Jaké počítačové viry existují? Metody boje? Algoritmus pro souborový virus

Pomocí tipů „Jak vyčistit infikovaný počítač“ uvedených v tomto článku můžete ze svého počítače odstranit jakýkoli typ malwaru a vrátit jej do funkčního stavu.

1. Ujistěte se, že je váš počítač skutečně infikován

Než se pokusíte odstranit jakoukoli infekci z počítače, musíte se ujistit, že je počítač skutečně infikován. Chcete-li to provést, podívejte se na doporučení uvedená v článku "". Pokud to skutečně znamená, že je váš počítač infikován, pokračujte kroky v další části. Ujistěte se, že je děláte ve správném pořadí.

2. Jak vyčistit počítač a ujistit se, že je opravdu čistý

Upozorňujeme, že pokročilí uživatelé zde mohou jednoduše přeskočit na poslední část o a podle toho vyčistit počítač. Je to nejúčinnější přístup, ale také jeden z časově nejnáročnějších. V případě potřeby však můžete přejít přímo k této části a poté se vrátit zpět na začátek, pokud infekce nebyla zcela odstraněna.

2.1 Čištění počítače pomocí CCE a TDSSKiller

Stáhněte si Comodo Cleaning Essentials (CCE) z této stránky. Ujistěte se, že jste vybrali správnou verzi pro váš operační systém. Pokud si nejste jisti, zda váš počítač používá 32bitový nebo 64bitový operační systém, viz. Z této stránky si také stáhněte Kaspersky TDSSKiller. Pokud se vám některý z těchto programů nedaří stáhnout nebo vám nefunguje připojení k internetu, budete to muset udělat pomocí jiného počítače a přenést jej do infikovaného pomocí flash disku. Ujistěte se, že na jednotce flash nejsou žádné další soubory. S flashovým zařízením buďte opatrní, protože jej při vložení do počítače může infikovat malware. Po přenesení těchto programů jej proto nepřipojujte k žádnému jinému počítači. Také bych rád zdůraznil, že oba programy jsou přenosné. To znamená, že jakmile je skončíte s jejich používáním, nebudete je muset odinstalovat. Stačí smazat jejich složky a budou smazány.

Jakmile stáhnete CCE, rozbalte soubor, otevřete složku a poklepejte na soubor s názvem „CCE“. Otevře se hlavní okno Comodo Cleaning Essentials. Pokud se neotevře, stiskněte a podržte klávesu Shift a dvakrát klikněte na soubor s názvem „CCE“. Jakmile se CCE úspěšně otevře, můžete uvolnit klávesu Shift. Neuvolňujte jej však, dokud se program zcela nenačte do paměti. Pokud jej uvolníte alespoň během výzvy UAC, nebude se moci správně otevřít ani pomocí vynucené metody. Podržení Shift pomůže otevřít i na silně infikovaných počítačích. Dělá to potlačením mnoha zbytečných procesů, které by mu mohly bránit v běhu. Pokud to stále nepomůže s jeho spuštěním, stáhněte si a spusťte program s názvem RKill. Lze jej stáhnout z této stránky. Tento program zastaví známé škodlivé procesy. Jakmile je tedy CCE spuštěno, mělo by se spustit perfektně.

Jakmile je spuštěn, spusťte Smart Scan v CCE a dejte do karantény vše, co najde. Tento program také hledá systémové změny, které mohl způsobit malware. Budou zobrazeny ve výsledcích. Doporučil bych povolit programu, aby to také vyřešil. Po zobrazení výzvy restartujte počítač. Po restartování počítače spusťte Kaspersky TDSSKiller, naskenujte a dejte do karantény, co bylo nalezeno.

Pokud vaše internetové připojení dříve nefungovalo, zkontrolujte, zda nyní funguje. Pro další kroky v této části bude vyžadováno platné připojení k internetu.

Jakmile je skenování CCE dokončeno a jste si jisti, že vaše připojení k internetu funguje, otevřete CCE znovu. Doufejme, že se tentokrát otevře, ale pokud ne, otevřete jej při stisknuté klávese Shift. Poté z nabídky "Nástroje" v CCE otevřete KillSwitch. V KillSwitch v nabídce „Zobrazit“ vyberte možnost „Skrýt bezpečné procesy“. Poté klikněte pravým tlačítkem myši na všechny procesy, které jsou označeny jako podezřelé nebo nebezpečné, a vyberte možnost je odebrat. Měli byste také kliknout pravým tlačítkem na všechny neznámé procesy, které zůstávají, a vybrat možnost „Kill Process“. Neodstraňujte procesy označené jako FLS.Unknown. Dále v CCE spusťte z nabídky nástrojů Autorun Analyzer a z nabídky „Zobrazit“ vyberte možnost „Skrýt bezpečné položky“. Poté zakažte všechny položky patřící k souborům, které jsou označeny jako podezřelé nebo nebezpečné. Můžete to provést zrušením zaškrtnutí políček vedle položek. Měli byste také zakázat všechny položky, které jsou označeny jako FLS.Unknown, ale o kterých si myslíte, že jsou pravděpodobně malware. Neodstraňujte žádné položky.

Nyní restartujte počítač. Po restartu znovu zkontrolujte počítač pomocí rad, které uvádím v článku „“. Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nejsou nebezpečné. Všimněte si také, že i když je váš počítač bez aktivních infekcí, stále na něm mohou být kousky malwaru. Nejsou nebezpečné, ale nebuďte překvapeni, pokud skenování pomocí jiného programu stále najde malware ve vašem počítači. Toto jsou spící zbytky toho, co jste právě smazali. Pokud nejste spokojeni s přítomností těchto zbytků ve vašem počítači, můžete drtivou většinu z nich odstranit skenováním pomocí programů zmíněných v další části.

Pokud však váš počítač ještě není vyčištěn od aktivních infekcí, ale alespoň jeden z programů se podařilo spustit, projděte znovu kroky popsané v této části a zjistěte, zda se tím infekce odstraní. Pokud se však nepodařilo spustit žádný z programů, přejděte k další části. Navíc, i když k vyčištění počítače nestačí znovu postupovat podle pokynů v této části, musíte přejít k další části.

2.2 Pokud váš počítač stále není čistý, proveďte skenování pomocí HitmanPro, Malwarebytes a Emsisoft Anti-Malware

Pokud výše uvedené kroky nepomohly k úplnému odstranění infekce, musíte si stáhnout HitmanPro z této stránky. Nainstalujte program a spusťte "Výchozí skenování". Pokud se nenainstaluje, přejděte na další odstavec a nainstalujte Malwarebytes. Po zobrazení výzvy během instalace HitmanPro doporučuji vybrat možnost provést pouze jednorázovou kontrolu počítače. To by mělo vyhovovat většině uživatelů. Pokud malware brání správnému spuštění, otevřete program podržením klávesy CTRL, dokud se nenačte do paměti. Dejte do karantény jakékoli zamoření, které najde. Mějte na paměti, že tento program bude schopen odstranit infekce pouze 30 dní po instalaci. Během odinstalace budete požádáni o aktivaci zkušební licence.

Jakmile HitmanPro odstraní všechny zjištěné infekce nebo pokud se Hitman Pro nepodaří nainstalovat, musíte si stáhnout bezplatnou verzi Malwarebytes z této stránky. Všimněte si, že má technologii chameleon, která by mu měla pomoci nainstalovat i na silně infikované počítače. Doporučuji vám, abyste během instalace zrušili zaškrtnutí políčka „Povolit bezplatnou zkušební verzi Malwarebytes Anti-Malware Pro“. Ujistěte se, že je program zcela aktualizován, a poté spusťte rychlou kontrolu. Každou infekci, kterou najde, dejte do karantény. Pokud vás nějaký program vyzve k restartování počítače, nezapomeňte jej restartovat.

Pak si z této stránky stáhněte Emsisoft Emergency Kit. Po dokončení stahování extrahujte obsah souboru zip. Poté dvakrát klikněte na soubor s názvem „start“ a otevřete „Emergency Kit Scanner“. Po zobrazení výzvy povolte programu aktualizaci databáze. Po aktualizaci se vraťte do nabídky Zabezpečení. Poté přejděte na „Ověřit“ a vyberte „Rychle“ a poté klikněte na „Ověřit“. Po dokončení kontroly dejte všechny zjištěné položky do karantény. Restartujte počítač pokaždé, když to potřebujete.

Po skenování počítače pomocí těchto programů jej musíte restartovat. Poté znovu zkontrolujte svůj počítač pomocí tipů, které uvádím v článku „“. Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nejsou nebezpečné. Pokud však váš počítač stále není čistý, projděte znovu kroky v této části a zjistěte, zda to pomůže odstranit infekce. Pokud programy v sekci 2.1 dříve nemohly správně běžet, měli byste se vrátit a zkusit je spustit znovu. Pokud se nepodařilo spustit žádný z výše uvedených programů, spusťte nouzový režim se sítí a zkuste skenovat odtud. Pokud však byli schopni správně začít a hrozby stále přetrvávají i po opětovném dodržení rad v této části, můžete přejít k další části.

2.3 V případě potřeby vyzkoušejte tyto méně rychlé metody

Pokud výše uvedená opatření infekci zcela neodstranila, pak ve vašem počítači pravděpodobně žije nějaký velmi nereagující malware. Metody popsané v této části jsou tedy mnohem výkonnější, ale budou vyžadovat více času. První věc, kterou doporučuji udělat, je prohledat váš počítač pomocí jiného anti-rootkit skeneru s názvem GMER. Lze jej stáhnout z této stránky. Odstraňte vše, co bude vystínováno červeně. Nezapomeňte kliknout na tlačítko Skenovat ihned poté, co program dokončí rychlou analýzu systému. Pokud navíc používáte 32bitový operační systém, musíte si stáhnout nástroj pro skenování a odstranění rootkitů ZeroAccess. Informace o tomto rootkitu a odkaz na program pro jeho odstranění z 32bitových systémů naleznete zde. AntiZeroAccess lze stáhnout z odkazu ve druhém odstavci.

Po skenování ve výše uvedených programech, další věc, kterou byste měli udělat, je otevřít CCE, přejít do nastavení a vybrat možnost „Vyhledat podezřelou úpravu MBR“. Poté klikněte na „OK“. Nyní v CCE proveďte úplné skenování. V případě potřeby restartujte a vše nalezené umístěte do karantény. Upozorňujeme, že tato možnost může být relativně nebezpečná, protože může odhalit problémy tam, kde žádné nejsou. Používejte jej opatrně a ujistěte se, že vše důležité je již zálohováno. Upozorňujeme, že ve vzácných případech může skenování s těmito možnostmi způsobit, že systém nebude možné spustit. To se stává zřídka, ale i když se to stane, je to opravitelné. Pokud se váš počítač po spuštění tohoto skenování přestane spouštět, proveďte obnovení systému pomocí instalačního disku Windows. To by mělo pomoci znovu spustit váš počítač.

Po úplném dokončení CCE znovu otevřete CCE a současně podržte klávesu SHIFT. Tato akce ukončí většinu zbytečných procesů, které vám mohou bránit ve skenování. Poté otevřete KillSwitch, přejděte do nabídky „Zobrazit“ a vyberte „Skrýt bezpečné procesy“. Nyní znovu odstraňte všechny nebezpečné procesy. Poté byste také měli kliknout pravým tlačítkem myši na všechny zbývající neznámé procesy a vybrat „Kill Process“. Neodstraňujte je. při každém restartování počítače byste se měli řídit radami v tomto odstavci, abyste zajistili, že další kontroly budou co nejúčinnější.

Po dokončení všech procesů, které nebyly považovány za důvěryhodné, byste měli otevřít program HitmanPro se stisknutou klávesou CTRL. Poté spusťte „Výchozí skenování“ a dejte do karantény vše, co najde. Poté spusťte úplnou kontrolu v Malwarebytes a Emsisoft Emergency Kit. Co najdou, dejte do karantény. Poté si z této stránky stáhněte bezplatnou verzi SUPERAntiSpyware. Při instalaci buďte velmi opatrní, protože v instalačním programu jsou obsaženy další programy. Na první stránce nezapomeňte zrušit zaškrtnutí obou možností instalace Google Chrome. Nyní vyberte možnost „Vlastní instalace“. Během vlastní instalace budete muset znovu zrušit zaškrtnutí dvou políček u možnosti přidat Google Chrome.

Kromě toho se program nainstaluje perfektně. Až budete vyzváni ke spuštění bezplatné zkušební verze, doporučuji vám odmítnout. Jakmile je program plně načten, vyberte možnost Kompletní kontrola a klikněte na tlačítko "Skenovat počítač...". Poté klikněte na tlačítko "Start Complete Scan>". Odstraňte všechny zjištěné soubory a v případě potřeby restartujte počítač.

Po dokončení těchto kroků musíte restartovat počítač. Pak to znovu otestujte pomocí rad, které uvádím v článku "". Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nejsou nebezpečné. Pokud však váš počítač stále není vyčištěn, postupujte znovu podle kroků popsaných v této části a zjistěte, zda to pomůže odstranit infekci. Pokud ne, musíte přejít k další části.

2.4 V případě potřeby vytvořte spouštěcí disketu

Pokud výše uvedené metody zcela neodstraní infekci nebo pokud nemůžete ani spustit počítač, pak k vyčištění počítače budete možná potřebovat spouštěcí disk CD (nebo flash disk), nazývaný také spouštěcí disk. Vím, že se to může zdát jako hodně práce, ale ve skutečnosti to není tak špatné. Nezapomeňte, že tento disk musíte vytvořit na počítači, který není infikován. V opačném případě mohou být soubory poškozeny nebo dokonce infikovány.

Vzhledem k tomu, že se jedná o spouštěcí jednotku, žádný malware se před ní nemůže skrývat, deaktivovat ji ani jakkoli narušovat její činnost. Proto skenování v různých programech tímto způsobem by vám mělo umožnit vyčistit téměř každý počítač, bez ohledu na to, jak je infikovaný. Jedinou výjimkou je případ, kdy byly na počítači infikovány samotné systémové soubory. Pokud tomu tak je, odstranění infekce může způsobit poškození systému. To je především důvod, proč jste si před zahájením úklidu zálohovali všechny důležité dokumenty. Někdy to však můžete obejít tím, že budete postupovat podle rad, které uvádím níže.

Chcete-li to provést, musíte si stáhnout . Jedná se o vynikající program, který vám umožní vytvořit jeden spouštěcí disk s více antivirovými programy. Má také mnoho dalších užitečných funkcí, které nebudu v tomto článku rozebírat. Na této stránce lze nalézt několik velmi užitečných učebnic pro SARDU. Buďte velmi opatrní ohledně dalších nabídek, které jsou nyní součástí instalačního programu. Bohužel se tento program nyní snaží oklamat lidi, aby si instalovali další programy, které jsou většinou zbytečné.

Po stažení rozbalte obsah a otevřete složku SARDU. Poté spusťte spustitelný soubor, který odpovídá vašemu operačnímu systému – buď sardu, nebo sardu_x64. Na kartě Antivirus klikněte na antivirové aplikace, které chcete zapsat na disk, který vytváříte. Můžete přidat tolik nebo málo, jak uznáte za vhodné. Doporučuji prohledat počítač alespoň pomocí Dr.Web LiveCD, Avira Rescue System a Kaspersky Rescue Disk. Jednou z pěkných věcí na Dr.Web je, že vám někdy umožňuje nahradit infikovaný soubor jeho čistou verzí, místo abyste jej jednoduše smazali. To vám pomůže vyčistit některé počítače bez poškození systému. Proto velmi doporučuji zahrnout Dr.Web do spouštěcí jednotky.

Kliknutí na názvy různých antivirových aplikací vás často přesměruje na stránku, ze které si můžete stáhnout ISO obraz odpovídajícího antiviru. Někdy budete mít možnost si ji stáhnout přímo přes SARDU, kterou najdete na kartě Downloader. Pokud máte na výběr, vždy vyberte možnost stažení ISO. Po stažení souboru ISO jej možná budete muset přesunout do složky ISO umístěné v hlavní složce SARDU. Jakmile přesunete obrazy ISO všech potřebných antivirových produktů do složky ISO, jste připraveni vytvořit nouzový spouštěcí disk. Chcete-li to provést, přejděte na kartu Antivirus a ujistěte se, že jsou zaškrtnuty všechny antiviry, které jste vybrali. Nyní klikněte na tlačítko a vytvořte buď zařízení USB, nebo disk. Každá z těchto možností bude přijatelná. Záleží jen na tom, jak chcete záchranný disk spustit – z USB nebo z CD.

Po vytvoření záchranného disku budete pravděpodobně muset změnit spouštěcí sekvenci v nastavení systému BIOS, abyste zajistili, že po vložení spouštěcího disku CD nebo zaváděcího flash zařízení se počítač spustí z něj, nikoli z operačního systému jako obvykle. Pro naše účely byste měli změnit pořadí tak, aby na prvním místě byla „jednotka CD/DVD Rom“, pokud chcete zavést systém z disku CD nebo DVD, nebo „Vyměnitelná zařízení“, pokud chcete zavést systém z jednotky flash. Jakmile to uděláte, spusťte počítač ze záchranného disku.

Po nabootování z disku si můžete vybrat, kterým antivirem chcete spustit skenování počítače. Jak jsem již zmínil dříve, doporučil bych začít s Dr.Web. Po dokončení tohoto programu a vy jste obnovili nebo smazali vše, co našel, budete muset vypnout počítač. Poté nezapomeňte znovu nabootovat z disku a poté pokračovat ve skenování jinými antiviry. Pokračujte v tomto procesu, dokud neproskenujete počítač všemi antivirovými programy, které jste na spouštěcím disku nainstalovali.

Po vyčištění počítače v programech, které jste vypálili na disk, nyní musíte zkusit znovu spustit systém Windows. Pokud je počítač schopen spustit pod Windows, zkontrolujte to pomocí pokynů, které uvádím v článku "". Pokud je vše v pořádku, můžete přejít do sekce " ". Pamatujte, že zakázané položky registru nemohou představovat riziko.

Pokud váš počítač ještě nebyl vyčištěn, ale můžete zavést systém ze systému Windows, pak bych vám doporučil zkusit jej vyčistit v systému Windows, počínaje tímto článkem a podle doporučených metod. Pokud však váš počítač stále nemůže zavést systém Windows, zkuste jej znovu uvést do pořádku pomocí instalačního disku systému Windows. To by vám mělo pomoci znovu spustit počítač. Pokud ani to nepomůže, aby byl bootovatelný, zkuste přidat další antiviry na nouzový spouštěcí disk a poté znovu prohledejte počítač. Pokud to stále nepomůže, přečtěte si.

3. Co dělat, pokud výše uvedené metody nepomohly vyčistit počítač

Pokud jste provedli všechny výše uvedené kroky a stále se vám nedaří vyčistit počítač, ale jste přesvědčeni, že problémy způsobuje malware, byli bychom velmi vděční, kdybyste zanechali komentář a vysvětlili, co jste se pokusili udělat pro vyčištění váš počítač a co zůstalo znamení, že si myslíte, že počítač stále není vyčištěn. To je velmi důležité pro vylepšení tohoto článku. Opravdu doufám, že se do této sekce nikdy nikdo nedostane. Účelem tohoto článku je poskytnout vám příležitost kompletně vyčistit váš infikovaný počítač.

Můžete také požádat o radu specializované fórum věnované odstraňování malwaru. Velmi užitečné fórum, které je naším partnerem -. Pokud však ani po vyhledání pomoci na fóru pro odstranění malwaru váš počítač stále není bez malwaru, možná budete muset naformátovat počítač a spustit jej tímto způsobem. To znamená, že ztratíte vše, co jste si předem nezkopírovali. Pokud tak učiníte, ujistěte se, že jste před přeinstalací systému Windows plně naformátovali počítač. To zničí téměř jakýkoli typ malwaru. Po přeinstalaci systému Windows postupujte podle pokynů v části .

4. Co dělat poté, co bude veškerý malware konečně identifikován k odstranění

Jakmile se ujistíte, že je váš počítač čistý, můžete se nyní pokusit obnovit vše, co jste ztratili. Můžete použít Windows Repair (All In One) – nástroj vše v jednom, který vám umožní opravit velké množství známých problémů systému Windows, včetně chyb registru, oprávnění souborů, aplikace Internet Explorer, aktualizací systému Windows, brány Windows Firewall. Pokud po dokončení všech postupů váš počítač funguje normálně, můžete také otevřít Comodo Autorun Analyzer a vybrat možnost odebrat položky registru, které jste dříve pouze zakázali. Tím pádem již nebudou ve vašem počítači vůbec.

Jakmile bezpečně odstraníte všechny infekce z počítače a odstraníte všechny zbývající destruktivní účinky, musíte podniknout kroky, aby se to již neopakovalo. Z tohoto důvodu jsem sepsal příručku Jak zůstat v bezpečí online (již brzy na našem webu). Přečtěte si jej poté a implementujte metody, které podle vás nejlépe vyhovují vašim potřebám.

Po zabezpečení počítače můžete nyní obnovit všechny soubory ztracené během procesu čištění, které byly dříve zálohovány. Doufejme, že tento krok nebudete muset dělat. Před jejich obnovením se také ujistěte, že je váš počítač velmi dobře chráněn. Pokud svůj počítač dostatečně nechráníte, můžete jej omylem infikovat a pak jej budete muset znovu vyčistit. Pokud jste navíc k přesunu souborů do infikovaného počítače použili zařízení USB, můžete je nyní vložit zpět do počítače a ujistit se, že v něm není žádný malware. Doporučuji to provést odstraněním všech zbývajících souborů.

Našli jste překlep? Stiskněte Ctrl + Enter

POČÍTAČOVÉ VIRY

A poškozené a infikované soubory
Klasifikace virů PREVENCE A BOJ S POČÍTAČOVÝMI VIRY

ÚVOD

V současné době je mnoho oblastí lidské činnosti spojeno s používáním počítačů. Proč jsou tyto elektronické stroje tak těsně integrovány do našich životů? Všechno je docela triviální. Provádějí rutinní výpočetní a konstrukční práce, čímž uvolňují náš mozek pro potřebnější a zodpovědnější úkoly. Výsledkem je, že únava prudce klesá a my začínáme pracovat mnohem produktivněji než bez použití počítače.
Schopnosti moderních počítačů ohromují nejdivočejší představivost. Jsou schopny paralelně vykonávat několik úkolů, jejichž složitost je poměrně vysoká. Z tohoto důvodu někteří výrobci uvažují o vytvoření umělé inteligence. Už nyní se práce počítače podobá práci inteligentního elektronického lidského asistenta.
Kdo by si ale pomyslel, že tento elektronický zázrak techniky se vyznačuje nemocemi podobnými těm lidským. Stejně jako člověk může být napaden „virem“, ale počítačovým. A pokud nic nepodniknete, počítač brzy „onemocní“, tzn. začnou provádět nesprávné akce nebo dokonce „umřít“, tzn. Škody způsobené „virem“ budou velmi vážné. Co jsou počítačové viry a jak s nimi bojovat, bude diskutováno dále.

POČÍTAČOVÉ VIRY

Co je počítačový virus?

Dnes existuje několik hlavních typů malwaru:
- klasický počítačový virus;
- "Trojský" nebo trojský kůň (troj);
- červ;
- špión nebo špión, keyloger
- rootkick;
- bot nebo zombie.

Svého času byly nejrozšířenější klasické viry – jejich tvůrci však jen zřídka vycházeli s konkrétním cílem poškodit koncového uživatele, ale spíše pro vzdělávací účely. Dnešní autoři virů sledují naprosto jasné a srozumitelné cíle – peníze a jejich „mozkovci“ se stali mnohem nebezpečnějšími než jejich předchůdci. Dovolte mi tedy představit nejnebezpečnější predátory dnešního informačního prostoru – to jsou trojské koně a červi.
Trojan nebo troj dostal své jméno kvůli podobnosti mezi metodou infekce a slavným taktickým tahem při obléhání Tróje. Příklad trojské infekce - dostanete dopis od jistého "přítele" s textem: - "Ahoj, právě jsem se vrátil z moře - tak jsem si skvěle odpočinul.", a příloha! soubory s příponou „.JPG“. Právě tyto soubory jsou trojským koněm, v jehož hlubinách se ukrývá škodlivý kód. Nejčastějšími zdroji infekce jsou e-mail, seznamky, hudební stránky a stránky se svobodným softwarem. Co dělá trojský kůň? Jeho úkolem je zpravidla otevřít cestu dalším virům, působit jako první odrazový můstek. Jak se vyhnout infekci trojským koněm? Všechno je zde jako v životě - chraňte se a vyhýbejte se náhodným spojením =). Toto pravidlo platí pro všechny viry a další malware. Pokud vám byl zaslán e-mail, zkontrolujte odesílatele, než se podíváte na přiložené soubory, uložte přílohu do počítače a naskenujte ji antivirem a teprve poté ji otevřete.

Červ nebo Červ je rysem těchto programů v evoluci a autonomii. Když se červ dostane do počítače, obvykle napadne e-mailové programy a internetové pagery. Po získání přístupu k poště nebo pageru začne posílat dopisy/zprávy obsahující upravenou verzi sebe sama. Poté se buď sám zničí, nebo infikuje spouštěné soubory (EXE, COM, BAT). Protože se virus mění sám, je nezranitelný, dokud není identifikován v databázi vašeho antiviru. Proto je dnes licencovaný antivirus naléhavou potřebou každého majitele PC.

Počítačový virus je speciálně napsaný malý program, který se může „přiřadit“ jiným programům (tj. „infikovat“ je) a také provádět různé nežádoucí akce v počítači. Program obsahující virus se nazývá infikovaný. Když takový program začne fungovat, virus nejprve převezme kontrolu. Virus najde a „napadne“ jiné programy a také provede některé škodlivé akce (například poškodí soubory nebo alokační tabulku souborů (FAT) na disku, „ucpe“ RAM atd.). Aby se virus zamaskoval, akce k infikování jiných programů a způsobení škody nemusí být prováděny vždy, ale řekněme, když jsou splněny určité podmínky. Poté, co virus provede akce, které potřebuje, předá řízení programu, ve kterém se nachází, a funguje jako obvykle. Navenek tedy činnost infikovaného programu vypadá stejně jako neinfikovaného.
Mnoho typů virů je navrženo tak, že při spuštění infikovaného programu virus zůstává v paměti počítače a čas od času infikuje programy a provádí v počítači nežádoucí akce.
Všechny akce viru lze provádět velmi rychle a bez vydávání jakýchkoli zpráv, takže je pro uživatele velmi obtížné, téměř nemožné, určit, že se v počítači děje něco neobvyklého.
Dokud je v počítači infikováno relativně málo programů, může být přítomnost viru téměř neviditelná. Po nějaké době se však na počítači začne dít něco divného, ​​například:
- některé programy přestanou fungovat nebo začnou fungovat nesprávně;
- na obrazovce se zobrazují nadbytečné zprávy, symboly atd.;
- práce na počítači se výrazně zpomaluje;
- některé soubory se ukážou jako poškozené atd.
V tomto okamžiku je již zpravidla poměrně mnoho (nebo dokonce většina) technických programů, se kterými pracujete, infikováno virem a některé soubory a disky jsou poškozené. Navíc infikované programy z vašeho počítače již mohly být přeneseny pomocí disket nebo lokální sítě do počítačů vašich kolegů a přátel.
Některé viry se chovají velmi zákeřně. Nejprve tiše infikují velké množství programů a disků a poté způsobí velmi vážné škody, například naformátují celý pevný disk v počítači, poté je prostě nemožné obnovit data. A existují viry, které se chovají velmi skrytě a postupně poškozují data na pevném disku nebo posouvají alokační tabulku souborů (FAT).
Pokud tedy nepřijmete opatření k ochraně před virem, následky infekce mohou být velmi vážné. Například na začátku roku 1989. Virus napsaný americkým studentem Morrisem infikoval a vyřadil z provozu tisíce počítačů, včetně těch, které patří americkému ministerstvu obrany. Autor viru byl soudem odsouzen ke třem měsícům vězení a pokutě 270 tisíc dolarů. Trest mohl být přísnější, soud ale přihlédl k tomu, že virus data nekazil, ale pouze se množil.
Aby byl virový program neviditelný, musí mít malou velikost. Proto jsou viry obvykle psány v nízkoúrovňových jazycích assembleru nebo příkazech SI na nízké úrovni.
Viry píší zkušení programátoři nebo studenti jednoduše ze zvědavosti, nebo aby se pomstili někomu nebo podniku, který s nimi zacházel nedůstojným způsobem, ať už pro komerční účely nebo za účelem cílené sabotáže. Ať už jsou cíle autora jakékoli, virus může skončit ve vašem počítači a pokusit se provést stejné škodlivé akce jako ten, pro kterého byl vytvořen.
Je třeba poznamenat, že napsat virus není tak obtížný úkol a je docela dostupný pro studenta, který studuje programování. Každý týden se proto ve světě objevuje stále více nových virů. A mnoho z nich se vyrábí u nás.

Poškozené a infikované soubory

Počítačový virus se může zkazit, tzn. nevhodně změnit jakýkoli soubor na discích v počítači. Virus však může „infikovat“ některé typy souborů. To znamená, že virus se může do těchto souborů „vložit“, tzn. změnit je tak, aby obsahovaly virus, který za určitých okolností může začít fungovat.
Je třeba poznamenat, že texty programů a dokumentů, databázové informační soubory, tabulky tabulkových procesorů a další podobné soubory nemohou být infikovány běžným virem, mohou je pouze zkazit. Infikování takových souborů je prováděno pouze makroviry. Tyto viry mohou dokonce infikovat vaše dokumenty.
Zavaděč operačního systému a hlavní spouštěcí záznam pevného disku. Viry, které infikují tyto oblasti, se nazývají boot viry nebo BOOT viry. Takový virus začíná svou práci, když se počítač spustí a stane se rezidentním, tzn. je trvale uložen v paměti počítače. Distribučním mechanismem je infekce bootovacích záznamů disket vložených do počítače. Takové viry se často skládají ze dvou částí, protože zaváděcí záznam je malý a je obtížné do nich vměstnat celý virový program. Část viru se nachází v jiné části disku, například na konci kořenového adresáře disku nebo v clusteru v datové oblasti disku (obvykle je takový cluster prohlášen za vadný, aby se zabránilo virus před přepsáním při zápisu dat).
Soubory ovladačů zařízení zadané v klauzuli DEVICE souboru Config.sys. Virus, který se v nich nachází, zahájí svou práci při každém přístupu k příslušnému zařízení. Viry, které infikují ovladače zařízení, jsou velmi vzácné, protože ovladače jsou zřídka přepsány z jednoho počítače do druhého. Totéž platí pro systémové soubory DOS (MSDOS.SYS a IO.SYS) - jejich infekce je také teoreticky možná, ale pro šíření viru je neúčinná.

Každý konkrétní typ viru může zpravidla infikovat pouze jeden nebo dva typy souborů. Nejběžnější viry jsou ty, které infikují spustitelné soubory. Druhým nejčastějším virem jsou boot viry. Některé viry infikují soubory i spouštěcí oblasti disků. Viry, které infikují ovladače zařízení, jsou extrémně vzácné, obvykle mohou infikovat i spustitelné soubory.

Klasifikace virů

Viry lze rozdělit do tříd podle různých vlastností. Zde například na základě zrady:

Viry, které okamžitě infikují počítač, formátují pevný disk, poškozují alokační tabulku souborů, poškozují spouštěcí sektory, vymažou takzvanou Flash ROM (kde se nachází BIOS) počítače (černobylský virus), jinými slovy způsobují nenapravitelné škody. k počítači co nejrychleji. Patří sem i výsledky stížností programátorů, kteří píší viry proti antivirovým programům. To se týká takzvaných alergií na určité antivirové programy. Tyto viry jsou docela zrádné. Například pokud jste alergický na Dr.Weber, když zavoláte tento program, bez váhání zablokuje antivirus a zkazí vše, co je v adresáři s antivirem a C:WINDOWS. V důsledku toho musíte přeinstalovat operační systém a poté bojovat s virem jinými prostředky.
- viry navržené tak, aby v počítači vydržely dlouhou dobu. Postupně a pečlivě infikují program za programem, aniž by inzerovali svou přítomnost a nahrazují spouštěcí oblasti programů odkazy na místo, kde se nachází tělo viru. Kromě toho provádějí změnu ve struktuře disku, která je pro uživatele neviditelná, což se projeví pouze tehdy, když jsou některá data již beznadějně ztracena (například virus „OneHalf-3544“, „Yankey-2C“).
Na základě způsobů přenosu a reprodukce lze provést i dělení.
Dříve viry postihovaly především pouze spustitelné soubory (s příponami .com a .exe). Ve skutečnosti je virus program a musí být spuštěn.
Viry se nyní posílají e-mailem jako ukázkové programy nebo jako obrázky, například pokud byl soubor „PicturesForYou.jpg“ přijat e-mailem, nespěchejte se na něj podívat, zvláště když přišel odnikud. Když se na název podíváte pozorněji, zjistíte, že má o 42 mezer více a skutečná přípona je .exe. To znamená, že skutečný úplný název souboru bude vypadat takto:
"PicturesForYou.jpg.exe". Nyní každý může pochopit, co tento obrázek ve skutečnosti sděluje. Nejedná se o obrázkový soubor, který po aktivaci zavolá prohlížeč obrázků, ale o drzý, tence zahalený virus, který jen čeká na aktivaci kliknutím myši nebo stiskem klávesy. Takový virus si stáhnete do svého počítače sami, pod krytem nějakého obrázku, jako „trojský kůň“. Odtud slangový název pro takové viry jako „Trójské koně“.
V současné době existují takové shelly informačních kanálů jako Internet Explorer, Outlook Express, Microsoft Office. V současné době se objevilo několik tříd takzvaných „makrovirů“. Obsahují skryté příkazy pro data shellu, které jsou pro běžného uživatele nežádoucí. A tento kód již není počítačový kód, to znamená, že to již není program, ale programový text prováděný shellem. Může být tedy zapsán v libovolném požadovaném formátu: .html, .htm - pro Internet Explorer, .doc, .xls, .xlw, .txt, .prt, nebo v jakémkoli jiném - pro Microsoft Office atd. Takové viry způsobují pouze poškození určité povahy, protože shell nemá příkazy, například pro formátování pevného disku. Přesto si tento typ viru zaslouží pozornost, protože pomocí skrytých hypertextových odkazů je schopen samostatně stáhnout tělo viru z internetu do vašeho počítače a některé viry lze aktualizovat a stahovat po částech přes internet. z určitých serverů. Například jeden z japonských studentů vyvinul právě takový virus, který připojí malý „loader“ k libovolnému formátu vstupních dat z internetu. Dále tento downloader nezávisle stáhne tělo viru z internetu ze serveru s IP adresou Babilon5. Tato těla jsou čtyři. Každý z nich je schopen nezávisle zničit váš počítač, ale má specifický účel. Tento virus je hybrid mezi makroviry a běžnými viry. Je však třeba poznamenat, že právě hybridy jsou mezi viry nejhouževnatější, nejmazanější, nejnebezpečnější a nejpočetnější. Nejnověji se provalil skandál kolem programátora, který podle odborníků vytvořil a začal distribuovat makrovirus, který infikoval textové soubory pro Microsoft Word. Počítalo se podle data a času vytvoření zdrojového dokumentu, který je uložen v neviditelných částech souborů .doc. Je možné, že soubor vytvořila jiná osoba předtím, než se k němu připojil virus, pak zůstává otázka útočníka otevřená. Ale odborníci tvrdí, že to tak je.
Například virus Win32.HLLM.Klez. Jedna z odrůd nebezpečného síťového červa se šíří zasíláním svých kopií e-mailem. Kromě toho se tento červ může šířit po lokální síti a infikovat počítače, jejichž disky jsou zapisovatelné síťové sdílené položky. Jakmile se červ dostane do systému, odešle se na adresy nalezené v adresáři Windows, v databázi ICQ a v místních souborech. Infikované emaily odesílané tímto červem využívají jednu z poměrně dlouho známých chyb v bezpečnostním systému Internet Exploreru, který umožňuje automatické spuštění programového souboru (s virem) připojeného k emailu při pouhém prohlížení emailu v Outlooku a Outlook Expressu.
Zkusme se zamyslet nad způsoby maskování a ochrany, které používají viry proti nám běžným uživatelům a antivirovým programům.
Perfidy je hlavní a nejrychlejší způsob, jak spáchat špinavý trik před odhalením. Černobylský virus například zcela vymaže BIOS (spouštěcí program umístěný v čipu ROM, který napájí počítač). Poté nebude počítač schopen na obrazovce zobrazit vůbec nic. Jeho činnost je však snadno zablokována, pokud je uvnitř počítače nainstalován přepínač, který zakazuje zápis do oblasti ROM. Jednalo se tedy o první, ale také myslím, že poslední zástupce hardwarových virů.
Regenerační viry rozdělují své tělo na více částí a ukládají je na různá místa na pevném disku. V souladu s tím jsou tyto části schopny se navzájem nezávisle najít a sestavit, aby regenerovaly tělo viru. Antivirový program detekuje a zabíjí pouze tělo viru a části tohoto těla nejsou zahrnuty do antivirové databáze, protože jsou upraveny. Proti takovým virům pomáhá cílené nízkoúrovňové formátování pevného disku. Nejprve je nutné provést pečlivá opatření k uchování informací.
Chytré viry se skrývají nejen před námi, ale i před antivirovými programy. Tito „chameleoni“ se sami mění pomocí těch nejmazanějších a nejsložitějších operací, využívajících aktuální data (čas vytvoření souboru) a využívající téměř polovinu celé sady instrukcí procesoru. V určitém okamžiku se samozřejmě podle mazaného algoritmu promění v odporný virus a začnou útočit na náš počítač. Jedná se o nejobtížněji detekovatelný typ viru, ale některé antivirové programy, jako je Dr.Weber, jsou schopny detekovat a neutralizovat podobné viry pomocí tzv. heuristické analýzy.
Aby se zabránilo detekci, „neviditelné“ viry používají takzvanou metodu „Stelth“. Spočívá v tom, že virus, který je rezidentní v paměti, zachytí volání DOSu (a tím i aplikačních programů) do infikovaných souborů a oblastí disku a zobrazí je v původní (neinfikované) podobě. Tento efekt je samozřejmě pozorován pouze na infikovaném počítači - na „čistém“ počítači lze snadno zjistit změny v souborech a spouštěcích oblastech disku. Některé antivirové programy však dokážou detekovat neviditelné viry i na infikovaných počítačích.
Síťový červ Randon se objevil v březnu 2003. Šíří se prostřednictvím IRC kanálů a místních síťových zdrojů a infikuje počítače s operačními systémy Windows 2000 a Windows XP. Aby pronikl do počítače, připojí se k místní síti nebo IRC serveru, prohledá na něm uživatele, naváže s nimi spojení na portu 445 a pokusí se uhodnout heslo z vestavěného seznamu nejčastěji používaných frází. Pokud je systém úspěšně hacknut, Random do něj odešle trojský kůň Apher, který naopak stáhne zbývající součásti červa ze vzdáleného webu. Poté „Randon“ nainstaluje své součásti do systémového adresáře Windows a zaregistruje svůj hlavní soubor. Ke skrytí své přítomnosti v paměti používá speciální utilitu „HideWindows“, která je také součástí červa. Díky tomu je pro uživatele neviditelný, takže aktivní proces „Randon“ lze detekovat pouze ve Správci úloh systému Windows. Jeho vedlejšími účinky je vytvoření velkého objemu redundantního provozu na infikovaném počítači a přetečení IRC kanálů.
Podle společnosti Kaspersky Lab, jednoho z předních vývojářů antivirových programů, poskytuje přehled aktivity virů za březen 2003 (tabulka 2 a obr. 1)

Dvacet nejběžnějších malwarů

Stůl 2
Název Podíl celkového počtu virových incidentů (%)
1. I-Worm.Klez 37,60 %
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03 %
4. I-Worm.Avron 3,30%
5. Makro.Slovo 97. Tedy 2,62 %
6. I-Worm. Tanatos 1,38 %
7. Makro. Word97.Marker 1,21 %
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04 %
10. Win95.CIH 0,69 %
11. Worm.Win32.Randon 0,58%
12. VBS.Redlof 0,57 %
13. Backdoor.Death 0,51%
14. Win95.Spaces 0,51 %
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0,49 %
17. Backdoor.NetDevil 0,48 %
18. Win32.HLLP.Hantaner 0,45 %
19. TrojanDropper.Win32.Delf 0,42 %
20. TrojanDropper.Win32.Yabinder 0,41%
Jiný malware* 26,33 %

*není součástí 20 nejčastějších

PREVENCE A BOJ S POČÍTAČOVÝMI VIRY

Základní metody ochrany před počítačovými viry

K ochraně před viry můžete použít:
- Obecné nástroje ochrany informací, které jsou také užitečné jako pojištění proti fyzickému poškození disků, nefunkčnosti programů nebo chybných akcí uživatele;
- preventivní opatření ke snížení pravděpodobnosti infekce počítačovým virem;
- specializované programy na ochranu před viry.
-Obecné nástroje zabezpečení informací jsou užitečné nejen pro ochranu před viry. Existují dva hlavní typy těchto fondů:
kopírování informací - vytváření kopií souborů a systémových oblastí disků;
kontrola přístupu zabraňuje neoprávněnému použití informací, zejména ochrana před změnami programů a dat viry, nefunkčními programy a chybnými akcemi uživatelů.
Navzdory skutečnosti, že obecná opatření v oblasti informační bezpečnosti jsou pro ochranu před počítačovými viry velmi důležitá, sama o sobě nestačí. K ochraně před počítačovými viry je nutné používat specializované programy. Tyto programy lze rozdělit do několika typů:
Detekční programy umožňují detekovat soubory infikované jedním z několika známých virů.
Lékařské programy neboli fágy „ošetřují viry“ infikované programy nebo disky, „vykousávají“ tělo viru z infikovaných programů, tzn. obnovení programu do stavu, ve kterém byl před infikací viru.
Auditorské programy si nejprve pamatují informace o stavu programů a systémových oblastí disku a poté porovnávají jejich stav s původním. Pokud jsou zjištěny nesrovnalosti, je na to uživatel upozorněn.
Lékaři - auditoři jsou kříženci auditorů a lékařů, tzn. programy, které nejen detekují změny v souborech a systémových oblastech disků, ale umí je i automaticky vrátit do původního stavu.
Filtrační programy jsou umístěny v paměti RAM počítače a zachycují volání operačního systému, které viry používají k reprodukci a poškození, a hlásí je uživateli. Uživatel může povolit nebo zakázat odpovídající operaci.
Očkovací programy, neboli imunizátory, upravují programy a disky tak, že to neovlivní činnost programů, ale virus, proti kterému se očkování provádí, považuje tyto programy a disky za již infikované. Tyto programy jsou extrémně neúčinné a dále se o nich neuvažuje.
Bohužel žádný jednotlivý typ antivirového programu neposkytuje úplnou ochranu před počítačovými viry. Proto je nejlepší strategií ochrany proti virům víceúrovňová „echalonová“ obrana. Popišme si strukturu této obrany.
Prostředky průzkumu v „obraně“ proti virům odpovídají programům – detektorům, které umožňují kontrolovat nově přijatý software na přítomnost virů.
V popředí obrany jsou filtrační programy (rezidentní programy na ochranu před viry). Tyto programy mohou jako první nahlásit útok viru a zabránit infekci programů a disku.
Druhý stupeň obrany se skládá z auditorských programů, lékařských programů a lékařských auditorů. Auditoři detekují útok, i když se viru podařilo „proniknout“ přes přední linii obrany. Programy Doctor se používají k obnově infikovaných programů, pokud v archivu nejsou žádné kopie. Ale ne vždy provádějí léčbu správně. Lékaři-auditoři detekují napadení virem a ošetřují viry - infikované soubory a sledují správnost ošetření virů, a pokud není možné viry léčit, nutně doporučují viry (infikované soubory) odstranit.
Nejhlubším stupněm obrany jsou prostředky kontroly přístupu. Neumožňují virům a nefunkčním programům, i když se do počítače dostaly, znehodnotit důležitá data.
A konečně „strategická rezerva“ obsahuje archivní kopie informací a „referenční“ diskety se softwarovými produkty. Umožňují vám obnovit informace, pokud jsou poškozeny na vašem pevném disku.

Programy – detektory a lékaři

Ve většině případů můžete najít již vyvinuté detekční programy pro detekci viru, který infikoval počítač. Tyto programy kontrolují, zda soubory na uživatelem zadané jednotce obsahují kombinaci bajtů specifických pro daný virus. Když je detekován v libovolném souboru, na obrazovce se zobrazí odpovídající zpráva. Mnoho detektorů má režim ošetření virů nebo odstranění virů.
Je třeba poznamenat, že program detektoru dokáže detekovat pouze ty viry, které jsou mu známy (tj. ty, které jsou obsaženy v antivirové databázi tohoto programu).
Jedním z takových programů je Kaspersky KIS.
Vše o něm má pohodlné a intuitivní rozhraní. Program je určen pro operační systémy Windows XP a Windows Vista, což mu umožňuje pracovat paralelně s dalšími aplikacemi. Kaspersky Lab je ruský lídr ve vývoji antivirových bezpečnostních systémů.
Existuje také AVAST.
Jedná se o osvědčené ochránce vašeho počítače – léčba většiny virů a odstranění virů v případě jejich kritického ohrožení nebo nevyléčitelnosti.
Většina programů detektorů má také funkci „doktor“, tzn. snaží se infikované soubory a oblasti disku vrátit do původního stavu – vyléčit viry. Soubory, které nebylo možné dezinfikovat, jsou obvykle deaktivovány nebo odstraněny.

Prevence proti virové infekci

Podívejme se na některá opatření, která mohou snížit pravděpodobnost napadení počítače virem a také minimalizovat škody způsobené virovou infekcí, pokud k ní dojde.
1. Bylo by dobré mít a v případě potřeby aktualizovat archivní a referenční kopie používaných softwarových balíčků a dat. Před archivací dat je vhodné zkontrolovat, zda nejsou viry.
2. Je také vhodné zkopírovat servisní informace vašeho disku (FAT, boot sektory) a CMOS (nezávislá počítačová paměť) na diskety. Tyto informace můžete zkopírovat a obnovit pomocí programu Rescue v Norton Utilities.
3. Na archivační diskety by měla být nainstalována ochrana proti zápisu.
4. Neměli byste se zapojit do nelicencovaného nebo nelegálního kopírování softwaru z jiných počítačů. Mohou mít virus.
5. Všechna data přicházející zvenčí by měla být zkontrolována na přítomnost virů, zejména soubory „stažené“ z internetu.
6. Na diskety chráněné proti zápisu je nutné předem připravit balíček pro obnovu.
7. Během normální práce, která nesouvisí s obnovou počítače, byste měli zakázat spouštění z diskety. Tím zabráníte infekci boot virem.
8. Používejte filtrovací programy pro včasnou detekci virů.
9. Pravidelně kontrolujte disk pomocí detektorových programů nebo lékařů - detektorů nebo auditorů, abyste odhalili případné selhání v obraně.
10. Aktualizujte databázi antivirového softwaru.
11. Nedovolte pochybným uživatelům přístup k vašemu počítači.

ZÁVĚR

Na závěr bych chtěl varovat před přílišnou horlivostí v boji proti počítačovým virům. Každodenní úplné skenování pevného disku na přítomnost virů také není skvělým krokem v prevenci infekcí. Jediným civilizovaným způsobem, jak se chránit před viry, je podle mě preventivní opatření při práci na počítači. V boji s počítačovým virem musíte také vyhledat pomoc specialistů. Navíc, i kdyby virus do počítače pronikl, není to důvod k panice.
Hlavním problémem internetu často nejsou viry a hackeři, ale tak běžný jev, jako je počítačová negramotnost. Abych použil přirovnání Kaspersky, neznalost pravidel provozu. Lidé, kteří se nedávno naučili přijímat a odesílat poštu, démonizují počítačové viry a téměř si je představují v podobě neviditelných černých červů lezoucích po drátech. Zde je několik jednoduchých pravidel, kterými se můžete řídit, abyste se nenakazili viry. Za prvé: nebojí se počítačových virů, všechny jsou léčitelné. Za druhé: přepněte Microsoft Outlook do provozního režimu v zóně s omezenými uzly, což mu zabrání v automatickém spouštění určitých programů - základní princip šíření počítačových virů. Za třetí: neotevírejte dopisy od podezřelých příjemců. Za čtvrté: použijte nový, a co je důležitější, LICENCOVANÝ antivirus.

Po spuštění programu obsahujícího virus je možné infikovat další soubory. Nejčastěji je virem infikován boot sektor disku a spustitelné soubory s příponami EXE, COM, SYS nebo BAT. Infikování textových a grafických souborů je extrémně vzácné.

Infikovaný program je program, který obsahuje virový program.

Známky virů

Když je počítač napaden virem, je velmi důležité jej rychle detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří mezi ně následující:

Zastavení práce nebo nesprávné fungování dříve úspěšně fungujících programů;

pomalý výkon počítače;

Neschopnost načíst operační systém;

Zmizení souborů a adresářů nebo poškození jejich obsahu;

Změna data a času úpravy souboru;

Změna velikosti souborů;

Neočekávaný výrazný nárůst počtu souborů na disku;

Výrazné snížení velikosti volné paměti RAM;

Zobrazování neočekávaných zpráv nebo obrázků na obrazovce;

Poskytování neočekávaných zvukových signálů;

Časté zamrzání a pády v počítači.

Je třeba poznamenat, že výše uvedené jevy nejsou nutně způsobeny přítomností viru, ale mohou být důsledkem jiných důvodů. Proto je vždy obtížné správně diagnostikovat stav počítače.

Hlavní typy virů

V současné době je známo více než 15 000 softwarových virů, které lze klasifikovat podle následujících kritérií (obr. 11.10):

Podle stanoviště;

Podle způsobu infekce;

Podle stupně dopadu;

Podle vlastností algoritmu.

Záleží na místo výskytu viry lze oddělit

Do sítě

Soubor,

Bota

Zavedení souboru.

· Síťové viry se šíří v různých počítačových sítích.

· Souborové viry jsou zabudovány převážně do spustitelných modulů, tzn. do souborů s příponami COM a EXE. Souborové viry mohou být zabudovány do jiných typů souborů, ale zpravidla zapsané v takových souborech nikdy nezískají kontrolu, a proto ztratí schopnost reprodukce.

· Boot viry jsou zabudovány v boot sektoru disku (Boot sektor) nebo v sektoru obsahujícím spouštěcí program systémového disku (Master Boot Record).

· Viry spouštějící soubory infikují soubory i spouštěcí sektory disků.

Způsobem infekce viry se dělí na

Rezident

Nerezident.

· Když rezidentní virus infikuje (infikuje) počítač, zanechá svou rezidentní část v paměti RAM, která pak zachytí přístup operačního systému k objektům infekce (soubory, zaváděcí sektory disku atd.) a vloží se do nich. Rezidentní viry jsou uloženy v paměti a jsou aktivní, dokud není počítač vypnut nebo restartován.

· Nerezidentní pružiny neinfikují paměť počítače a jsou aktivní po omezenou dobu.

Podle stupně dopadu lze viry rozdělit do následujících typů:

neškodný, nezasahuje do provozu počítače, ale snižuje množství volné paměti RAM a disku, akce takových virů se projevují v některých grafických nebo zvukových efektech;

nebezpečné viry, což může vést k různým problémům s počítačem;

velmi nebezpečné, jehož dopad může vést ke ztrátě programů, zničení dat, vymazání informací v systémových oblastech disku

Podle vlastností algoritmu Viry je obtížné klasifikovat kvůli jejich velké rozmanitosti.

Dá se poznamenat replikující se viry zvané červi, které jsou distribuovány po počítačových sítích, vypočítají adresy síťových počítačů a na tyto adresy zapisují jejich kopie.

Známý neviditelné viry nazývané krokové viry, které je velmi obtížné detekovat a neutralizovat, protože zachycují volání operačního systému na infikované soubory a sektory disku a nahrazují neinfikované oblasti disku místo svého těla.

Nejobtížnější odhalit mutantní viry, obsahující šifrovací-dešifrovací algoritmy, díky nimž kopie stejného viru nemají jediný opakující se řetězec bajtů.

Existují také tzv kvazivirové nebo trojské programy, které, i když se nemohou samy šířit, jsou velmi nebezpečné, protože, vydávající se za užitečný program, ničí zaváděcí sektor a systém souborů na disku.

Programy pro detekci a ochranu virů

Charakteristika antivirových programů

Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirové programy.

Existují následující typy antivirových programů:

· programy detektorů;

· lékařské programy nebo fágy;

· programy auditu;

· filtrační programy;

· očkovací nebo imunizační programy.

Detekční programy Hledají posloupnost bajtů charakteristickou pro konkrétní virus (virovou signaturu) v RAM a souborech a po nalezení zobrazí odpovídající zprávu. Nevýhodou těchto antivirových programů je, že mohou najít pouze viry, které znají vývojáři takových programů.

Lékařské programy nebo fágy - určené k léčbě infikovaných disků a programů. Léčba programu spočívá v odstranění těla viru z infikovaného programu. Polyfág je schopen zničit mnoho virů. Mezi nejznámější patří Aidstest, Norton AntiVirus a Doctor Web.

auditní programy: navržený k detekci virové infekce souborů a také k nalezení poškozených souborů. Tyto programy si pamatují data o stavu programu a systémových oblastí disků v normálním stavu (před infekcí) a porovnávají tato data za chodu počítače. Pokud se data neshodují, zobrazí se zpráva o možnosti infekce;

filtrační nebo ochranné programy jsou navrženy tak, aby zachytily hovory operačního systému, které viry používají k reprodukci a hlášení uživateli. Uživatel může povolit nebo zakázat odpovídající operaci. Takové programy jsou rezidentní, to znamená, že jsou umístěny v paměti RAM počítače.

očkovací programy: používá se ke zpracování souborů a boot sektorů, aby se zabránilo infekci známými viry (v poslední době se tato metoda používá stále častěji).

Vakcíny nebo imunizátory- Jedná se o rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že neovlivní jeho činnost a virus jej bude vnímat jako infikovaný, a proto se nezakoření. V současné době mají očkovací programy omezené použití.

Je třeba poznamenat, že výběr jednoho „nejlepšího“ antiviru je extrémně chybné rozhodnutí. Doporučuje se používat několik různých antivirových balíčků současně. Při výběru antivirového programu byste měli věnovat pozornost takovému parametru, jako je počet rozpoznávacích signatur (sekvence znaků, které zaručeně rozpoznají virus). Druhým parametrem je přítomnost heuristického analyzátoru pro neznámé viry, jeho přítomnost je velmi užitečná, ale výrazně zpomaluje běh programu. Dnes existuje velké množství různých antivirových programů.

Jeden z nejlepších antivirů s výkonným algoritmem detekce virů. Polyphage, schopný skenovat soubory v archivech, dokumenty Wordu a sešity Excelu, identifikuje polymorfní viry, které se v poslední době stále více rozšiřují. Stačí říci, že to byl DrWeb, kdo zastavil epidemii velmi nebezpečného viru OneHalf. Heuristický analyzátor DrWeb, zkoumající programy na přítomnost fragmentů kódu charakteristických pro viry, nám umožňuje najít téměř 90 % neznámých virů. Při načítání programu DrWeb nejprve sám zkontroluje integritu a poté otestuje RAM. Program může pracovat v interaktivním režimu a má pohodlné, přizpůsobitelné uživatelské rozhraní.

Antivirový auditor disku ADINF (Advanced DiskINFoscope) umožňuje najít a zničit jak stávající konvenční, stealth a polymorfní viry, tak i zcela nové. Antivir má k dispozici ozdravný blok auditora ADINF - Adinf Cure Module - který dokáže zneškodnit až 97 % všech virů. Tento údaj uvádí Dialognauka na základě výsledků testování, které proběhlo na sbírkách virů dvou uznávaných autorit v této oblasti – D. N. Lozinského a Dr. Solomona (Velká Británie).

ADINF se načte automaticky při zapnutí počítače a sleduje boot sektor a soubory na disku (datum a čas vytvoření, délka, kontrolní součet) a zobrazuje zprávy o jejich změnách. Vzhledem k tomu, že ADINF provádí diskové operace obcházením operačního systému, přístupu k funkcím BIOSu, je dosaženo nejen schopnosti detekovat aktivní stealth viry, ale také vysoké rychlosti skenování disku. Pokud je nalezen boot virus, ADINF jednoduše obnoví předchozí boot sektor, který je uložen v jeho tabulce. Pokud je virus souborovým virem, pak přichází na pomoc ošetřovací jednotka Adinf Cure Module, která na základě hlášení hlavního modulu o infikovaných souborech porovnává nové parametry souboru s předchozími, uloženými ve speciálních tabulkách. Když jsou zjištěny nesrovnalosti, ADINF obnoví předchozí stav souboru spíše než zničení těla viru, jak to dělají polyfágy.

Antivirus AVP (AntiVirus Program) je polyfág během provozu kontroluje RAM, soubory včetně archivovaných na disketových, lokálních, síťových a CD-ROM mechanikách, dále systémové datové struktury, jako je boot sektor, tabulka oddílů a další; atd. Program má heuristický analyzátor, který je podle vývojářů antiviru schopen najít téměř 80 % všech virů. Program AVP je 32bitová aplikace pro práci v operačních systémech Windows 98, NT a 2000, má uživatelsky přívětivé rozhraní a také jednu z největších antivirových databází na světě. Antivirové databáze pro AVP jsou aktualizovány přibližně jednou týdně a lze je získat z internetu. Tento program vyhledává a odstraňuje širokou škálu virů, včetně:

• polymorfní nebo samošifrovací viry;
• stealth viry nebo neviditelné viry;
• nové viry pro Windows;
• makroviry, které infikují dokumenty aplikace Word a tabulky aplikace Excel.

Program AVP navíc na pozadí sleduje operace se soubory v systému, detekuje virus ještě před tím, než je systém skutečně infikován, a také identifikuje neznámé viry pomocí heuristického modulu.

Algoritmus pro souborový virus

Po obdržení kontroly provede virus následující akce (je uveden seznam nejběžnějších akcí viru při jeho spuštění; pro konkrétní virus lze seznam doplnit, položky lze zaměnit a výrazně rozšířit):

 rezidentní virus kontroluje RAM na přítomnost své kopie a v případě, že není nalezena kopie viru, infikuje paměť počítače. Nerezidentní virus hledá neinfikované soubory v aktuálním a (nebo) kořenovém obsahu, v tabulkách s obsahem označeným příkazem PATH, skenuje strom adresářů logických jednotek a pak infikuje zjištěné soubory;

 provádí, pokud existují, další funkce: destruktivní akce, grafické nebo zvukové efekty atd. Další funkce rezidentního viru mohou být volány po určité době po aktivaci v závislosti na aktuálním čase, konfiguraci systému, interních počítadlech virů nebo jiných podmínkách; v tomto případě při aktivaci virus zpracovává stav systémových hodin, nastavuje jejich čítače atd.;

Způsob obnovení programu do původní podoby závisí na způsobu napadení souboru. Pokud je virus vložen na začátek souboru, buď posune kódy infikovaného programu o počet bajtů rovný délce viru, nebo přesune část programového kódu z konce na začátek nebo obnoví soubor na disku a poté jej spustí. Pokud je virus zapsán na konec souboru, pak při obnově programu použije informace uložené v jeho těle, když byl soubor infikován. Může to být délka souboru, několik bajtů začátku souboru v případě souboru COM nebo několik bajtů záhlaví v případě souboru EXE. Pokud je virus zapsán uprostřed souboru speciálním způsobem, pak při obnově souboru používá také speciální algoritmy.

Spouštěcí viry

Zaváděcí viry infikují spouštěcí sektor diskety a spouštěcí sektor nebo hlavní spouštěcí záznam (MBR) pevného disku. Princip fungování boot virů je založen na algoritmech pro spouštění operačního systému při zapnutí nebo restartu počítače - po nezbytných testech instalovaného hardwaru (paměti, disků atd.) načte systémový bootovací program první fyzický sektor spouštěcího disku (A:, C: nebo CD-ROM v závislosti na parametrech nastavených v nastavení BIOS) a přenese na něj řízení.

V případě diskety nebo CD přebírá řízení boot sektor, který analyzuje tabulku parametrů disku (BPB - BIOS Parameter Block), vypočítá adresy souborů operačního systému, načte je do paměti a spustí pro provedení. Pokud na spouštěcím disku nejsou žádné soubory operačního systému, program umístěný v zaváděcím sektoru disku zobrazí chybovou zprávu a navrhne výměnu zaváděcího disku.

V případě pevného disku přijímá řízení program umístěný v MBR pevného disku. Tento program analyzuje tabulku oddílů disku, vypočítá adresu aktivního zaváděcího sektoru (obvykle je tento sektor spouštěcím sektorem disku C:), načte jej do paměti a přenese na něj řízení. Po obdržení kontroly provede aktivní spouštěcí sektor pevného disku stejné akce jako spouštěcí sektor externího úložného zařízení.

Při infikování disků nahrazují spouštěcí viry svůj kód namísto jakéhokoli programu, který získá kontrolu při spouštění systému. Princip infekce je tedy ve všech výše popsaných metodách stejný: virus nutí systém po restartu načíst do paměti a předat řízení nikoli původnímu kódu bootloaderu, ale kódu viru.

Diskety se infikují jediným známým způsobem – virus zapíše svůj kód místo původního kódu boot sektoru diskety. Pevný disk je infikován třemi možnými způsoby - virus je zapsán buď místo kódu MBR, nebo místo kódu boot sektoru bootovacího disku (obvykle jednotka C:), nebo modifikuje adresu aktivního boot sektoru v tabulce oddílů disku, která se nachází v MBR pevného disku.

Když je disk infikován, virus ve většině případů přenese původní boot sektor (nebo MBR) do jiného sektoru disku. Pokud je délka viru větší než délka sektoru, pak se první část viru umístí do infikovaného sektoru, zbývající části se umístí do jiných sektorů.

Existuje několik možností, jak umístit počáteční zaváděcí sektor na disk a pokračovat ve viru: v sektorech volných shluků logického disku, v nepoužívaných nebo zřídka používaných systémových sektorech, v sektorech umístěných mimo disk.

Pokud se pokračování viru nachází v sektorech, které patří do volných diskových clusterů (při hledání těchto sektorů musí virus analyzovat alokační tabulku souborů - FAT), pak virus zpravidla označí tyto clustery ve FAT jako špatné (tzv. shluky pseudoporuchů). Tuto metodu používají viry „Brain“, „Ping-Pong“ a některé další.

Rodina virů „Stoned“ používá jinou metodu. Tyto viry umístí počáteční zaváděcí sektor do nepoužívaného nebo zřídka používaného sektoru - do jednoho ze sektorů pevného disku (pokud existuje) umístěného mezi MBR a prvním zaváděcím sektorem a na disketě je takový sektor vybrán z posledních sektorů. kořenového adresáře.

Některé viry zapisují svůj kód do posledních sektorů pevného disku, protože tyto sektory se používají pouze tehdy, když je pevný disk zcela plný informací (což je vzhledem k velikosti moderních disků poměrně vzácný jev). Méně používanou metodou je uložení pokračování viru mimo disk. Toho je dosaženo dvěma způsoby. První se týká zmenšení velikosti logických disků: virus odečte potřebné hodnoty z odpovídajících polí spouštěcího sektoru BPB a tabulky rozdělení disku pevného disku (pokud je pevný disk infikován), zmenší velikost logickou jednotku a zapíše její kód do sektorů, které jsou od ní „odříznuty“.

Druhou metodou je zápis dat mimo fyzický oddíl disku. Existují viry, které zapisují svůj kód mimo dostupné místo na pevném disku, pokud to instalované zařízení samozřejmě umožňuje.

Samozřejmě existují i ​​jiné způsoby umístění viru na disk, například viry z rodiny „Azusa“ obsahují ve svém těle standardní bootloader MBR a v případě infekce jsou zapsány přes původní MBR, aniž by jej ukládaly.

Většina virů při infikování zkopíruje do kódu svého bootloaderu systémové informace uložené v původním bootloaderu (pro MBR je to tabulka rozdělení disku, pro Boot sektor disket - blok parametrů BIOS). V opačném případě se systém nebude moci zavést sám, protože diskové adresy systémových komponent se vypočítávají na základě těchto informací. Takové viry lze poměrně snadno odstranit přepsáním kódu zavaděče systému v zaváděcím sektoru a MBR - k tomu je třeba zavést systém z neinfikované systémové diskety a pomocí příkazů SYS neutralizovat diskety a logické jednotky pevného disku nebo FDISK/MBR k dezinfekci infikovaného sektoru MBR.

Některé 100% stealth viry však tyto informace neukládají nebo je dokonce záměrně šifrují. Když se systém nebo jiné programy dostanou do infikovaných sektorů, virus nahradí jejich neinfikované originály a systém nabootuje bez selhání, avšak ošetření MBR pomocí FDISK/MBR v případě takového viru vede ke ztrátě informací o disku. oddíl (tabulka oddílů disku). V tomto případě musí být disk přeformátován se ztrátou všech informací nebo musí být „ručně“ obnovena tabulka rozdělení disku, což vyžaduje určitou kvalifikaci.

Je třeba také poznamenat, že boot viry velmi zřídka koexistují společně na stejném disku - často používají stejné sektory disku k umístění svého kódu/dat. V důsledku toho se kód/data prvního viru poškodí, když je infikován druhým virem, a systém buď zamrzne při spouštění, nebo přejde do smyčky (což také způsobí zamrznutí).

Uživatelům nových operačních systémů mohou způsobit potíže i zaváděcí viry. Navzdory tomu, že výše uvedené systémy pracují přímo s disky (obcházejí volání BIOSu), což blokuje virus a znemožňuje jeho další šíření, virový kód stále, i když velmi zřídka, získá kontrolu po restartu systému. Proto může například virus „March6“ „žít“ v MBR serveru roky a nijak neovlivňovat provoz a výkon počítačového systému. Pokud však omylem restartujete 6. března, tento virus zcela zničí všechna data na disku.

Algoritmus operace spouštění viru

Téměř všechny boot viry jsou rezidentní. Jsou uloženy v paměti počítače při spuštění z infikovaného disku. V tomto případě zavaděč systému přečte obsah prvního sektoru disku, ze kterého se bootuje, umístí přečtené informace do paměti a předá mu řízení (tedy viru). Poté se začnou provádět instrukce viru:

 Zpravidla redukuje množství volné paměti, zkopíruje svůj kód na volné místo a načte jeho pokračování (pokud existuje) z disku. Později některé viry „čekají“, až se operační systém načte a obnoví velikost paměti na původní hodnotu. V důsledku toho nejsou umístěny mimo operační systém, ale jako samostatné bloky paměti přidělené systému.

 zachytí potřebné vektory přerušení (obvykle INT 13H), načte původní boot sektor do paměti a předá mu řízení.

Následně se boot virus chová stejně jako rezidentní souborový virus: zachycuje volání operačního systému na disky a infikuje je, v závislosti na určitých podmínkách provádí destruktivní akce nebo způsobuje zvukové či obrazové efekty.

Existují nerezidentní spouštěcí viry – při načtení infikují MBR pevného disku a externího média, pokud jsou v jednotkách přítomny. Takové viry pak přenesou kontrolu na původní bootloader a již neovlivňují chod počítače.

Makroviry

Makroviry jsou programy v jazycích (makrojazycích) zabudované do některých systémů pro zpracování dat (textové editory, tabulkové procesory), animace atd. K reprodukci takové viry využívají schopnosti makro jazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru (dokumentu) do jiných. Nejrozšířenější jsou makroviry pro Microsoft Word, Excel a Office. Existují také makroviry, které infikují dokumenty Ami Pro a databáze Microsoft Access, a Flash animace. Dnes je známo mnoho systémů, pro které existují makroviry. V těchto systémech viry převezmou kontrolu, když je infikovaný soubor otevřen nebo zavřen, unesou standardní funkce souborů a pak infikují soubory, ke kterým je nějakým způsobem přistupováno.

Aby viry existovaly v konkrétním systému (editoru), je nutné mít v systému zabudovaný jazyk maker s následujícími schopnostmi:

 propojení programu v makrojazyku s konkrétním souborem;

 kopírování programů maker z jednoho souboru do druhého;

 schopnost získat kontrolu nad programem maker bez zásahu uživatele (automatická nebo standardní makra).

Tyto podmínky splňují editory Microsoft Word, Office a AmiPro, stejně jako tabulkový procesor Excel a databáze Microsoft Access. Tyto systémy obsahují makrojazyky: Word, Excel, Access, Office - Visual Basic for Applications. kde:

 makro programy jsou svázány s určitým souborem (AmiPro) nebo jsou umístěny uvnitř souboru (Word, Excel, Office);

 jazyk maker umožňuje kopírovat soubory (AmiPro) nebo přesouvat programy maker do souborů systémových služeb a upravitelných souborů (Word, Excel, Office);

 při práci se souborem za určitých podmínek (otevření, zavření atd.) jsou volány makroprogramy (pokud existují), které jsou definovány zvláštním způsobem (AmiPro) nebo mají standardní názvy (Word, Excel, Office).

Tato funkce makro jazyků je určena pro automatické zpracování dat ve velkých organizacích nebo v globálních sítích a umožňuje organizovat takzvaný „automatizovaný tok dokumentů“. Na druhou stranu makrojazykové schopnosti takových systémů umožňují viru přenést svůj kód do jiných souborů a tím je infikovat.

Fyzické umístění viru uvnitř souboru závisí na jeho formátu, který je v případě produktů Microsoft extrémně složitý - každý soubor dokumentu Word nebo tabulka Excel je posloupností datových bloků (každý z nich má také svůj vlastní formát), spojených společně s využitím velkého množství servisních dat. Tento formát se nazývá OLE2 - Object Linking and Embedding.

Většina známých virů pro Word je nekompatibilní s národními (včetně ruských) verzí Wordu nebo naopak – jsou určeny pouze pro lokalizované verze Wordu a nefungují pod jinou jazykovou verzí. Virus v dokumentu však stále zůstává aktivní a může infikovat další počítače s nainstalovanou odpovídající verzí aplikace Word.

Viry pro Word mohou infikovat počítače jakékoli třídy, nejen počítače IBM. Infekce je možná, pokud je na tomto počítači nainstalován textový editor, který je plně kompatibilní s Microsoft Word.

Je třeba také poznamenat, že složitost formátů dokumentů Wordu, tabulek Excelu a zejména Office má následující vlastnost: soubory dokumentů a tabulky obsahují datové bloky „navíc“, tzn. data, která nijak nesouvisejí s upravovaným textem nebo tabulkami, nebo jsou kopiemi jiných dat souboru, která tam omylem skončila. Důvodem výskytu takových datových bloků je shluková organizace dat v OLE2 dokumentech a tabulkách - i když je zadán pouze jeden znak textu, je pro něj alokován jeden nebo i více datových clusterů. Při ukládání dokumentů a tabulek do clusterů, které nejsou naplněny „užitečnými“ daty, zůstává „smetí“, které končí v souboru spolu s dalšími daty.

Důsledkem toho je skutečnost, že při úpravách dokumentu se jeho velikost mění bez ohledu na akce s ním prováděné – při přidávání nového textu se může velikost souboru zmenšit, při smazání části textu naopak zvětšit. Je to stejné jako s makroviry: když je soubor infikován, jeho velikost se může zmenšit, zvětšit nebo zůstat nezměněna.

Při práci s dokumentem aplikace Word jakékoli verze provádí různé akce: otevře dokument, uloží, vytiskne, zavře atd. Word zároveň vyhledává a provádí odpovídající „vestavěná makra“ - při ukládání souboru pomocí příkazu Soubor/Uložit se vyvolá makro FileSave, při ukládání pomocí příkazu Soubor/UložitAs - FileSaveAs, při tisku dokumentů - FilePrint atd., pokud jsou samozřejmě definována nějaká makra.

Existuje také několik „automatických maker“, která jsou volána automaticky za různých podmínek. Například při otevření dokumentu Word zkontroluje přítomnost makra AutoOpen. Pokud takové makro existuje, Word jej spustí. Při zavírání dokumentu Word provede makro AutoClose, při spouštění Wordu se volá makro AutoExec, při vypínání AutoExit a při vytváření nového dokumentu AutoNew.

Podobné mechanismy (avšak s jinými názvy maker a funkcí) se používají v Excelu/Office, kde roli automatických a vestavěných maker plní automatické a vestavěné funkce přítomné v jakémkoli makru nebo makrech a několik může být přítomno v jednom vestavěném makru a automatických funkcích.

Makra/funkce spojené s klávesou nebo bodem v čase nebo datu se také provádějí automaticky (tj. bez zásahu uživatele), tzn. Word/Excel volá makro/funkci, když je stisknuta určitá klávesa (nebo kombinace kláves) nebo když je dosaženo určitého bodu v čase. V Office jsou možnosti pro zachycení událostí poněkud rozšířené, ale princip je stejný.

Makroviry, které infikují soubory Wordu, Excelu nebo Office, zpravidla používají jednu ze tří výše uvedených technik – virus buď obsahuje automatické makro (automatická funkce), nebo přepíše jedno ze standardních systémových maker (spojených s nějakou položkou menu), nebo se virové makro zavolá automaticky po stisknutí libovolné klávesy nebo kombinace kláves. Existují také semiviry, které nepoužívají všechny tyto techniky a reprodukují se pouze tehdy, když je uživatel samostatně spustí k provedení.

Pokud je tedy dokument infikován, Word při otevírání dokumentu zavolá infikované automatické makro AutoOpen (nebo AutoClose při zavírání dokumentu) a spustí tak kód viru, pokud není zakázáno systémovou proměnnou DisableAutoMacros. Pokud virus obsahuje makra se standardními názvy, jsou ovládána vyvoláním příslušné položky nabídky (Soubor/Otevřít, Soubor/Zavřít, Soubor/Uložit jako). Pokud je některý symbol klávesnice přepsán, virus se aktivuje až po stisknutí příslušné klávesy.

Většina makrovirů obsahuje všechny své funkce jako standardní makra Word/Excel/Office. Existují však viry, které používají techniky ke skrytí svého kódu a uložení kódu ve formě jiných než maker. Existují tři známé techniky, z nichž všechny využívají schopnost maker vytvářet, upravovat a spouštět další makra. Takové viry mají zpravidla malý (někdy polymorfní) zavaděč makra virů, který zavolá vestavěný editor maker, vytvoří nové makro, naplní jej hlavním virovým kódem, provede jej a poté jej zpravidla zničí. (skrýt stopy viru). Hlavní kód takových virů je přítomen buď v samotném makru viru ve formě textových řetězců (někdy zašifrovaných), nebo je uložen v oblasti proměnné dokumentu nebo v oblasti Auto-text.

Algoritmus makro virů Word

Při spuštění většiny známých Word virů přenesou svůj kód (makra) do globální oblasti maker dokumentu („obecná“ makra K tomu použijí příkazy pro kopírování maker MacroCopy, OrganizerCopy nebo pomocí editoru maker -). virus jej zavolá, vytvoří nové makro, vloží do něj váš kód, který se uloží do dokumentu.

Při ukončení aplikace Word se globální makra (včetně virových maker) automaticky zapíší do souboru globálních maker DOT (obvykle NORMAL.DOT). Při příštím spuštění editoru MS-Word se tedy virus aktivuje v okamžiku, kdy WinWord načte globální makra, tzn. hned.

Pak virus přepíše (nebo již obsahuje) jedno nebo více standardních maker (například FileOpen, FileSave, FileSaveAs, FilePrint) a zachytí tak příkazy pro práci se soubory. Když jsou tyto příkazy volány, virus infikuje soubor, ke kterému se přistupuje. K tomu virus převede soubor do formátu Template (což znemožňuje další změny formátu souboru, tj. převod do jiného formátu než šablony) a zapíše do souboru svá makra, včetně makra Auto.

Pokud tedy virus zachytí makro FileSaveAs, je infikován každý soubor DOC uložený prostřednictvím makra zachyceného virem. Pokud je makro FileOpen zachyceno, virus je zapsán do souboru při čtení z disku.

Druhý způsob zavádění viru do systému se používá mnohem méně často - je založen na tzv. „Add-in“ souborech, tzn. soubory, které jsou doplňkovými službami aplikace Word. V tomto případě se NORMAL.DOT nezmění a Word po spuštění načte virová makra ze souboru (nebo souborů) definovaných jako „Doplněk“. Tato metoda téměř úplně replikuje infekci globálních maker, s výjimkou, že makra viru nejsou uložena v NORMAL.DOT, ale v nějakém jiném souboru.

Je také možné zavést virus do souborů umístěných v adresáři STARTUP - Word automaticky načte soubory šablon z tohoto adresáře.

Algoritmus pro makroviry Excel

Metody reprodukce virů aplikace Excel jsou obecně podobné metodám reprodukce virů aplikace Word. Rozdíly jsou v příkazech kopírování makra (například Sheets.Copy) a absenci NORMAL.DOT - jeho funkci (ve virálním smyslu) plní soubory v adresáři STARTUP Excelu.

Polymorfní viry

Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují také další, spíše exotické příklady polymorfismu - například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí kontrolu na kód viru, je zcela polymorfní.

Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače

Nejjednodušším příkladem částečně polymorfního dešifrovače je následující sada příkazů, v důsledku čehož není při infikování různých souborů konstantní ani jeden bajt kódu samotného viru a jeho dešifrovače:

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z

MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP

MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit

xxx byte ptr, reg_2; xor, add nebo sub

Složitější polymorfní viry používají podstatně složitější algoritmy pro generování kódu svých dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupovány z infekce na infekci, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC , nepoužívaný registr DEC, nepoužívaný registr XCHG atd.

Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možnými režimy adresování.

Výsledkem je, že na začátku souboru infikovaného takovým virem je sada instrukcí, které na první pohled nic neříkají, a některé kombinace, které jsou docela funkční, proprietární disassemblery nepřevezmou (například kombinace CS:CS : nebo CS:NOP). A mezi touto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu

Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dešifrovačích těchto virů.

Úroveň 1: viry, které mají určitou sadu dešifrovačů s konstantním kódem a když jsou infikovány, vyberou si jeden z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: „Cheeba“, „Slovensko“, „Velryba“.

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je neperzistentní.

Úroveň 3: dešifrovač obsahuje nepoužité instrukce - „smetí“ jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a přeskupování (míchání) instrukcí. Algoritmus dešifrování se nemění.

Úroveň 5: jsou použity všechny výše uvedené techniky, dešifrovací algoritmus je nekonzistentní, je možné, že je kód viru znovu zašifrován a dokonce i částečné zašifrování samotného kódu dešifrovače.

Úroveň 6: permutující viry. Hlavní kód viru podléhá změnám - je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedené rozdělení není prosté nedostatků, protože je provedeno podle jediného kritéria - schopnosti detekovat virus dešifrovacím kódem pomocí standardní techniky virových masek:

 Úroveň 1: k detekci viru stačí mít několik masek.

 Úroveň 2: detekce masky pomocí „zástupných karet“.

 Úroveň 3: detekce maskou po odstranění instrukcí – „odpad“.

 Úroveň 4: maska ​​obsahuje několik možných možností kódu, tzn. se stává algoritmickým.

 Úroveň 5: nemožnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. V tomto viru je však algoritmus pro generování „smetí“ doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.

Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.

Změna spustitelného kódu

Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.

Tato metoda je méně často používána složitými zaváděcími viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také kombinovat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.

Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „smetí“, nastaví nové hodnoty offsetu dat ve svých montážních pokynech, změní konstanty atd. . Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

Charakteristika počítačových virů

Podstata a projev počítačových virů

Rozšířené používání osobních počítačů se bohužel ukázalo být spojeno se vznikem samoreplikujících virových programů, které narušují normální provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači. Jakmile počítačový virus pronikne do jednoho počítače, může se rozšířit na další počítače. Počítačový virus je speciálně napsaný program, který je schopen se spontánně připojovat k jiným programům, vytvářet své kopie a zavádět je do souborů, systémových oblastí počítače a do počítačových sítí, aby narušil činnost programů, poškodil soubory a adresáře a vytvořil všemožné zásahy do práce na počítači Příčiny vzniku a šíření počítačových virů se na jedné straně skrývají v psychologii lidské osobnosti a jejích stinných stránkách (závist, pomsta, ješitnost neznámých tvůrců, neschopnost konstruktivně využívat své schopnosti), na druhé straně kvůli chybějící hardwarové ochraně a protizásahu ze strany operačního systému osobního počítače. chránit před viry, počet nových softwarových virů neustále roste. To vyžaduje, aby uživatel osobního počítače měl znalosti o povaze virů, způsobech napadení viry a ochraně proti nim Hlavními cestami, kterými se viry dostávají do počítače, jsou výměnné disky (disketové a laserové) a také počítačové sítě . Váš pevný disk se může nakazit viry, když spouštíte počítač z diskety, která obsahuje virus. Taková infekce může být také náhodná, například pokud nebyla disketa vyjmuta z jednotky A: a počítač byl restartován, přičemž disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah. Infikovaný disk- toto je disk, v jehož boot sektoru je program - virus Po spuštění programu obsahujícího virus je možné infikovat další soubory. Nejčastěji je virem napaden boot sektor disku a spustitelné soubory s příponami EXE, .COM, SYS nebo BAT. Infikování textových a grafických souborů je extrémně vzácné. Infikovaný program je program, který v sobě obsahuje virový program Když je počítač napaden virem, je velmi důležité jej včas detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích virů. Patří mezi ně následující:

• zastavení provozu nebo nesprávné fungování dříve úspěšně fungujících programů;

• pomalý výkon počítače;

• nemožnost načíst operační systém;

• zmizení souborů a adresářů nebo poškození jejich obsahu;

• změna data a času úpravy souboru;

• změna velikosti souborů;

• neočekávané výrazné zvýšení počtu souborů na disku;

• výrazné snížení velikosti volné paměti RAM;

• zobrazování neočekávaných zpráv nebo obrázků na obrazovce;

• vydávání neočekávaných zvukových signálů;

• Časté zamrzání a pády v počítači.

Je třeba poznamenat, že výše uvedené jevy nejsou nutně způsobeny přítomností viru, ale mohou být důsledkem jiných důvodů. Proto je vždy obtížné správně diagnostikovat stav počítače. Hlavní typy virů V současné době je známo více než 5 000 softwaru viry, lze je klasifikovat podle následujících kritérií (obr. 11.10): Obr. 11.10. Klasifikace počítačových virů: a - podle stanoviště; b - způsobem infekce; c - podle stupně nárazu; g - podle vlastností algoritmů, v závislosti z biotopu Viry lze rozdělit na síťové, souborové, spouštěcí a spouštěcí viry. Síťové viry distribuovány v různých počítačových sítích. Souborové viry jsou zasazeny převážně do spustitelných modulů, tzn. do souborů s příponami COM a EXE. Souborové viry mohou být zabudovány do jiných typů souborů, ale zpravidla zapsané v takových souborech nikdy nezískají kontrolu, a proto ztratí schopnost reprodukce. Spouštěcí viry jsou vloženy do spouštěcího sektoru disku (Boot sektor) nebo do sektoru obsahujícího spouštěcí program systémového disku (Master Boot Record). Souborové spouštěcí viry infikovat soubory i spouštěcí sektory disků. Podle způsob infekce viry se dělí na rezidentní a nerezidentní. Rezidentní virus když je počítač infikován (infikován), zanechá svou rezidentní část v paměti RAM, která následně zachytí přístup operačního systému k objektům infekce (soubory, zaváděcí sektory disku atd.) a vloží se do nich. Rezidentní viry jsou uloženy v paměti a jsou aktivní, dokud není počítač vypnut nebo restartován. Nerezidentní viry neinfikují paměť počítače a jsou aktivní po omezenou dobu. stupeň dopadu Viry lze rozdělit do následujících typů:

• nehazardní, nezasahuje do provozu počítače, ale snižuje množství volné paměti RAM a disku, akce takových virů se projevují v některých grafických nebo zvukových efektech;

• nebezpečný viry, které mohou vést k různým problémům s vaším počítačem;

• velmi nebezpečné jehož dopad může vést ke ztrátě programů, zničení dat a vymazání informací v systémových oblastech disku.

Podle vlastnosti algoritmu Viry je obtížné klasifikovat kvůli jejich velké rozmanitosti. Nejjednodušší viry - parazitický, mění obsah souborů a sektorů disku a lze je poměrně snadno detekovat a zničit. Můžete poznamenat replikátorové viry, tzv. červi, kteří se šíří po počítačových sítích, vypočítávají adresy síťových počítačů a na tyto adresy zapisují své kopie. Známý neviditelné viry, volal stealth viry, které je velmi obtížné detekovat a neutralizovat, protože zachycují volání operačního systému na infikované soubory a sektory disku a nahrazují neinfikované oblasti disku na jejich místo. Nejobtížněji detekovatelné jsou mutantní viry, které obsahují šifrovací-dešifrovací algoritmy, díky nimž kopie stejného viru nemají jediný opakující se řetězec bajtů. Existují i ​​tzv. kvazivirové resp "Trojský" programy, které, i když se nemohou samy šířit, jsou velmi nebezpečné, protože, vydávající se za užitečný program, ničí zaváděcí sektor a souborový systém disků.

PROGRAMY PRO DETEKCI A OCHRANU VIRŮ

Charakteristika antivirových programů Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirus. Existují následující typy antivirových programů (obr. 11.11): Detekční programy Hledají sekvenci bajtů (virovou signaturu) charakteristickou pro konkrétní virus v RAM a souborech, a když je najdou, vydají odpovídající zprávu. Nevýhodou takového antiviru pro-Obr. 11.11. Typy antivirových programů
gram je, že mohou najít pouze viry, které znají vývojáři takových programů. Lékařské programy nebo fágy, a očkovací programy nejen najít soubory infikované viry, ale také je „ošetřit“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce fágové vyhledávají viry v RAM, ničí je a teprve potom přistupují k „čištění“ souborů. Mezi fágy jsou polyfágy, těch. Lékařské programy určené k vyhledávání a ničení velkého množství virů. Nejznámějšími polyfágy jsou programy Aidstest , Skenování, Norton AntiVirus a Doctor Web . Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a je nutné pravidelně aktualizovat jejich verze. Program auditora patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce videomonitoru. Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy mají poměrně vyvinuté algoritmy, detekují stealth viry a dokážou dokonce rozlišit změny ve verzi kontrolovaného programu od změn provedených virem. Mezi auditní programy patří v Rusku hojně využívaný program Adinf od Dialog-Science. Filtrovat programy nebo "hlídač" jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, charakteristické pro viry. Takové akce mohou být:

• pokusy o opravu souborů s příponami COM a EXE;

• změna atributů souboru;

• přímý zápis na disk na absolutní adresu;

• zápis do boot sektorů disku.

Když se jakýkoli program pokusí provést zadané akce, „hlídač“ odešle zprávu uživateli a nabídne zákaz nebo povolení příslušné akce. Filtrační programy jsou velmi užitečné, protože jsou schopny detekovat virus v nejranější fázi jeho existence před replikací. Soubory a disky však „nečistí“. Chcete-li zničit viry, musíte použít jiné programy, jako jsou fágy. Mezi nevýhody hlídacích programů patří jejich „dotěrnost“ (například neustále upozorňují na jakýkoli pokus o zkopírování spustitelného souboru) a také možné konflikty s jiným softwarem. Příkladem filtračního programu je program Vsafe, součástí balíku utilit pro operační systém MS DOS. Vakcíny nebo imunizátory- Jedná se o rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že neovlivní jeho činnost a virus jej bude vnímat jako infikovaný, a proto se nezakoření. V současné době mají očkovací programy omezené použití Včasná detekce virem infikovaných souborů a disků a úplné zničení zjištěných virů na každém počítači pomáhá zabránit šíření virové epidemie na další počítače. Antivirová sada JSC "Dialog-Science" Mezi množstvím moderních softwarových nástrojů pro boj s počítačovými viry by měla být dána přednost antivirové sadě společnosti Dialog-Science JSC, která zahrnuje čtyři softwarové produkty: Polyfágy Aidstest a Doctor Web (zkráceně Dr.Web), auditor disku ADinf a ošetřovací jednotka ADinf Cure Module. Pojďme se krátce podívat, jak a kdy tyto antivirové programy používat. Polyfágový program AIDStest . Aidstest - Jedná se o program, který dokáže odhalit a zničit více než 1300 počítačových virů, které jsou nejrozšířenější v Rusku. Verze Aidstest jsou pravidelně aktualizovány a doplňovány informacemi o nových virech. Zavolat Aidstest měli byste zadat příkaz: AIDSTEST []kde cesta je název jednotky, úplný název nebo specifikace souboru, maska ​​skupiny souborů:* - ​​všechny oddíly pevného disku,** - všechny jednotky, včetně síťových a jednotek CD ROM - libovolná kombinace následujících klíčů: /F -; opravit infikované programy a vymazat poškozené /G - skenovat všechny soubory v řadě (nejen COM, EXE a SYS) /S - pomalá práce při hledání poškozených virů; virus /Q - požádat o povolení k odstranění poškozených souborů - nenabízet zpracování další diskety; Příklad 11.27 Aidstest zkontrolovat a „ošetřit“ disk V:. Zjištěné infikované programy budou opraveny. Všechny soubory na disku podléhají kontrole. Pokud soubor nelze opravit, program požádá o povolení k jeho odstranění: aidstest b: /f/g/q Polyfágový program Doctor Web. Tento program je určen především pro boj s polymorfními viry, které se v počítačovém světě objevily relativně nedávno. Používání Dr. Web skenovat disky a odstraňovat detekované viry, obecně podobné programu Aidstest. V tomto případě prakticky nedochází k duplicitě kontrol, protože Aidstest A Dr.Web pracovat na různých sadách virů. Program Dr.Web dokáže účinně bojovat se složitými mutantními viry, které jsou mimo možnosti programu Aidstest. Na rozdíl od Aidstest program Dr.Web je schopen detekovat změny ve vlastním programovém kódu, efektivně identifikovat soubory infikované novými, neznámými viry, proniknout do zašifrovaných a zabalených souborů a také překonat „očkovací krytí“. Toho je dosaženo díky přítomnosti poměrně výkonného heuristického analyzátoru. V režimu heuristické analýzy program Dr.Web zkoumá soubory a systémové oblasti disků a snaží se detekovat nové nebo neznámé viry pomocí sekvencí kódů charakteristických pro viry. Pokud jsou nějaké nalezeny, zobrazí se varování, že objekt může být infikován neznámým virem. K dispozici jsou tři úrovně heuristické analýzy. V režimu heuristické analýzy jsou možné falešně pozitivní výsledky, tj. detekce souborů, které nejsou infikované. Úroveň "heuristiky" znamená úroveň analýzy kódu bez přítomnosti falešných poplachů. Čím vyšší je úroveň heuristiky, tím vyšší je procento chyb nebo falešných poplachů. Doporučují se první dvě úrovně heuristického analyzátoru. Třetí úroveň heuristické analýzy umožňuje dodatečnou kontrolu souborů na „podezřelou“ dobu jejich vytvoření. Některé viry při infikování souborů nastavují nesprávný čas vytvoření, což znamená, že soubory jsou infikovány. Například u infikovaných souborů mohou být sekundy 62 a rok vytvoření může být zvýšen o 100 let Zahrnuto v antivirovém programu Dr.Web může také zahrnovat doplňkové soubory do hlavní virové databáze programu, čímž se rozšíří jeho možnosti. Práce s programem Dr. Web možné ve dvou režimech:

• v režimu rozhraní na celou obrazovku pomocí nabídek a dialogových oken;

• v režimu ovládání příkazového řádku.

Pro jednorázové nepravidelné použití je výhodnější první režim, ale pro pravidelné používání pro účely systematické vstupní kontroly disket je lepší použít druhý režim. Při použití druhého režimu odpovídající příkaz start Dr. Web musí být zahrnuto buď v uživatelské nabídce operačního shellu Norton Commander, nebo ve speciálním dávkovém souboru příkazového řádku ke spuštění Dr. Web vypadá takto: DrWeb [jednotka: [cesta] ] [klíče] kde jednotka:X: - logické zařízení pevného disku nebo fyzické zařízení diskety, například F: nebo A:, * - vše logické zařízení na pevném disku, cesta - jedná se o cestu nebo masku požadovaných souborů Nejdůležitější klíče: /AL - diagnostika všech souborů na daném zařízení /CU[P] - „dezinfekce“ disků a souborů; odstranění detekovaných virů P - odstranění virů s potvrzením uživatele /DL - odstranění souborů, u kterých není možné správné ošetření /NA[level] - heuristická analýza souborů a hledání neznámých virů v nich; hodnoty 0, 1, 2 /RP[název souboru] - záznam pracovního protokolu do souboru (standardně do souboru REPORT. WEB /CL - spuštění programu v režimu příkazového řádku, při testování souborů a systémových oblastí); , není použito celoobrazovkové rozhraní /QU - ukončení do DOSu ihned po testování /? - zobrazení stručné nápovědy na obrazovce Pokud není na příkazovém řádku Dr.Web zadán žádný klíč, budou všechny informace pro aktuální spuštění načteny z konfiguračního souboru DRWEB.INI, který se nachází ve stejném adresáři jako soubor DRWEB.EXE. . Konfigurační soubor se vytváří při práci s programem Dr.Web pomocí příkazu uložíte parametry potřebné pro testování. Příklad 11.28. Spuštění antivirového programu Dr.Web pro kontrolu a ošetření disku V:. Zjištěné infikované soubory budou „vyléčeny“. Všechny soubory na disku podléhají kontrole. Pokud soubor nelze „vyléčit“, program požádá o povolení jej smazat. Pro vyhledávání virů by měla být použita heuristická analýza úrovně 1. Program by měl být spuštěn pouze v režimu příkazového řádku s ukončením DOS po dokončení testování: DrWeb In: /AL /CUP /HA1 /QU / CL. Technologie pro práci s programem Dr. Web v režimu rozhraní celé obrazovky. Pro spuštění v režimu rozhraní na celou obrazovku stačí do příkazového řádku zadat pouze název programu. Ihned po načtení programu začne testování paměti RAM počítače, pokud nebyla zakázána předchozím nastavením. Průběh testování se zobrazuje v testovacím okně. Jakmile je test paměti dokončen, zastaví se. Pokud použijete hlavní nabídku umístěnou na horním řádku obrazovky, můžete pokračovat ve spuštění programu. Pro aktivaci nabídky stiskněte klávesu .Hlavní nabídka obsahuje následující režimy: Nastavení Dr.WebTest Doplňky Když vyberete jakýkoli režim, otevře se odpovídající podnabídka. Dr.Web umožňuje dočasně ukončit DOS, získat stručné informace o programu Dr.Web a jeho autorovi nebo program opustit provedené akce Podnabídka Nastavení slouží k instalaci pomocí dialogových oken pro nastavení programu, nastavení vyhledávacích cest a masek a ukládání parametrů do konfiguračního souboru DRWEB.INI Pro připojení doplňkových souborů k hlavní virové databázi programu jeho schopnosti, režim Doplňky.Anti-Virus Disk Auditor ADinf. Inspektor ADinf vám umožňuje detekovat výskyt jakéhokoli viru, včetně virů stealth, mutantních virů a aktuálně neznámých virů. Program ADinf vzpomíná:

• informace o boot sektorech;

• informace o neúspěšných klastrech;

• délka a kontrolní součty souborů;

• datum a čas vytvoření souborů.

Po celou dobu provozu počítače program ADinf sleduje zachování těchto vlastností. V režimu denního ovládání ADinf spustí se automaticky každý den při prvním zapnutí počítače. Změny podobné virům jsou zvláště monitorovány a je vydáváno okamžité varování. Kromě sledování integrity souborů ADinf sleduje vytváření a mazání podadresářů, vytváření, mazání, přesun a přejmenování souborů, vznik nových neúspěšných clusterů, bezpečnost boot sektorů a mnoho dalšího. Všechna možná místa pro vstup viru do systému jsou blokována. Adinf kontroluje disky bez použití DOSu, čte je sektor po sektoru přímým přístupem do BIOSu. Díky tomuto způsobu ověřování ADinf detekuje maskované stealth viry a poskytuje vysokorychlostní skenování disku. Léčebný blok ADinfCure Module. Modul ADinfCure - jedná se o program, který pomáhá „vyléčit“ váš počítač před novým virem, aniž byste museli čekat na nejnovější verze Aidstest nebo Dr.Web, komu bude tento virus znám. Program Modul ADinfCure využívá skutečnosti, že navzdory obrovské rozmanitosti virů existuje jen velmi málo různých metod pro jejich vkládání do souborů. Při běžném provozu, kdy je Adinf auditor pravidelně spouštěn, hlásí ADinf Cure Module o tom, které soubory se od posledního spuštění změnily. Adinf Cure Module analyzuje tyto soubory a do svých tabulek zaznamenává informace, které mohou být potřebné k obnovení souboru, pokud je infikován virem. Pokud dojde k infekci, ADinf zaznamená změny a zavolá znovu Adinf Cure Module, který se na základě analýzy infikovaného souboru a jeho porovnání se zaznamenanými informacemi pokusí obnovit původní stav souboru. Základní opatření k ochraně před viry Abyste zabránili vystavení počítače virům a zajistili spolehlivé ukládání informací na disky, musíte dodržovat následující pravidla:

• vybavte svůj počítač aktuálním antivirovým softwarem, jako je např Aidstest nebo Doktor Web, a neustále aktualizovat jejich verze;

• Před čtením informací zaznamenaných na jiných počítačích z disket vždy zkontrolujte, zda tyto diskety neobsahují viry spuštěním antivirových programů na vašem počítači;

• při přenosu souborů v archivované podobě do počítače je zkontrolujte ihned po rozbalení na pevném disku a omezte oblast skenování pouze na nově nahrané soubory;

• pravidelně kontrolujte pevné disky vašeho počítače na výskyt virů spouštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu, po načtení operačního systému také ze systémové diskety chráněné proti zápisu;

• Při práci na jiných počítačích vždy chraňte své diskety před zápisem, pokud na ně nebudou zaznamenány informace;

• nezapomeňte vytvořit záložní kopie informací, které jsou pro vás cenné, na diskety;

• nenechávejte diskety v kapse jednotky A: při zapínání nebo restartu operačního systému, abyste zabránili napadení počítače zaváděcími viry;

• používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí;

• aby byla zajištěna větší bezpečnost používání Aidstest A Doktor Web musí být kombinováno s každodenním používáním nástroje Disk Auditor ADinf.