Що е компютърният вирус
Компютърните вируси са фрагмент от програма, разработен и написан с цел неблагоприятно въздействие върху вашия компютър посредством изменение на начина му на работа без ваше знание или позволение. Изразено на технически език, те са сегмент на програмен код, който се имплантира в изпълнимите файлове и систематически се разпространява от един файл в друг. Компютърните вируси не се образуват от само себе си.
Те се пишат от хора и имат определена деструктивна цел. Обикновено вирусите изпълняват следните две функции:
* Разпространение от един файл в друг без вашето потвърждаване, т.е. саморепликация или размножаване.
* Внедряване на симптом или нарушение, предварително планирани от автора. Може да става дума за съсипване на хард диска, изменение на поведението на програми или просто за привеждане на компютъра в безпорядък.
Експертите наричат това "полезна работа на вируса", която може да бъде доброкачествена или злокачествена. Доброкачествените вируси не нанасят на поразените компютри реална вреда. Например те не се проявяват до определена дата, на която показват присъствието си със някакво съобщение.
За разлика от тях злокачествените вируси се мъчат да причинят вреда на компютъра гостоприемник. Понякога те правят това неволно вследствие лошо програмиране и груби грешки в кода на самия вирус. Злокачествените вируси са способни да изменят една или повече програми така, че те да престанат да работят по желания начин. Заразената програма може да започне внезапно да блокира или да записва информацията некоректно. Вирусът може също да променя информацията за директорийната структура в системната област на диска. Това пречи на откриването на дяловете или стартирането на едно или повече приложения, които не намират необходими за коректното им функциониране файлове. За съжаление преобладаващата част от вирусите са злокачествени, като най-гадните могат да повредят хард диска или да изтриват файлове.
Реална ли е опасността?
Широкото разпространение на вирусите слага началото на нова ера в историята на компютърната сигурност, в която тези, които не се съобразяват с правилата, се подлагат на голям риск. Взимайки под внимание нарастващия брой съобщения за опасност, както и множеството познати случаи на породени от компютърни вируси неприятности, трудно могат да бъдат разбрани представителите на компютърния бранш, които изказват мнение, че опасността от вирусите е преувеличена. По оценки на Националния информационен център за компютърни престъпления в Лос Анжелос американските предприятия губят поради несанкциониран достъп 550 милиона долара годишно, като в тях не влиза цената на загубеното за възстановяване на щетите време.
През последните няколко години много компании от списъка на Fortune започват да въвеждат специални правила за борба с компютърните вируси. В много случаи новите процедури предвиждат тестването на всички приложения, преди те да се инсталират на корпоративната мрежа, и ограничения на стартирането на софтуер от електронните табла с обяви или FTP сървъри. Практически никой, нито дори правителството, банката или полицията, не са застраховани срещу вируси.
Видове компютърни вируси
Компютърните вируси се разпространяват, прехвърляйки се от програма на програма или към boot секторите на дискета или харддиск. При изпълняване на заразен файл или стартиране на компютър с инфектиран boot сектор се изпълнява и самият вирус. Нерядко той се скрива в паметта, очаквайки поредното приложение, което може да порази, или възможност за достъп до следващия диск. Възможен ефект от действието на вирус е показването на съобщение в определен ден или изтриване на файлове, ако конкретен изпълним файл се стартира определен брой пъти.
* Файлови вируси: те се присъединяват към файловете *.COM или *.ЕХЕ, въпреки че в отделни случаи могат да заразят и файлове с разширения SYS, DRV, BIN, OVL или OVY. Вирусите записват своя код в тялото на изпълнимия файл така, че при стартиране на програмата да поемат управлението. Това е незабележимо за потребителя. След като свърши тъмното си дело, вирусът сканира локалните и мрежовите устройства в търсене на поредна жертва. В някои случаи програмите се заразяват, когато са отворени (например от командата на DOS DIR) или се инфектират всички файлове в директорията, от която е стартиран самият вирус (пряка инфекция).
Механизмът на разпространение на файловите вируси е много прост. Авторът му заразява някоя програма с него и я публикува на някой BBS, FTP сървър, web сайт, корпоративна или университетска мрежа. Подбират се атрактивни приложения: нови версии на популярни програми или игри. Аргументирайки се с факта, че така и така постоянно излизат нови и нови вируси, с които инсталираната антивирусна програма би могла и да не се справи, хората си спестяват теста и вирусите плъзват. Чисто теоретично, защита срещу този подход е след форматиране на диска на ниско ниво да се ползват само лицензирани програми и да се забрави за shareware и freeware, но това би изолирало потребителя от твърде много инструменти, без които не може. А дори да допуснем, че такъв компютър съществува, на него би трябвало никога да не се записва обработван на друга машина файл от MS Office, поради опасността от макровируси.
* Boot вируси: всеки хар ддиск и всяка дискета, без значение дали са системни или не, разполагат с т. нар. boot sector. В него се съдържа специфична информация за формата на устройството, записаните на него данни, както и малка програмка, зареждаща системните файлове на DOS или даваща съобщението за грешка "Non-system Disk or Disk Error", ако те не са налице. Именно тази програма е цел на boot вирусите. При изпълнението й вирусът попада в паметта и оттам на харддиска. Не забравяйте, че всеки магнитен носител има boot сектор, така че може да се заразите и от диск, съдържащ само данни (често срещан на практика случай).
* Комбинирани вируси: този тип вируси е съчетание от горните. Съчетаните вируси са едни от най-съвършените и най-опасните. Те заразяват както файлове, така и master boot record. Засега съчетаните вируси са относително рядко срещани, но броят им постоянно нараства.
* Полиморфни вируси: в процеса на заразяване вирусът записва във файла или системната област на диска уникална за себе си последователност от символи, наречена сигнатура. Тъй като един от най-често срещаните методи за откриване на вирус е по неговата сигнатура, авторите на вируси са стигнали до идеята да използват специални алгоритми за кодирането й с цел затрудняване на определянето на сигнатурата от страна на антивирусната програма. Когато вирусът поеме управлението, той първо разшифрова собствения си код. Тъй като този тип все пак съдържа константна шифроваща процедура, сигнатурата в крайна сметка може да се получи. По-сложната разновидност са полиморфните вируси, които мутират. При тях процедурата се променя всеки път и за определяне на сигнатурата са необходими съвременни антивирусни продукти.
* Макровируси: документите на офис пакетите съдържат не само текст и графика, но и макрокоманди, които фактически са програми на език, наподобяващ Basic. Вирусът ги променя или добавя нови. Механизмът на разпространение се основава на факта, че съществуват макрокоманди, изпълняващи се при отваряне на файла за редактиране или други операции. Авторът взима безобиден файл, например readme.doc, и записва в него няколко вирусни макрокоманди. Като отворите заразен файл, макрокомандите поемат управлението и могат да заразят и други документи.
* Stealth вируси: по време на тестовете си антивирусните програми четат файловете и системните области на устройствата, използвайки средствата на операционната система и BIOS. Множество вируси след активирането си оставят в оперативната памет специални модули, прихващащи обръщането на програмата към дисковата подсистема. Ако такъв модул забележи, че някое приложение се опитва да прочете заразен файл, той сменя в движение данните, все едно, че файлът е чист. Така вирусът остава незабелязан. Все пак начин за борба с този тип съществува. Необходимо е компютърът да се рестартира от чиста системна дискета и веднага да се стартира антивирусната програма. Така се изключва възможността в оперативната памет да попаднат stealth модулите. Има и антивирусни програми, откриващи stealth вирусите още при опита им да се маскират, но все пак методът със системна дискета е за препоръчване.
Повечето потребители са на мнение, че умеят да се предпазват от вируси. При всяко стартиране на компютъра им резидентно се зарежда някаква антивирусна програма. Те винаги тестват за вируси програмите, с които са се сдобили от познати или свалили от Интернет. И не рядко тези хора, без да имат вина за това, живеят в заблуждение, че машините им са чисти, докато скрилият се вирус не се активира и не съсипе резултатите от тяхната работа. Причините за това са няколко. Обикновено става дума за неправилно подбран или неактуализиран своевременно антивирусен софтуер. Разбира се, възможно е мутирал вирус да заблуди и най-добрата антивирусна програма.
Без съмнение основно оръжие в борбата с вирусите са антивирусните програми. Те позволяват откриването и отстраняването им. При наличието на толкова голям брой вируси изборът на оптимално приложение за борба с тях не е лек. Кое е най-доброто? Едва ли някой би се наел да отговори еднозначно на този въпрос. Възможен вариант е да се ползват всички, до които потребителят е успял да се добере, но така твърде много се увеличава времето за проверка. Така че изборът на конкретна програма трябва да бъде направен. За улеснение на избора е добре да сте осведомени за методите, използвани от различните програми, като не е задължително антивирусните програми да ползват всички методики.
Сканиране: най-разпространеният метод за търсене на вируси. То се заключава в претърсване за сигнатури на предварително открити вируси. Недостатък е на скенерите е невъзможността им да се справят със stealth вируси. За целта са необходими по-сложни алгоритми, включващи евристичен анализ на проверяваните програми. Освен това скенерите не могат да открият не съдържащ се в списъка им вирус. Тъй като нови вируси излизат всеки ден, сканиращите програми остаряват още в момента на появата си.
Евристичен анализ: той често се използва паралелно със сканирането за откриване на шифроващи се и полиморфни вируси. В много случаи евристичният анализ помага за откриване и на нови, неизвестни до момента вируси, въпреки че вероятно не би могъл да ги изчисти. Ако евристичен анализатор даде съобщение, че файл или boot сектор са заразени, трябва да се отнесете сериозно към този факт и да ги проверите основно с актуалните версии на антивирусните програми, с които разполагате.
Откриване на изменения: заразявайки компютъра, вирусът нанася промени: дописва кода си в заразения файл, изменя системните области на диска и т.н. Алгоритъмът се базира на откриване на такива промени. Антивирусната програма запомня характеристиките на невралгичните области и периодично ги проверява. Ако открие изменение, показва съобщение, че е възможно на компютъра да има вирус. Разбира се, изменението може да се дължи на надстройка на версията на операционната система или на факта, че някои програми записват в своя *.ЕХЕ файл данни.
Резидентни монитори: антивирусни програми, намиращи се постоянно в оперативната памет и проследяващи подозрителните действия на останалите приложения. Тези програми имат много недостатъци, например изобилие от дразнещи съобщения, повечето от които нямат нищо общо с вирусите. Обикновено потребителите ги изтърпяват само няколко минути, след което ги деактивират.
Най-добрата защита е нападението
Колкото по-рано започнете да се подготвяте срещу вирусната атака, толкова по-добре, въпреки че дори напреднали потребители и системни администратори подценяват важността на проблема. Едва когато вирус съсипе порядъчно количество информация, те са готови да дадат всичко, стига той да бъде отстранен, а информацията възстановена. Ще си спестите много нерви и средства, ако вземете навреме нужните предохранителни мерки. Освен избора на подходящ за вас антивирусен софтуер трябва да предприемете и някои други действия, които и без друго ще ви бъдат от полза.
Едно от първите неща е създаването на системна дискета. Подчертаваме, че това трябва да стане на гарантирано чист компютър. Добре е тя да съдържа драйвъри за някои устройства, например CD-ROM, както и инструменти за форматиране на диск (format), трансфер на операционната система (sys) и ремонт на файловата система (scandisk). Тя ще ви бъде полезна не само в случай на проблеми с вируси.
Периодично (и възможно по-често) проверявайте дали на компютъра ви са се появили вируси. Тествайте всички файлове, а не само изпълнимите. Заредете в autoexec.bat предпочитаната антивирусна програма. В случай на несигурност се консултирайте със специалист. Стартирайте компютъра от системна дискета, преди да отстранявате вирусите. Не използвайте Ctrl+Alt+Del, а Reset.
Уверете се, че сте стартирали от дискетата, а не от хард диска, тъй като съществуват вируси, ловко подменящи порядъка на устройство, от което се зарежда операционната система. Задължително проверявайте всички файлове, които възнамерявате да копирате на компютъра си. Внимавайте и с файловете, създадени от MS Office. Веднага след инсталацията му открийте файла normal.dot и го направете read only. Следете за нови версии на антивирусните програми или update на списъците им с вируси. Имайте предвид също, че голямата популярност на операционните системи на Microsoft е довела и до огромен брой вируси за тях, докато за OS/2, Unix/Linux вирусите са екзотика.
Няма коментари:
Публикуване на коментар