Jaké počítačové viry existují? Metody boje? Nastavte nastavení systému BIOS na výchozí. Pokročilé možnosti BIOSu

• informace o boot sektorech;

• informace o neúspěšných klastrech;

• délka a kontrolní součty souborů;

• datum a čas vytvoření souborů.

• vybavte svůj počítač aktuálním antivirovým softwarem, jako je např Verze Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Doktor Web, a neustále aktualizovat jejich verze;

• Před čtením informací uložených na jiných počítačích z disket vždy zkontrolujte, zda tyto diskety neobsahují viry spuštěním antivirových programů na vašem počítači;

• při přenosu souborů v archivované podobě do počítače je zkontrolujte ihned po rozbalení na pevném disku a omezte oblast skenování pouze na nově nahrané soubory;

• pravidelně kontrolujte pevné disky vašeho počítače na výskyt virů spouštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu, po načtení operačního systému také ze systémové diskety chráněné proti zápisu;

• Při práci na jiných počítačích vždy chraňte své diskety před zápisem, pokud na ně nebudou zaznamenány informace;

• nezapomeňte vytvořit záložní kopie informací, které jsou pro vás cenné, na diskety;

• nenechávejte diskety v kapse jednotky A: při zapínání nebo restartu operačního systému, abyste zabránili infekci počítače zaváděcími viry;

• používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí;

• aby byla zajištěna větší bezpečnost používání Verze Aidstest. Doktor Web musí být kombinováno s každodenním používáním nástroje Disk Auditor ADinf.

Pomocí tipů „Jak vyčistit infikovaný počítač“ uvedených v tomto článku můžete ze svého počítače odstranit jakýkoli typ malwaru a vrátit jej do funkčního stavu.

1. Ujistěte se, že je váš počítač skutečně infikován

Než se pokusíte odstranit jakoukoli infekci z počítače, musíte se ujistit, že je počítač skutečně infikován. Chcete-li to provést, podívejte se na doporučení uvedená v článku "". Pokud to skutečně znamená, že je váš počítač infikován, pokračujte kroky v další části. Ujistěte se, že je děláte ve správném pořadí.

2. Jak vyčistit počítač a ujistit se, že je opravdu čistý

Upozorňujeme, že pokročilí uživatelé zde mohou jednoduše přeskočit na poslední část o a podle toho vyčistit počítač. Je to nejúčinnější přístup, ale také jeden z časově nejnáročnějších. V případě potřeby však můžete přejít přímo k této části a poté se vrátit zpět na začátek, pokud infekce nebyla zcela odstraněna.

2.1 Čištění počítače pomocí CCE a TDSSKiller

Stáhněte si Comodo Cleaning Essentials (CCE) z této stránky. Ujistěte se, že jste vybrali správnou verzi pro váš operační systém. Pokud si nejste jisti, zda váš počítač používá 32bitový nebo 64bitový operační systém, viz. Z této stránky si také stáhněte Kaspersky TDSSKiller. Pokud se vám některý z těchto programů nedaří stáhnout nebo vám nefunguje připojení k internetu, budete to muset udělat pomocí jiného počítače a přenést jej do infikovaného pomocí flash disku. Ujistěte se, že na jednotce flash nejsou žádné další soubory. S flashovým zařízením buďte opatrní, protože jej při vložení do počítače může infikovat malware. Po přenesení těchto programů jej proto nepřipojujte k žádnému jinému počítači. Také bych rád zdůraznil, že oba programy jsou přenosné. To znamená, že jakmile je skončíte s jejich používáním, nebudete je muset odinstalovat. Stačí smazat jejich složky a budou smazány.

Jakmile stáhnete CCE, rozbalte soubor, otevřete složku a poklepejte na soubor s názvem „CCE“. Otevře se hlavní okno Comodo Cleaning Essentials. Pokud se neotevře, stiskněte a podržte klávesu Shift a dvakrát klikněte na soubor s názvem „CCE“. Jakmile se CCE úspěšně otevře, můžete uvolnit klávesu Shift. Neuvolňujte jej však, dokud se program zcela nenačte do paměti. Pokud jej uvolníte alespoň během výzvy UAC, nebude se moci správně otevřít ani pomocí vynucené metody. Podržení Shift pomůže otevřít i na silně infikovaných počítačích. Dělá to potlačením mnoha zbytečných procesů, které by mu mohly bránit v běhu. Pokud to stále nepomůže s jeho spuštěním, stáhněte si a spusťte program s názvem RKill. Lze jej stáhnout z této stránky. Tento program zastaví známé škodlivé procesy. Jakmile je tedy spuštěn, CCE by se měl spustit perfektně.

Jakmile je spuštěn, spusťte Smart Scan v CCE a dejte do karantény vše, co najde. Tento program také hledá systémové změny, které mohl způsobit malware. Budou zobrazeny ve výsledcích. Doporučil bych povolit programu, aby to také vyřešil. Po zobrazení výzvy restartujte počítač. Po restartování počítače spusťte Kaspersky TDSSKiller, prohledejte a dejte do karantény, co bylo nalezeno.

Pokud vaše připojení k internetu dříve nefungovalo, zkontrolujte, zda nyní funguje. Pro další kroky v této části bude vyžadováno platné připojení k internetu.

Jakmile je skenování CCE dokončeno a jste si jisti, že vaše připojení k internetu funguje, otevřete CCE znovu. Doufejme, že se tentokrát otevře, ale pokud ne, otevřete jej při stisknuté klávese Shift. Poté z nabídky "Nástroje" v CCE otevřete KillSwitch. V KillSwitch v nabídce „Zobrazit“ vyberte možnost „Skrýt bezpečné procesy“. Poté klikněte pravým tlačítkem myši na všechny procesy, které jsou označeny jako podezřelé nebo nebezpečné, a vyberte možnost je odebrat. Měli byste také kliknout pravým tlačítkem myši na všechny neznámé procesy, které zůstávají, a vybrat možnost „Kill Process“. Neodstraňujte procesy označené jako FLS.Unknown. Dále v CCE spusťte z nabídky nástrojů Autorun Analyzer a z nabídky „Zobrazit“ vyberte možnost „Skrýt bezpečné položky“. Poté zakažte všechny položky patřící k souborům, které jsou označeny jako podezřelé nebo nebezpečné. Můžete to provést zrušením zaškrtnutí políček vedle položek. Měli byste také zakázat všechny položky označené jako FLS.Unknown, o kterých si myslíte, že jsou pravděpodobně malwarem. Neodstraňujte žádné položky.

Nyní restartujte počítač. Po restartování znovu zkontrolujte počítač pomocí rad, které uvádím v článku „“. Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nejsou nebezpečné. Všimněte si také, že i když je váš počítač bez aktivních infekcí, stále na něm mohou být kousky malwaru. Nejsou nebezpečné, ale nebuďte překvapeni, pokud skenování pomocí jiného programu ve vašem počítači přesto nalezne malware. Toto jsou spící zbytky toho, co jste právě smazali. Pokud nejste spokojeni s přítomností těchto zbytků ve vašem počítači, můžete drtivou většinu z nich odstranit skenováním pomocí programů zmíněných v další části.

Pokud však váš počítač ještě není vyčištěn od aktivních infekcí, ale alespoň jeden z programů se podařilo spustit, projděte znovu kroky popsané v této části a zjistěte, zda se tím infekce odstraní. Pokud se však nepodařilo spustit žádný z programů, přejděte k další části. Navíc, i když k vyčištění počítače nestačí znovu postupovat podle pokynů v této části, musíte přejít k další části.

2.2 Pokud váš počítač stále není čistý, proveďte skenování pomocí HitmanPro, Malwarebytes a Emsisoft Anti-Malware

Pokud výše uvedené kroky nepomohly k úplnému odstranění infekce, musíte si stáhnout HitmanPro z této stránky. Nainstalujte program a spusťte "Výchozí skenování". Pokud se nenainstaluje, přejděte na další odstavec a nainstalujte Malwarebytes. Po zobrazení výzvy během instalace HitmanPro doporučuji vybrat možnost provést pouze jednorázovou kontrolu počítače. To by mělo vyhovovat většině uživatelů. Pokud malware brání správnému spuštění, otevřete program podržením klávesy CTRL, dokud se nenačte do paměti. Dejte do karantény jakékoli zamoření, které najde. Mějte na paměti, že tento program bude schopen odstranit infekce pouze 30 dní po instalaci. Během odinstalace budete požádáni o aktivaci zkušební licence.

Jakmile HitmanPro odstraní všechny zjištěné infekce nebo pokud se Hitman Pro nepodaří nainstalovat, musíte si stáhnout bezplatnou verzi Malwarebytes z této stránky. Všimněte si, že má technologii chameleon, která by mu měla pomoci nainstalovat i na silně infikované počítače. Doporučuji vám, abyste během instalace zrušili zaškrtnutí políčka „Povolit bezplatnou zkušební verzi Malwarebytes Anti-Malware Pro“. Ujistěte se, že je program zcela aktualizován, a poté spusťte rychlou kontrolu. Každou infekci, kterou najde, dejte do karantény. Pokud vás nějaký program vyzve k restartování počítače, nezapomeňte jej restartovat.

Pak si z této stránky stáhněte Emsisoft Emergency Kit. Po dokončení stahování extrahujte obsah souboru zip. Poté dvakrát klikněte na soubor s názvem „start“ a otevřete „Emergency Kit Scanner“. Po zobrazení výzvy povolte programu aktualizaci databáze. Po aktualizaci se vraťte do nabídky Zabezpečení. Poté přejděte na „Ověřit“ a vyberte „Rychle“ a poté klikněte na „Ověřit“. Po dokončení kontroly dejte všechny zjištěné položky do karantény. Restartujte počítač pokaždé, když to potřebujete.

Po skenování počítače pomocí těchto programů jej musíte restartovat. Poté znovu zkontrolujte svůj počítač pomocí tipů, které uvádím v článku „“. Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nejsou nebezpečné. Pokud však váš počítač stále není čistý, projděte znovu kroky v této části a zjistěte, zda to pomůže odstranit infekce. Pokud programy v sekci 2.1 dříve nemohly správně běžet, měli byste se vrátit a zkusit je spustit znovu. Pokud se nepodařilo spustit žádný z výše uvedených programů, spusťte nouzový režim se sítí a zkuste skenovat odtud. Pokud však byli schopni správně začít a hrozby stále přetrvávají i po opětovném dodržení rad v této části, můžete přejít k další části.

2.3 V případě potřeby vyzkoušejte tyto méně rychlé metody

Pokud výše uvedená opatření infekci zcela neodstranila, pak ve vašem počítači pravděpodobně žije nějaký velmi nereagující malware. Metody popsané v této části jsou tedy mnohem výkonnější, ale budou vyžadovat více času. První věc, kterou doporučuji udělat, je prohledat váš počítač pomocí jiného anti-rootkit skeneru s názvem GMER. Lze jej stáhnout z této stránky. Odstraňte vše, co bude vystínováno červeně. Nezapomeňte kliknout na tlačítko Skenovat ihned poté, co program dokončí rychlou analýzu systému. Pokud navíc používáte 32bitový operační systém, musíte si stáhnout nástroj pro skenování a odstranění rootkitů ZeroAccess. Informace o tomto rootkitu a odkaz na program pro jeho odstranění z 32bitových systémů naleznete zde. AntiZeroAccess lze stáhnout z odkazu ve druhém odstavci.

Po skenování ve výše uvedených programech, další věc, kterou byste měli udělat, je otevřít CCE, přejít do nastavení a vybrat možnost „Vyhledat podezřelou úpravu MBR“. Poté klikněte na „OK“. Nyní v CCE proveďte úplné skenování. V případě potřeby restartujte a vše nalezené umístěte do karantény. Upozorňujeme, že tato možnost může být poměrně nebezpečná, protože může odhalit problémy tam, kde žádné nejsou. Používejte jej opatrně a ujistěte se, že vše důležité je již zálohováno. Upozorňujeme, že ve vzácných případech může skenování s těmito možnostmi způsobit, že systém nebude možné spustit. To se stává zřídka, ale i když se to stane, je to opravitelné. Pokud se váš počítač po spuštění tohoto skenování přestane spouštět, proveďte obnovení systému pomocí instalačního disku Windows. To by mělo pomoci znovu spustit váš počítač.

Po úplném dokončení CCE znovu otevřete CCE a současně podržte klávesu SHIFT. Tato akce ukončí většinu zbytečných procesů, které vám mohou bránit ve skenování. Poté otevřete KillSwitch, přejděte do nabídky „Zobrazit“ a vyberte „Skrýt bezpečné procesy“. Nyní znovu odstraňte všechny nebezpečné procesy. Poté byste také měli kliknout pravým tlačítkem myši na všechny zbývající neznámé procesy a vybrat „Kill Process“. Neodstraňujte je. při každém restartování počítače byste se měli řídit radami v tomto odstavci, abyste zajistili, že další kontroly budou co nejúčinnější.

Po dokončení všech procesů, které nebyly považovány za důvěryhodné, byste měli otevřít program HitmanPro se stisknutou klávesou CTRL. Poté spusťte „Výchozí skenování“ a dejte do karantény vše, co najde. Poté spusťte úplnou kontrolu v Malwarebytes a Emsisoft Emergency Kit. Co najdou, dejte do karantény. Poté si z této stránky stáhněte bezplatnou verzi SUPERAntiSpyware. Při instalaci buďte velmi opatrní, protože v instalačním programu jsou obsaženy další programy. Na první stránce nezapomeňte zrušit zaškrtnutí obou možností instalace Google Chrome. Nyní vyberte možnost „Vlastní instalace“. Během vlastní instalace budete muset znovu zrušit zaškrtnutí dvou políček u možnosti přidat Google Chrome.

Kromě toho se program nainstaluje perfektně. Až budete vyzváni ke spuštění bezplatné zkušební verze, doporučuji vám odmítnout. Jakmile je program plně načten, vyberte možnost provést úplnou kontrolu (Complete Scan) a klikněte na tlačítko „Skenovat váš počítač...“. Poté klikněte na tlačítko "Start Complete Scan>". Odstraňte všechny zjištěné soubory a v případě potřeby restartujte počítač.

Po dokončení těchto kroků musíte restartovat počítač. Pak to znovu otestujte pomocí rad, které uvádím v článku „“. Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nejsou nebezpečné. Pokud však váš počítač stále není vyčištěn, postupujte znovu podle kroků popsaných v této části a zjistěte, zda to pomůže odstranit infekci. Pokud ne, musíte přejít k další části.

2.4 V případě potřeby vytvořte spouštěcí disketu

Pokud výše uvedené metody zcela neodstraní infekci nebo pokud nemůžete ani spustit počítač, pak k vyčištění počítače budete možná potřebovat spouštěcí disk CD (nebo flash disk), nazývaný také spouštěcí disk. Vím, že se to může zdát jako hodně práce, ale ve skutečnosti to není tak špatné. Nezapomeňte, že tento disk musíte vytvořit na počítači, který není infikován. V opačném případě mohou být soubory poškozeny nebo dokonce infikovány.

Vzhledem k tomu, že se jedná o spouštěcí jednotku, žádný malware se před ní nemůže skrývat, deaktivovat ji ani jakkoli narušovat její činnost. Proto skenování v různých programech tímto způsobem by vám mělo umožnit vyčistit téměř jakýkoli počítač, bez ohledu na to, jak infikovaný může být. Jedinou výjimkou je případ, kdy byly na počítači infikovány samotné systémové soubory. Pokud tomu tak je, odstranění infekce může způsobit poškození systému. To je především důvod, proč jste si před zahájením úklidu zálohovali všechny důležité dokumenty. Někdy to však můžete obejít tím, že budete postupovat podle rad, které uvádím níže.

Chcete-li to provést, musíte si stáhnout . Jedná se o vynikající program, který vám umožní vytvořit jeden spouštěcí disk s více antivirovými programy. Má také mnoho dalších užitečných funkcí, které nebudu v tomto článku rozebírat. Na této stránce lze nalézt několik velmi užitečných učebnic pro SARDU. Buďte velmi opatrní ohledně dalších nabídek, které jsou nyní součástí instalačního programu. Bohužel se tento program nyní snaží oklamat lidi, aby si instalovali další programy, které jsou většinou zbytečné.

Po stažení rozbalte obsah a otevřete složku SARDU. Poté spusťte spustitelný soubor, který odpovídá vašemu operačnímu systému – buď sardu, nebo sardu_x64. Na kartě Antivirus klikněte na antivirové aplikace, které chcete zapsat na disk, který vytváříte. Můžete přidat tolik nebo málo, jak uznáte za vhodné. Doporučuji prohledat počítač alespoň pomocí Dr.Web LiveCD, Avira Rescue System a Kaspersky Rescue Disk. Jednou z pěkných věcí na Dr.Web je, že vám někdy umožňuje nahradit infikovaný soubor jeho čistou verzí, místo abyste jej jednoduše smazali. To vám pomůže vyčistit některé počítače bez poškození systému. Proto velmi doporučuji zahrnout Dr.Web do spouštěcí jednotky.

Kliknutí na názvy různých antivirových aplikací vás často přesměruje na stránku, ze které si můžete stáhnout ISO obraz odpovídajícího antiviru. Někdy budete mít možnost si ji stáhnout přímo přes SARDU, kterou najdete na kartě Downloader. Pokud máte na výběr, vždy vyberte možnost stažení ISO. Po stažení souboru ISO jej možná budete muset přesunout do složky ISO umístěné v hlavní složce SARDU. Jakmile přesunete obrazy ISO všech potřebných antivirových produktů do složky ISO, jste připraveni vytvořit nouzový spouštěcí disk. Chcete-li to provést, přejděte na kartu Antivirus a ujistěte se, že jsou zaškrtnuty všechny antiviry, které jste vybrali. Nyní klikněte na tlačítko a vytvořte buď zařízení USB, nebo disk. Každá z těchto možností bude přijatelná. Záleží jen na tom, jak chcete záchranný disk spustit – z USB nebo z CD.

Po vytvoření záchranného disku budete pravděpodobně muset změnit spouštěcí sekvenci v nastavení systému BIOS, abyste zajistili, že po vložení spouštěcího disku CD nebo zaváděcího flash zařízení se počítač spustí z něj, nikoli z operačního systému jako obvykle. Pro naše účely byste měli změnit pořadí tak, aby na prvním místě byla „jednotka CD/DVD Rom“, pokud chcete zavést systém z disku CD nebo DVD, nebo „Vyměnitelná zařízení“, pokud chcete zavést systém z jednotky flash. Jakmile to uděláte, spusťte počítač ze záchranného disku.

Po nabootování z disku si můžete vybrat, kterým antivirem chcete spustit skenování počítače. Jak jsem již zmínil dříve, doporučil bych začít s Dr.Web. Po dokončení tohoto programu a vy jste obnovili nebo smazali vše, co našel, budete muset vypnout počítač. Poté nezapomeňte znovu nabootovat z disku a poté pokračovat ve skenování jinými antiviry. Pokračujte v tomto procesu, dokud neprověříte počítač všemi antivirovými programy, které jste zapsali na spouštěcí disk.

Po vyčištění počítače v programech, které jste vypálili na disk, nyní musíte zkusit znovu spustit systém Windows. Pokud je počítač schopen spustit pod Windows, zkontrolujte to pomocí pokynů, které uvádím v článku "". Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nemohou představovat riziko.

Pokud váš počítač ještě nebyl vyčištěn, ale můžete zavést systém ze systému Windows, pak bych vám doporučil zkusit jej vyčistit v systému Windows, počínaje tímto článkem a podle doporučených metod. Pokud však váš počítač stále nemůže zavést systém Windows, zkuste jej znovu uvést do pořádku pomocí instalačního disku systému Windows. To by vám mělo pomoci znovu spustit počítač. Pokud ani to nepomůže, aby byl bootovatelný, zkuste přidat další antiviry na nouzový spouštěcí disk a poté znovu prohledejte počítač. Pokud to stále nepomůže, přečtěte si.

3. Co dělat, pokud výše uvedené metody nepomohly vyčistit počítač

Pokud jste provedli všechny výše uvedené kroky a stále se vám nedaří vyčistit počítač, ale jste přesvědčeni, že problémy způsobuje malware, byli bychom velmi vděční, kdybyste zanechali komentář a vysvětlili, co jste se pokusili udělat pro vyčištění váš počítač a co zůstalo znamení, že si myslíte, že počítač stále není vyčištěn. To je velmi důležité pro vylepšení tohoto článku. Opravdu doufám, že se do této sekce nikdy nikdo nedostane. Účelem tohoto článku je poskytnout vám příležitost kompletně vyčistit váš infikovaný počítač.

Můžete také požádat o radu specializované fórum věnované odstraňování malwaru. Velmi užitečné fórum, které je naším partnerem -. Pokud však ani po vyhledání pomoci na fóru pro odstranění malwaru váš počítač stále není bez malwaru, možná budete muset naformátovat počítač a spustit jej tímto způsobem. To znamená, že ztratíte vše, co jste si předem nezkopírovali. Pokud tak učiníte, ujistěte se, že jste před přeinstalací systému Windows plně naformátovali počítač. To zničí téměř jakýkoli typ malwaru. Po přeinstalaci systému Windows postupujte podle pokynů v části .

4. Co dělat poté, co bude veškerý malware konečně identifikován k odstranění

Jakmile se ujistíte, že je váš počítač čistý, můžete se nyní pokusit obnovit vše, co jste ztratili. Můžete použít Windows Repair (All In One) – nástroj vše v jednom, který vám umožní opravit velké množství známých problémů systému Windows, včetně chyb registru, oprávnění souborů, aplikace Internet Explorer, aktualizací systému Windows, brány Windows Firewall. Pokud po dokončení všech postupů váš počítač funguje normálně, můžete také otevřít Comodo Autorun Analyzer a vybrat možnost odebrat položky registru, které jste dříve pouze zakázali. Tím pádem již nebudou ve vašem počítači vůbec.

Jakmile bezpečně odstraníte všechny infekce z počítače a odstraníte všechny zbývající destruktivní účinky, musíte podniknout kroky, aby se to již neopakovalo. Z tohoto důvodu jsem sepsal průvodce Jak zůstat v bezpečí online (již brzy na našem webu). Přečtěte si jej poté a implementujte metody, které podle vás nejlépe vyhovují vašim potřebám.

Po zabezpečení počítače můžete nyní obnovit všechny soubory ztracené během procesu čištění, které byly dříve zálohovány. Doufejme, že tento krok nebudete muset dělat. Před jejich obnovením se také ujistěte, že je váš počítač velmi dobře chráněn. Pokud svůj počítač dostatečně nechráníte, můžete jej omylem infikovat a pak jej budete muset znovu vyčistit. Pokud jste navíc k přesunu souborů do infikovaného počítače použili zařízení USB, můžete je nyní vložit zpět do počítače a ujistit se, že v něm není žádný malware. Doporučuji to provést odstraněním všech zbývajících souborů.

Našli jste překlep? Stiskněte Ctrl + Enter

Algoritmus pro souborový virus

Po obdržení kontroly provede virus následující akce (je uveden seznam nejběžnějších akcí viru při jeho spuštění; pro konkrétní virus lze seznam doplnit, položky lze zaměnit a výrazně rozšířit):

 rezidentní virus kontroluje RAM na přítomnost své kopie a v případě, že není nalezena kopie viru, infikuje paměť počítače. Nerezidentní virus hledá neinfikované soubory v aktuálním a (nebo) kořenovém obsahu, v tabulkách s obsahem označeným příkazem PATH, skenuje strom adresářů logických jednotek a pak infikuje zjištěné soubory;

 provádí, pokud existují, další funkce: destruktivní akce, grafické nebo zvukové efekty atd. Další funkce rezidentního viru mohou být volány po určité době po aktivaci v závislosti na aktuálním čase, konfiguraci systému, interních počítadlech virů nebo jiných podmínkách; v tomto případě při aktivaci virus zpracovává stav systémových hodin, nastavuje jejich čítače atd.;

Způsob obnovení programu do původní podoby závisí na způsobu napadení souboru. Pokud je virus vložen na začátek souboru, buď posune kódy infikovaného programu o počet bajtů rovný délce viru, nebo přesune část programového kódu z konce na začátek nebo obnoví soubor na disku a poté jej spustí. Pokud je virus zapsán na konec souboru, pak při obnově programu použije informace uložené v jeho těle, když byl soubor infikován. Může to být délka souboru, několik bajtů začátku souboru v případě souboru COM nebo několik bajtů záhlaví v případě souboru EXE. Pokud je virus zapsán uprostřed souboru speciálním způsobem, pak při obnově souboru používá také speciální algoritmy.

Spouštěcí viry

Zaváděcí viry infikují spouštěcí sektor diskety a spouštěcí sektor nebo hlavní spouštěcí záznam (MBR) pevného disku. Princip fungování boot virů je založen na algoritmech pro spouštění operačního systému při zapnutí nebo restartu počítače - po nezbytných testech instalovaného hardwaru (paměti, disků atd.) načte systémový bootovací program první fyzický sektor spouštěcího disku (A:, C: nebo CD-ROM v závislosti na parametrech nastavených v nastavení BIOS) a přenese na něj řízení.

V případě diskety nebo CD přebírá řízení boot sektor, který analyzuje tabulku parametrů disku (BPB - BIOS Parameter Block), vypočítá adresy souborů operačního systému, načte je do paměti a spustí pro provedení. Pokud na spouštěcím disku nejsou žádné soubory operačního systému, program umístěný v zaváděcím sektoru disku zobrazí chybovou zprávu a navrhne výměnu zaváděcího disku.

V případě pevného disku přijímá řízení program umístěný v MBR pevného disku. Tento program analyzuje tabulku oddílů disku, vypočítá adresu aktivního zaváděcího sektoru (obvykle je tento sektor spouštěcím sektorem disku C:), načte jej do paměti a přenese na něj řízení. Po obdržení kontroly provede aktivní spouštěcí sektor pevného disku stejné akce jako spouštěcí sektor externího úložného zařízení.

Při infikování disků nahrazují spouštěcí viry svůj kód namísto jakéhokoli programu, který získá kontrolu při spouštění systému. Princip infekce je tedy ve všech výše popsaných metodách stejný: virus nutí systém po restartu načíst do paměti a předat řízení nikoli původnímu kódu bootloaderu, ale kódu viru.

Diskety se infikují jediným známým způsobem – virus zapíše svůj kód místo původního kódu boot sektoru diskety. Pevný disk je infikován třemi možnými způsoby - virus je zapsán buď místo kódu MBR, nebo místo kódu boot sektoru bootovacího disku (obvykle jednotka C:), nebo modifikuje adresu aktivního boot sektoru v tabulce oddílů disku, která se nachází v MBR pevného disku.

Když je disk infikován, virus ve většině případů přenese původní boot sektor (nebo MBR) do jiného sektoru disku. Pokud je délka viru větší než délka sektoru, pak se první část viru umístí do infikovaného sektoru, zbývající části se umístí do jiných sektorů.

Existuje několik možností, jak umístit počáteční zaváděcí sektor na disk a pokračovat ve viru: v sektorech volných shluků logického disku, v nepoužívaných nebo zřídka používaných systémových sektorech, v sektorech umístěných mimo disk.

Pokud se pokračování viru nachází v sektorech, které patří do volných diskových clusterů (při hledání těchto sektorů musí virus analyzovat alokační tabulku souborů - FAT), pak virus zpravidla označí tyto clustery ve FAT jako špatné (tzv. shluky pseudoporuchů). Tuto metodu používají viry „Brain“, „Ping-Pong“ a některé další.

Rodina virů „Stoned“ používá jinou metodu. Tyto viry umístí počáteční zaváděcí sektor do nepoužívaného nebo zřídka používaného sektoru - do jednoho ze sektorů pevného disku (pokud existuje) umístěného mezi MBR a prvním zaváděcím sektorem a na disketě je takový sektor vybrán z posledních sektorů. kořenového adresáře.

Některé viry zapisují svůj kód do posledních sektorů pevného disku, protože tyto sektory se používají pouze tehdy, když je pevný disk zcela plný informací (což je vzhledem k velikosti moderních disků poměrně vzácný jev). Méně používanou metodou je uložení pokračování viru mimo disk. Toho je dosaženo dvěma způsoby. První se týká zmenšení velikosti logických disků: virus odečte potřebné hodnoty z odpovídajících polí spouštěcího sektoru BPB a tabulky rozdělení disku pevného disku (pokud je pevný disk infikován), zmenší velikost logickou jednotku a zapíše její kód do sektorů, které jsou od ní „odříznuty“.

Druhou metodou je zápis dat mimo fyzický oddíl disku. Existují viry, které zapisují svůj kód mimo dostupné místo na pevném disku, pokud to instalované zařízení samozřejmě umožňuje.

Samozřejmě existují i ​​jiné způsoby umístění viru na disk, například viry z rodiny „Azusa“ obsahují ve svém těle standardní bootloader MBR a v případě infekce jsou zapsány přes původní MBR, aniž by jej ukládaly.

Většina virů při infikování zkopíruje do kódu svého zavaděče systémové informace uložené v původním zavaděči (pro MBR je to tabulka rozdělení disku, pro Boot sektor disket - blok parametrů BIOS). V opačném případě se systém nebude moci zavést sám, protože diskové adresy systémových komponent se vypočítávají na základě těchto informací. Takové viry lze poměrně snadno odstranit přepsáním kódu zavaděče systému v zaváděcím sektoru a MBR - k tomu je třeba zavést systém z neinfikované systémové diskety a pomocí příkazů SYS neutralizovat diskety a logické jednotky pevného disku nebo FDISK/MBR k dezinfekci infikovaného sektoru MBR.

Některé 100% stealth viry však tyto informace neukládají nebo je dokonce záměrně šifrují. Když se systém nebo jiné programy dostanou do infikovaných sektorů, virus nahradí jejich neinfikované originály a systém nabootuje bez selhání, avšak ošetření MBR pomocí FDISK/MBR v případě takového viru vede ke ztrátě informací o disku. oddíl (tabulka oddílů disku). V tomto případě musí být disk přeformátován se ztrátou všech informací nebo musí být „ručně“ obnovena tabulka rozdělení disku, což vyžaduje určitou kvalifikaci.

Je třeba také poznamenat, že boot viry velmi zřídka koexistují společně na stejném disku - často používají stejné sektory disku k umístění svého kódu/dat. V důsledku toho se kód/data prvního viru poškodí, když je infikován druhým virem, a systém buď zamrzne při bootování, nebo přejde do smyčky (což také způsobí jeho zamrznutí).

Uživatelům nových operačních systémů mohou způsobit potíže i zaváděcí viry. Navzdory tomu, že výše uvedené systémy pracují přímo s disky (obcházejí volání BIOSu), což blokuje virus a znemožňuje jeho další šíření, virový kód stále, i když velmi zřídka, získá kontrolu po restartu systému. Proto může například virus „March6“ „žít“ v MBR serveru roky a nijak neovlivňovat provoz a výkon počítačového systému. Pokud však omylem restartujete 6. března, tento virus zcela zničí všechna data na disku.

Algoritmus operace spouštění viru

Téměř všechny boot viry jsou rezidentní. Jsou uloženy v paměti počítače při spuštění z infikovaného disku. V tomto případě zavaděč systému přečte obsah prvního sektoru disku, ze kterého se bootuje, umístí přečtené informace do paměti a předá mu řízení (tedy viru). Poté se začnou provádět instrukce viru:

 Zpravidla redukuje množství volné paměti, zkopíruje svůj kód na volné místo a načte jeho pokračování (pokud existuje) z disku. Později některé viry „čekají“, až se operační systém načte a obnoví velikost paměti na původní hodnotu. V důsledku toho nejsou umístěny mimo operační systém, ale jako samostatné bloky paměti přidělené systému.

 zachytí potřebné vektory přerušení (obvykle INT 13H), načte původní boot sektor do paměti a předá mu řízení.

Následně se boot virus chová stejně jako rezidentní souborový virus: zachycuje volání operačního systému na disky a infikuje je, v závislosti na určitých podmínkách provádí destruktivní akce nebo způsobuje zvukové či obrazové efekty.

Existují nerezidentní spouštěcí viry – při načtení infikují MBR pevného disku a externího média, pokud jsou v jednotkách přítomny. Takové viry pak přenesou kontrolu na původní bootloader a již neovlivňují chod počítače.

Makroviry

Makroviry jsou programy v jazycích (makrojazycích) zabudované do některých systémů pro zpracování dat (textové editory, tabulkové procesory), animace atd. K reprodukci takové viry využívají schopnosti makro jazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru (dokumentu) do jiných. Nejrozšířenější jsou makroviry pro Microsoft Word, Excel a Office. Existují také makroviry, které infikují dokumenty Ami Pro a databáze Microsoft Access, a Flash animace. Dnes je známo mnoho systémů, pro které existují makroviry. V těchto systémech viry převezmou kontrolu, když je infikovaný soubor otevřen nebo zavřen, unesou standardní funkce souborů a pak infikují soubory, ke kterým je nějakým způsobem přistupováno.

Aby viry existovaly v konkrétním systému (editoru), je nutné mít v systému zabudovaný jazyk maker s následujícími schopnostmi:

 propojení programu v makrojazyku s konkrétním souborem;

 kopírování programů maker z jednoho souboru do druhého;

 schopnost získat kontrolu nad programem maker bez zásahu uživatele (automatická nebo standardní makra).

Tyto podmínky splňují editory Microsoft Word, Office a AmiPro, stejně jako tabulkový procesor Excel a databáze Microsoft Access. Tyto systémy obsahují makrojazyky: Word, Excel, Access, Office - Visual Basic for Applications. V tomto případě:

 makro programy jsou svázány s určitým souborem (AmiPro) nebo jsou umístěny uvnitř souboru (Word, Excel, Office);

 jazyk maker umožňuje kopírovat soubory (AmiPro) nebo přesouvat programy maker do souborů systémových služeb a upravitelných souborů (Word, Excel, Office);

 při práci se souborem za určitých podmínek (otevření, zavření atd.) jsou volány makroprogramy (pokud existují), které jsou definovány zvláštním způsobem (AmiPro) nebo mají standardní názvy (Word, Excel, Office).

Tato funkce makro jazyků je určena pro automatické zpracování dat ve velkých organizacích nebo v globálních sítích a umožňuje organizovat takzvaný „automatizovaný tok dokumentů“. Na druhou stranu makrojazykové schopnosti takových systémů umožňují viru přenést svůj kód do jiných souborů a tím je infikovat.

Fyzické umístění viru uvnitř souboru závisí na jeho formátu, který je v případě produktů Microsoft extrémně složitý - každý soubor dokumentu Word nebo tabulka Excel je posloupností datových bloků (každý z nich má také svůj vlastní formát), spojených společně s využitím velkého množství servisních dat. Tento formát se nazývá OLE2 - Object Linking and Embedding.

Většina známých virů pro Word je nekompatibilní s národními (včetně ruských) verzí Wordu nebo naopak – jsou určeny pouze pro lokalizované verze Wordu a nefungují pod jinou jazykovou verzí. Virus v dokumentu však stále zůstává aktivní a může infikovat další počítače s nainstalovanou odpovídající verzí aplikace Word.

Viry pro Word mohou infikovat počítače jakékoli třídy, nejen počítače IBM. Infekce je možná, pokud je na tomto počítači nainstalován textový editor, který je plně kompatibilní s aplikací Microsoft Word.

Je třeba také poznamenat, že složitost formátů dokumentů Wordu, tabulek Excelu a zejména Office má následující vlastnost: soubory dokumentů a tabulky obsahují datové bloky „navíc“, tzn. data, která nijak nesouvisejí s upravovaným textem nebo tabulkami, nebo jsou kopiemi jiných dat souboru, která tam náhodně skončila. Důvodem výskytu takových datových bloků je shluková organizace dat v OLE2 dokumentech a tabulkách - i když je zadán pouze jeden znak textu, je pro něj alokován jeden nebo i více datových clusterů. Při ukládání dokumentů a tabulek do clusterů, které nejsou naplněny „užitečnými“ daty, zůstává „smetí“, které končí v souboru spolu s dalšími daty.

Důsledkem toho je skutečnost, že při úpravách dokumentu se jeho velikost mění bez ohledu na akce s ním prováděné – při přidávání nového textu se může velikost souboru zmenšit, při smazání části textu naopak zvětšit. Je to stejné jako s makroviry: když je soubor infikován, jeho velikost se může zmenšit, zvětšit nebo zůstat nezměněna.

Při práci s dokumentem aplikace Word jakékoli verze provádí různé akce: otevře dokument, uloží, vytiskne, zavře atd. Word zároveň vyhledává a provádí odpovídající „vestavěná makra“ - při ukládání souboru pomocí příkazu Soubor/Uložit je voláno makro FileSave, při ukládání pomocí příkazu Soubor/UložitAs - FileSaveAs, při tisku dokumentů - FilePrint atd., pokud jsou samozřejmě definována nějaká makra.

Existuje také několik „automatických maker“, která jsou automaticky volána za různých podmínek. Například při otevření dokumentu Word zkontroluje přítomnost makra AutoOpen. Pokud takové makro existuje, Word jej spustí. Při zavírání dokumentu Word provede makro AutoClose, při spouštění Wordu se volá makro AutoExec, při vypínání AutoExit a při vytváření nového dokumentu AutoNew.

Podobné mechanismy (avšak s jinými názvy maker a funkcí) se používají v Excelu/Office, kde roli automatických a vestavěných maker plní automatické a vestavěné funkce přítomné v jakémkoli makru nebo makrech a několik může být přítomno v jednom vestavěném makru a automatických funkcích.

Makra/funkce spojené s libovolnou klávesou nebo bodem v čase nebo datu se také provádějí automaticky (tj. bez zásahu uživatele), tzn. Word/Excel zavolá makro/funkci, když je stisknuta určitá klávesa (nebo kombinace kláves) nebo když je dosaženo určitého bodu v čase. V Office jsou možnosti pro zachycení událostí poněkud rozšířené, ale princip je stejný.

Makroviry, které infikují soubory Wordu, Excelu nebo Office, zpravidla používají jednu ze tří výše uvedených metod - virus obsahuje buď automatické makro (automatická funkce), nebo přepíše jedno ze standardních systémových maker (sdružených s nějakou položkou menu), nebo se virové makro zavolá automaticky po stisknutí libovolné klávesy nebo kombinace kláves. Existují také semiviry, které nepoužívají všechny tyto techniky a reprodukují se pouze tehdy, když je uživatel samostatně spustí k provedení.

Pokud je tedy dokument infikován, Word při otevírání dokumentu zavolá infikované automatické makro AutoOpen (nebo AutoClose při zavírání dokumentu) a spustí tak kód viru, pokud není zakázáno systémovou proměnnou DisableAutoMacros. Pokud virus obsahuje makra se standardními názvy, jsou ovládána vyvoláním příslušné položky nabídky (Soubor/Otevřít, Soubor/Zavřít, Soubor/Uložit jako). Pokud je některý symbol klávesnice přepsán, virus se aktivuje až po stisknutí příslušné klávesy.

Většina makrovirů obsahuje všechny své funkce jako standardní makra Word/Excel/Office. Existují však viry, které používají techniky ke skrytí svého kódu a uložení kódu ve formě jiných než maker. Existují tři známé techniky, z nichž všechny využívají schopnost maker vytvářet, upravovat a spouštět další makra. Takové viry mají zpravidla malý (někdy polymorfní) zavaděč makra virů, který zavolá vestavěný editor maker, vytvoří nové makro, naplní jej hlavním virovým kódem, provede jej a poté jej zpravidla zničí. (skrýt stopy viru). Hlavní kód takových virů je přítomen buď v samotném makru viru ve formě textových řetězců (někdy zašifrovaných), nebo je uložen v oblasti proměnné dokumentu nebo v oblasti Auto-text.

Algoritmus makrovirů Word

Při spuštění většiny známých Word virů přenesou svůj kód (makra) do globální oblasti maker dokumentu („obecná“ makra, použijí k tomu příkazy pro kopírování maker MacroCopy, OrganizerCopy nebo pomocí editoru maker -); virus jej zavolá, vytvoří nové makro, vloží do něj váš kód, který se uloží do dokumentu.

Při ukončení aplikace Word se globální makra (včetně virových maker) automaticky zapíší do souboru globálních maker DOT (obvykle NORMAL.DOT). Při příštím spuštění editoru MS-Word se tedy virus aktivuje v okamžiku, kdy WinWord načte globální makra, tzn. hned.

Pak virus přepíše (nebo již obsahuje) jedno nebo více standardních maker (například FileOpen, FileSave, FileSaveAs, FilePrint) a zachytí tak příkazy pro práci se soubory. Když jsou tyto příkazy volány, virus infikuje soubor, ke kterému se přistupuje. K tomu virus převede soubor do formátu Template (což znemožňuje další změny formátu souboru, tj. převod do jiného formátu než šablony) a zapíše do souboru svá makra, včetně makra Auto.

Pokud tedy virus zachytí makro FileSaveAs, je infikován každý soubor DOC uložený prostřednictvím makra zachyceného virem. Pokud je makro FileOpen zachyceno, virus je zapsán do souboru při čtení z disku.

Druhý způsob zavádění viru do systému se používá mnohem méně často - je založen na tzv. „Add-in“ souborech, tzn. soubory, které jsou doplňkovými službami aplikace Word. V tomto případě se NORMAL.DOT nezmění a Word po spuštění načte virová makra ze souboru (nebo souborů) definovaných jako „Doplněk“. Tato metoda téměř úplně replikuje infekci globálních maker, s výjimkou, že makra viru nejsou uložena v NORMAL.DOT, ale v nějakém jiném souboru.

Je také možné zavést virus do souborů umístěných v adresáři STARTUP - Word automaticky načte soubory šablon z tohoto adresáře.

Algoritmus pro makroviry Excel

Metody reprodukce virů aplikace Excel jsou obecně podobné metodám reprodukce virů aplikace Word. Rozdíly jsou v příkazech kopírování makra (například Sheets.Copy) a absenci NORMAL.DOT - jeho funkci (ve virálním smyslu) plní soubory v adresáři STARTUP Excelu.

Polymorfní viry

Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují také další, spíše exotické příklady polymorfismu - například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí kontrolu na kód viru, je zcela polymorfní.

Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače

Nejjednodušším příkladem částečně polymorfního dešifrovače je následující sada příkazů, v důsledku čehož není při infikování různých souborů konstantní ani jeden bajt kódu samotného viru a jeho dešifrovače:

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z

MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP

MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit

xxx byte ptr, reg_2; xor, add nebo sub

Složitější polymorfní viry používají podstatně složitější algoritmy pro generování kódu svých dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupovány z infekce na infekci, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC , nepoužívaný registr DEC, nepoužívaný registr XCHG atd.

Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možnými režimy adresování.

Výsledkem je, že na začátku souboru infikovaného takovým virem je sada instrukcí, které na první pohled nic neříkají, a některé kombinace, které jsou docela funkční, proprietární disassemblery nepřevezmou (například kombinace CS:CS : nebo CS:NOP). A mezi touto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu

Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dešifrovačích těchto virů.

Úroveň 1: viry, které mají určitou sadu dešifrovačů s konstantním kódem a když jsou infikovány, vyberou si jeden z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: „Cheeba“, „Slovensko“, „Velryba“.

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je neperzistentní.

Úroveň 3: dešifrovač obsahuje nepoužité instrukce - „smetí“ jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a přeskupování (míchání) instrukcí. Algoritmus dešifrování se nemění.

Úroveň 5: jsou použity všechny výše uvedené techniky, dešifrovací algoritmus je nekonzistentní, je možné, že je kód viru znovu zašifrován a dokonce i částečné zašifrování samotného kódu dešifrovače.

Úroveň 6: permutující viry. Hlavní kód viru podléhá změnám - je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedené rozdělení není prosté nedostatků, protože je provedeno podle jediného kritéria - schopnosti detekovat virus dešifrovacím kódem pomocí standardní techniky virových masek:

 Úroveň 1: k detekci viru stačí mít několik masek.

 Úroveň 2: detekce masky pomocí „zástupných karet“.

 Úroveň 3: detekce maskou po odstranění instrukcí – „odpad“.

 Úroveň 4: maska ​​obsahuje několik možných možností kódu, tzn. se stává algoritmickým.

 Úroveň 5: nemožnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. V tomto viru je však algoritmus pro generování „smetí“ doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.

Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.

Změna spustitelného kódu

Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.

Tato metoda je méně často používána složitými zaváděcími viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také smíchat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.

Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „odpad“, nastaví nové hodnoty offsetu dat ve svých montážních pokynech, změní konstanty atd. . Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

Ministerstvo školství a vědy Ruské federace

Ruská obchodní a ekonomická univerzita

Kazaňský institut (pobočka)

Katedra matematiky a vyšší matematiky

Test č. 1

obor: "Informatika"

POČÍTAČOVÉ VIRY

Dokončeno:

Student 1. ročníku korespondenční

speciální oddělení fakulta

Skupina "Finance a úvěr".

Zkontrolováno:

Kazaň, 2007

PLÁN

Zavedení

1. Podstata a projev počítačových virů

2. Hlavní typy a typy počítačových virů

3. Jak se šíří viry?

4. Detekce počítačových virů

5. Preventivní opatření proti virům

Závěr

Seznam použité literatury

Zavedení

Počítačový virus– speciálně vytvořený program určený k provádění určitých akcí, které narušují práci na počítači. Mnoho virových programů je neškodných, ale bohužel ne všechny jsou zcela neškodné. Za prvé, zabírají místo v paměti RAM a na disku. Za druhé, mohou obsahovat chyby, které mohou vést k selhání systému a restartování. Pokud je tedy virus zcela neškodný, měli byste se ho přesto zbavit.

V současné době existuje několik typů a typů virů. Hlavní typy počítačových virů jsou: softwarové viry, boot viry a makroviry. V současné době je známo více než 5 000 typů softwarových virů, které lze klasifikovat podle následujících kritérií: stanoviště; způsob kontaminace biotopu; vliv; vlastnosti algoritmu.

Hlavními způsoby, jak se viry dostávají do počítače, jsou vyměnitelné disky (disketové a laserové) a také počítačové sítě. Váš pevný disk se může nakazit viry, když spouštíte počítač z diskety, která obsahuje virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A: a počítač byl restartován, přičemž disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah. Nejběžnějším způsobem šíření virů je však síť počítačů a zejména internet, kdy se přepisují a spouštějí jiné programy, například hry. Mohou nastat i jiné, spíše ojedinělé případy, kdy je do počítače vložen jiný pevný disk, který byl infikován. Abyste tomu zabránili, nabootujte ze systémové diskety a buď prohledejte pevný disk speciálními antivirovými programy, nebo ještě lépe rozdělte a naformátujte disk pomocí Fdisk a Format.

K identifikaci virů existují speciální antivirové programy, které dokážou viry detekovat a zničit. Existuje poměrně široký výběr antivirových programů. Jedná se o Aidstest (Lozinsky), Dr Web, Norton antivirus pro Windows, DSAV kit a další.

1. Podstata a projev počítačových virů

Masivní využívání osobních počítačů se bohužel ukázalo být spojeno se vznikem samoreplikujících virových programů, které narušují běžný provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači. Jakmile počítačový virus pronikne do jednoho počítače, může se rozšířit na další počítače.

Příčiny vzniku a šíření počítačových virů jsou na jedné straně skryty v psychologii lidské osobnosti a jejích stinných stránkách (závist, pomstychtivost, ješitnost neuznaných tvůrců), na straně druhé kvůli nedostatku hardwarová ochrana a působení operačního systému osobního počítače.

Navzdory zákonům přijatým v mnoha zemích k boji proti počítačové kriminalitě a vývoji speciálního antivirového softwaru počet nových softwarových virů neustále roste. To vyžaduje, aby uživatel osobního počítače měl znalosti o povaze virů, způsobech napadení viry a ochraně proti nim.

Hlavními způsoby, jak se viry dostávají do počítače, jsou vyměnitelné disky (disketové a laserové) a také počítačové sítě. Váš pevný disk se může nakazit viry, když spouštíte počítač z diskety, která obsahuje virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A: a počítač byl restartován, přičemž disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah.

Když je váš počítač napaden virem, je velmi důležité jej rychle detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří sem:

· ukončení provozu nebo nesprávné fungování dříve úspěšně fungujících programů;

· pomalý provoz počítače;

· nemožnost načíst operační systém;

· mizení souborů a adresářů nebo zkreslení jejich obsahu;

· změna data a času úpravy souboru;

· změna velikosti souborů;

· neočekávané výrazné zvýšení počtu souborů na disku;

· výrazné snížení velikosti volné paměti RAM;

· zobrazování neočekávaných zpráv nebo obrázků4

· vydávání neočekávaných zvukových signálů;

Časté zamrzání a pády v počítači.

Na základě všech těchto příznaků však nelze s jistotou říci, že se do počítače dostal virus. Protože mohou existovat další poruchy, jejichž příčinou je porucha nebo nedostatek ladění systému. Například v zakoupeném počítači, když jej spustíte, místo ruských symbolů se zobrazí nesrozumitelné symboly, které vidíte poprvé. Důvodem může být, že není nainstalován ovladač azbuky pro displej. Stejný důvod - chybějící ovladač pro tiskárnu - může také vysvětlit podivné chování tiskárny. Selhání systému může být způsobeno špatným mikroobvodem uvnitř systémové jednotky nebo v kabelovém připojení.

2. Hlavní typy a typy počítačových virů

Hlavní typy počítačových virů jsou:

Softwarové viry;

Boot viry;

Makroviry.

Mezi počítačové viry patří i tzv trojský

koně (trojské koně, trojské koně).

Softwarové viry.

Softwarové viry jsou bloky programového kódu, které jsou záměrně zabudovány do jiných aplikačních programů. Když spustíte program, který přenáší virus, spustí se v něm implantovaný kód viru.

Činnost tohoto kódu způsobuje uživateli skryté změny v souborovém systému pevných disků a/nebo v obsahu jiných programů. Například kód viru se může reprodukovat v těle jiných programů - tento proces se nazývá reprodukce. Po určité době, po vytvoření dostatečného počtu kopií, může softwarový virus přistoupit k destruktivním akcím: narušení činnosti programů a operačního systému, smazání informací uložených na pevném disku. Tento proces se nazývá virový útok.

Nejničivější viry mohou iniciovat formátování pevných disků. Vzhledem k tomu, že formátování disku je poměrně zdlouhavý proces, který by neměl zůstat bez povšimnutí uživatele, jsou softwarové viry v mnoha případech omezeny na množení dat pouze v systémových sektorech pevného disku, což se rovná ztrátě tabulek souborového systému. V tomto případě zůstanou data na pevném disku nedotčena, ale nelze je použít bez použití speciálních nástrojů, protože není známo, které sektory disku patří ke kterým souborům. Teoreticky je v tomto případě možné data obnovit, ale pracnost této práce může být extrémně vysoká.

Předpokládá se, že žádný virus nemůže poškodit počítačový hardware. Jsou však chvíle, kdy jsou hardware a software natolik propojeny, že poškození softwaru musí být vyřešeno výměnou hardwaru. Například u většiny moderních základních desek je základní vstupně/výstupní systém (BIOS) uložen v přepisovatelných paměťových zařízeních pouze pro čtení (tzv. flash paměti).

Schopnost přepisovat informace v čipu paměti flash využívají některé softwarové viry ke zničení dat systému BIOS.

V tomto případě je pro obnovení funkčnosti počítače nutné buď vyměnit čip uchovávající BIOS, nebo jej přeprogramovat pomocí speciálního softwaru.

Softwarové viry se do vašeho počítače dostanou, když spustíte neověřené programy přijaté na externím médiu (disketa, CD atd.) nebo přijaté z internetu. Zvláštní pozornost by měla být věnována slovům při spuštění. Pokud jsou infikované soubory jednoduše zkopírovány, počítač se nemůže infikovat. V tomto ohledu musí všechna data přijatá z internetu projít povinným ověřením

z důvodu bezpečnosti, a pokud jsou obdržena nevyžádaná data z neznámého zdroje, měla by být bez zkoumání zničena. Běžný způsob distribuce trojských koní je jako příloha e-mailu s „doporučením“ extrahovat a spustit údajně užitečný program.

Spouštěcí viry.

Boot viry se liší od softwarových virů v tom, jak se šíří. Neútočí na programové soubory, ale na specifické systémové oblasti magnetických médií (diskety a pevné disky). Navíc, když je počítač zapnutý, mohou být dočasně umístěny v paměti RAM.

K infekci obvykle dochází, když se počítač zavede z magnetického média, jehož systémová oblast obsahuje spouštěcí virus. Když se například pokusíte zavést počítač z diskety, virus nejprve pronikne do paměti RAM a poté do spouštěcího sektoru pevného disku. Pak se tento počítač sám stane zdrojem distribuce boot viru.

Makroviry.

Tento speciální typ viru infikuje dokumenty spouštěné v určitých aplikačních programech. Mít prostředky k provedení tzv makro příkazy Mezi takové dokumenty patří zejména dokumenty textového procesoru Microsoft Word (mají příponu

Doc). K infekci dochází při otevření souboru dokumentu v okně programu, pokud není v programu zakázána možnost spouštět makropříkazy.

Stejně jako u jiných typů virů se může výsledek útoku pohybovat od relativně neškodného až po destruktivní.

Hlavní typy počítačových virů.

V současné době je známo více než 5 000 softwarových virů, které lze klasifikovat podle následujících kritérií (obr. 1):

· stanoviště;

· způsob kontaminace biotopu;

· vliv;

· vlastnosti algoritmu.

G)

Obr.1 Klasifikace počítačových virů:

a – podle stanoviště; b – způsobem infekce;

c – podle stupně nárazu; d – podle vlastností algoritmů.

V závislosti na stanoviště Viry lze rozdělit na síťové, souborové, spouštěcí a spouštěcí viry.

Síťové viry distribuovány v různých počítačových sítích.

Souborové viry jsou zasazeny převážně do spustitelných modulů, tzn. do souborů s příponami COM a EXE. Souborové viry mohou být zabudovány do jiných typů souborů, ale obvykle po zapsání do takových souborů nikdy nezískají kontrolu, a proto ztratí schopnost reprodukce.

Spouštěcí viry jsou vloženy do spouštěcího sektoru disku (Boot) nebo do sektoru obsahujícího spouštěcí program systémového disku (Master Boot Record).

Souborové spouštěcí viry infikovat soubory i spouštěcí sektory disků.

Způsobem infekce viry se dělí na rezidentní a nerezidentní.

viry se dělí na rezidentní a nerezidentní. při infikování počítače zanechá svou rezidentní část v paměti RAM, která následně zachytí přístup operačního systému k objektům infekce (soubory, boot sektory atd.) a vloží se do nich. Rezidentní viry jsou uloženy v paměti a jsou aktivní, dokud není počítač vypnut nebo restartován.

Nerezidentní viry neinfikují paměť počítače a jsou aktivní po omezenou dobu.

Podle stupně dopadu Viry lze rozdělit do následujících typů:

1. není nebezpečný, nezasahuje do provozu počítače, ale snižuje množství volné paměti RAM a disku, akce takových virů se projevují v některých grafických nebo zvukových efektech;

2. nezasahuje do provozu počítače, ale snižuje množství volné paměti RAM a disku, akce takových virů se projevují v některých grafických nebo zvukových efektech; viry, které mohou vést k různým problémům s vaším počítačem;

3. velmi nebezpečné, jehož dopad může vést ke ztrátě programů, zničení dat a vymazání informací v systémových oblastech disku.

3. Jak se šíří viry?

Existuje několik způsobů, především prostřednictvím disket. Pokud jste dostali disketu od kamaráda, který má v počítači virus, pak je s největší pravděpodobností disketa infikovaná. Zde jsou dvě možné možnosti. První je, že se virus nachází v systémové oblasti disku, a druhý, že existuje jeden nebo více infikovaných souborů. Jak již bylo zmíněno, virus musí získat kontrolu, takže pokud se jedná o systémovou disketu, tak při bootování z ní můžete infikovat počítač. Pokud se jedná o systémovou disketu a pokusili jste se z ní zavést počítač a na obrazovce se objevila zpráva: Non system disk (nesystémový disk), pak v tomto případě můžete infikovat váš počítač, protože každá disketa má zavaděč operačního systému a po jeho zapnutí získá kontrolu.

Druhou možností jsou infikované soubory. Ne všechny soubory mohou být infikovány. Takže pokud je tam například text dopisu nebo jiného dokumentu napsaný pomocí editoru Norton Commander, pak tam žádný virus nebude. I kdyby tam skončil náhodou, pak po zobrazení souboru pomocí stejného nebo podobného editoru můžete na samém začátku nebo konci takového souboru vidět nesrozumitelné znaky, které je lepší zničit. Jiné editory vytvářejí soubory, které obsahují kontrolní informace, jako je velikost nebo typ písma, odsazení, různé převodní tabulky atd. Zpravidla je téměř nemožné se přes takový soubor nakazit. Verze editoru Word 6.0 a 7.0 však mají schopnost obsahovat makropříkazy na samém začátku dokumentu, na který se řízení přenese, a tak se může v dokumentech šířit virus.

Dalšími způsoby šíření virů je přenos na jiná paměťová média, například na jednotky CD-ROM, což je poměrně vzácné. Stalo se, že při nákupu licencovaného softwaru se ukázalo, že je infikován virem, ale takové případy jsou extrémně vzácné.

Zvláštností CD-ROM disků je, že se na ně nezapisují informace. Pokud byl disk CD-ROM bez virů v infikovaném počítači, nebude infikován. Pokud však obsahuje informace infikované virem, pak žádné antivirové programy nebudou schopny disk od virů vyčistit.

Nejběžnějším způsobem šíření virů je síť počítačů a zejména internet, kdy se přepisují a spouštějí jiné programy, například hry. Mohou nastat i jiné, spíše ojedinělé případy, kdy je do počítače vložen jiný pevný disk, který byl infikován. Abyste tomu zabránili, nabootujte ze systémové diskety a buď prohledejte pevný disk speciálními antivirovými programy, nebo ještě lépe rozdělte a naformátujte disk pomocí Fdisk a Format.

4. Detekce počítačových virů

K identifikaci virů existují speciální antivirové programy, které dokážou viry detekovat a zničit. Ne všechny viry však lze detekovat, protože se objevují stále nové a nové formy.

Antivirový program je podobný léku, to znamená, že na některé viry působí selektivně, zatímco jiné vynechává. Pokud se tedy na počítači každý den (týden, měsíc) spouští antivirový program, pak ještě není stoprocentní jistota, že viry odhalí.

Existuje poměrně široký výběr antivirových programů. Jedná se o Aidstest (Lozinsky), Dr Web, Norton antivirus pro Windows, DSAV kit a další. Podle způsobu fungování je lze rozdělit do tří typů:

1) Detektory, vyrábějící snímání. Toto je nejjednodušší a nejběžnější forma, která zahrnuje prohlížení souborů a zaváděcích záznamů za účelem kontroly jejich obsahu a zjištění podpisu (podpis je kód virového programu). Kromě skenování podpisu lze použít metodu heuristické analýzy: kontrolou kódů pro identifikaci kódů charakteristických pro viry, detektory odstraňují detekované viry, nazývané polyfágy. Tyto programy mohou provádět heuristickou analýzu a detekovat nové viry.

2) Auditoři– programy, které si pamatují stav souborů a systémových oblastí, často pomocí výpočtu kontrolního součtu nebo velikosti souboru.

3) Programy - filtry, nebo rezidentní hlídači, trvale umístěný v paměti RAM počítače a analyzující spuštěné soubory a vložené diskety. Informují uživatele o pokusu o změnu boot sektoru, vzhledu rezidentního programu, možnosti zápisu na disk atp.

4) Hardwarová ochrana je řadič, který se vkládá do rozšiřujícího konektoru a hlídá přístup k disketám a pevným diskům. můžete chránit určité části, jako jsou spouštěcí záznamy, spustitelné soubory, konfigurační soubory atd. Na rozdíl od předchozích metod může fungovat i při napadení počítače.

5) Jsou tam také nainstalované programy BIOS počítač, když se při pokusu o zápis do spouštěcího sektoru objeví na obrazovce zpráva o tom.

5. Preventivní opatření proti virům

Pro prevenci potřebujete:

1. Archivovat data. Archivace je záznam souborů na vyměnitelné médium. Nejčastěji tuto roli plní diskety nebo magnetické pásky používané ve speciálních zařízeních (streamerech). Například si nemusíte pamatovat soubory Windows, pokud máte instalační disketu, ze které můžete restartovat systém a obnovit soubory. Pokud má tedy počítač mezi vyměnitelnými zařízeními pouze diskety, musíte si zapamatovat informace, které je obtížné obnovit.

Archivace. Informace se zpravidla zaznamenávají na více než jeden disk. Řekněme, že informace jsou umístěny na jedné disketě a kopírování se provádí jednou týdně. Nejprve se informace nahraje 4. srpna, příště 11. srpna se provede záznam na jinou disketu ze stejných adresářů. 18. srpna proběhne opět záznam na první disketu, 25. srpna na druhou, poté znovu na první atd., k tomu je potřeba mít alespoň dvě diskety. Faktem je, že při zápisu na disketu může dojít k selhání a dojde ke ztrátě většiny informací. Na domácím počítači je potřeba čas od času pořizovat kopie, ale četnost si určuje uživatel.

2. Takže všechno informace, přijaté z jiných počítačů, zaškrtnuto antivirové programy. Již dříve bylo napsáno, že některé soubory, například s grafickými informacemi, jsou z hlediska virové infekce celkem bezpečné. Pokud jsou tedy na disketě pouze tyto informace, nejsou tyto informace nebezpečné. Pokud je detekován virus, je třeba zkontrolovat všechny počítače, které byly k infikovanému připojeny přes diskety nebo síť. Virus je nutné odstranit nejen z pevného disku, ale také z disket a archivních souborů. Pokud máte podezření na přítomnost viru ve vašem počítači nebo se informace do vašeho počítače přenášejí pomocí disket nebo internetu, můžete nainstalovat antivirové programy Autoexec . V na, takže po zapnutí počítače začnou fungovat.

3. Nespouštějte z neznámých disket. Při spouštění z pevného disku se ujistěte, že v jednotce A: nebo B: nejsou žádné diskety, zejména z jiných počítačů.

Závěr

Masivní využívání osobních počítačů se bohužel ukázalo být spojeno se vznikem samoreplikujících virových programů, které narušují běžný provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači.

Počítačový virus– speciálně vytvořený program určený k provádění určitých akcí, které narušují práci na počítači.

Jakmile počítačový virus pronikne do jednoho počítače, může se rozšířit na další počítače.

Virový program je napsán v jazyce assembler, aby měl malou velikost a rychlé provádění, ačkoli existují programy napsané v C, Pascalu a dalších jazycích. Mnoho rezidentních virových programů využívá principy vyvinuté v ovladačích, to znamená, že adresu virového programu nastaví v tabulce přerušení a po skončení činnosti viru přenesou řízení na běžný program, jehož adresa byla dříve v tabulka přerušení. Tomu se říká zachycení kontroly.

Existují automatizované programy pro vytváření nových virů, které umožňují vytvářet zdrojový text viru interaktivně v jazyce assembler. Při vstupu do balíčku můžete nastavit možnosti, které vám umožní určit, jaké destruktivní akce virus provede, zda bude šifrovat text svého strojového kódu, jak rychle bude infikovat soubory na discích a podobně.

Hlavní věc, kterou virus potřebuje, je získat kontrolu, aby mohl začít svou práci. Pokud by virus okamžitě začal provádět akci, která je mu vlastní, bylo by snazší jej identifikovat a vyčistit od něj počítač. Potíž je v tom, že viry se nemusí objevit okamžitě, když se objeví v počítači, ale po určité době, například v určitý den.

V moderním světě existuje mnoho antivirových programů, které dokážou viry detekovat a zničit. Ne všechny viry však lze detekovat, protože se objevují stále nové a nové formy.

Aby virový program nekazil antivirový program, měl by být načten ze systémové diskety, zavést počítač ze systémového disku a spustit antivirový program.

Udržujte svůj antivirový software aktualizovaný, protože novější verze mohou detekovat více typů virů. Chcete-li aktualizovat nejnovější verze antivirových programů, můžete je přijímat prostřednictvím modemu nebo můžete zavolat specialistům antivirových společností.

Seznam použité literatury

1. A. Kostsov, V. Kostsov. Skvělá encyklopedie. Vše o osobním počítači. – M.: „Martin“, 2003. – 720 s.

2. Informatika: učebnice. – 3. revize vyd. / Ed. N. V. Makarova. – M.: Finance a statistika, 2005. – 768 s.: ill.

3. Informatika pro právníky a ekonomy. / Edited by S. V. Simonovich and others - St. Petersburg: St. Petersburg, 2001. - 688 s. 6 ill.