждом их выполнении. Резидентные программы должны быть очень тщательно разработаны, т. к. иначе они будут задерживать загрузку и выполнение программ.
Нерезидентные программы эффективны при необходимости одновременного обследования всей системы на вирусы и их обезвреживания. Они представляют собой средство, дополняющее резидентные программы.
Вы должны помнить о необходимости регулярного выполнения антивирусной программы. К сожалению, как показывает опыт, об этом часто забывают. Пренебрежение профилактическими проверками вашего компьютера увеличивает риск инфицирования не только вашей компьютерной системы, но и распространения вируса на другие компьютеры. И не только через дискеты, вирусы прекрасно распространяются и по локальным сетям.
Чтобы впоследствии избежать головной боли, лучше всего обеспечить автоматическое выполнение антивирусной программы. В этом случае программа будет защищать ваш компьютер, не требуя от вас каких-либо явных действий. Для обеспечения такой защиты можно при запуске системы установить резидентные антивирусные программы, а также использовать нерезидентные программы, выполняемые при запуске или периодически в указанное время.
Как правильно лечить?
Прежде всего, перезагрузите компьютер, нажав кнопку Reset. Такая перезагрузка называется «холодной», в отличие от «теплой», вызываемой комбинацией клавиш Ctrl-Alt-Del. Существуют вирусы, которые спокойно выживают при «теплой» перезагрузке.
Загрузите компьютер с дискеты, защищенной от записи и с установленными антивирусными программами. Необходимость хранить антивирусный пакет на отдельной защищенной дискете вызвана не только опасностью заражения антивирусных программ вирусом. Частенько вирус специально ищет на жестком диске программу-антивирус и наносит ей повреждения.
Старайтесь почаще обновлять ваши антивирусные программы. Причем как отечественные, так и импортные. Отечественные — потому что у нас пишут вирусы все кому не лень и, чтобы быстро разработать антивирусную программу, надо жить здесь. Импортные — потому что все сильнее сливаются «наше» и «их» информационные пространства, все больше западных вирусов проникает к нам по глобальным компьютерным сетям.
При обнаружении зараженного файла желательно скопировать его на дискету и лишь затем лечить антивирусом. Это делается для того, чтобы в случае некорректного лечения файла, что, к сожалению, случается, попытаться полечить файл другим антивирусом.
Если вам понадобилась программа из ваших старых архивов или резервных копий, не поленитесь проверить ее. Не рискуйте. Лучше преувеличить опасность, чем недооценить ее.
Как ловили файловые вирусы в старину?
В старину существовал способ ловли глупых (простых) вирусов на живца. Создавался файл, состоящий из одних нулей и имеющий расширение .СОM или .ЕХЕ. Те вирусы, которые заражают программы без должной проверки, попадали в него как мухи на мед. Просмотрев впоследствии такой файл, легко можно было выделить сигнатуру (программный код вируса) и написать антивирус.
Краткий обзор антивирусных программ
Антивирусных программ написано хотя и гораздо меньше, чем вирусов, но достаточно много, чтобы пользователь имел выбор. Лучше, если у вас на компьютере и на специальной дискете будет установлено несколько таких программ. Это повысит вероятность обнаружения модификаций старых вирусов, а также, если программы используют эвристический анализ, обнаружение новых, неизвестных ранее, вирусов. Не забывайте почаще обновлять версии антивирусных программ, чтобы идти ноздря в ноздрю с авторами вирусов. Рекомендуем приобретать антивирусные программы официально. На это есть, по крайней мере, две причины:
1. Если вы будете пользоваться ворованными копиями антивирусных программ, то их разработчикам придется торговать апельсинами на рынке, чтобы заработать на жизнь. Кто в этом случае защитит вас от вирусов?
2. Вирус может быть замаскирован под нормальную антивирусную программу. Если быть точным, такая программа называется «Троянский конь». Надеюсь, аналогии прозрачны. Вы в полной уверенности запускаете антивирусную программу, а она форматирует ваш винчестер. Кстати, цены на отечественные антивирусные программы весьма доступны.
... Pro 2008 по результатам тестирования брандмауэров в лаборатории Matousec показал наилучшие результаты даже при настройках по умолчанию. Глава 3. Разработка рекомендаций по составу программного комплекса для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа Прежде, чем рекомендовать состав программного комплекса по защите информации в ЛВС КСХК. Необходимо реализовать политику ...
... адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. Запустите полную проверку компьютера. 4. Методы защиты от вредоносных программ Стопроцентной защиты от всех вредоносных программ не существует: от эксплойтов наподобие Sasser или Conficker не застрахован никто. Чтобы снизить риск потерь от воздействия вредоносных программ, ...
... на работу компьютера, является вирусом. Существуют следующие основные виды вредоносного ПО: · Троянские кони, программные закладки и сетевые черви; · Вирусы; · Шпионское ПО; · Руткиты; · Прочие вредоносные программы. 2.1 Троянские кони, программные закладки и сетевые черви Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при ...
... новые возможности. На рынке серверных операционных систем Австралии Linux уже заняла около 30%. За австралийцами последовали и бразильцы. Бразильское правительство решило отказаться от расходования средств на программное обеспечение и перейти с продуктов Microsoft на системы с открытым кодом, в частности, ОС Linux. Главная причина изменений – экономическая. В нашей стране рынок Linux пока ...
0 комментариев