Hogar › Teléfono › ¿Qué virus informáticos existen? ¿Métodos de lucha? Establezca la configuración del BIOS a los valores predeterminados. Opciones avanzadas de BIOS

¿Qué virus informáticos existen? ¿Métodos de lucha? Establezca la configuración del BIOS a los valores predeterminados. Opciones avanzadas de BIOS

Virus informáticos

virus informático es un pequeño programa especialmente escrito que puede "atribuirse" a otros programas (es decir, "infectarlos") y también realizar diversas acciones no deseadas en la computadora. Un programa que contiene un virus se llama "infectado". Cuando un programa de este tipo comienza a funcionar, el virus primero toma el control. El virus encuentra e “infecta” otros programas y también realiza algunas acciones dañinas (por ejemplo, corrompe archivos o la tabla FAT, “obstruye” la RAM, etc.). Para disfrazar un virus, es posible que no siempre se lleven a cabo acciones para infectar otros programas y causar daño, pero solo si se cumplen ciertas condiciones. Una vez que el virus realiza las acciones necesarias, transfiere el control al programa en el que se encuentra y funciona como de costumbre. Así, exteriormente, el funcionamiento de un programa infectado tiene el mismo aspecto que el de uno no infectado.

Un virus informático puede estropear, es decir. cambiar inapropiadamente cualquier archivo en los discos de la computadora. Pero el virus puede "infectar" algunos tipos de archivos. Esto significa que el virus puede “inyectarse” en estos archivos, es decir. cámbielos para que contengan un virus que, en determinadas circunstancias, pueda empezar a actuar.

Demostración de la presencia de un virus mientras se trabaja en una PC.

Todas las acciones del virus se pueden realizar con bastante rapidez y sin emitir ningún mensaje, por lo que es muy difícil para el usuario notar que algo inusual está sucediendo en la computadora.

Algunos signos de infección:

algunos programas dejan de funcionar o empiezan a funcionar incorrectamente;
se muestran mensajes extraños, símbolos, etc. en la pantalla;
el trabajo en la computadora se ralentiza significativamente;
algunos archivos resultan corruptos, etc.
el sistema operativo no arranca;
cambiar la fecha y hora de modificación del archivo;
cambiar el tamaño de archivos;
un aumento significativo en la cantidad de archivos en el disco;
una reducción significativa en el tamaño de la RAM libre, etc.

Algunos tipos de virus primero infectan silenciosamente una gran cantidad de programas o discos y luego causan daños muy graves, por ejemplo, al formatear todo el disco duro de la computadora. Otros virus intentan comportarse lo más silenciosamente posible, pero poco a poco corrompen los datos del disco duro.

Por lo tanto, si no toma medidas para protegerse contra el virus, las consecuencias de infectar su computadora pueden ser muy graves.

Tipos de virus informáticos

Los virus se clasifican según su hábitat y método de exposición. Según su hábitat, los virus se dividen en los siguientes tipos:

virus de archivos que están incrustados principalmente en archivos ejecutables, es decir archivos con extensión exe, com, bat, pero también pueden distribuirse a través de archivos de documentos;
los de arranque, que están integrados en el sector de arranque del disco o en el sector que contiene el programa de arranque del disco del sistema;
virus de macro que infectan archivos de documentos y plantillas de documentos de Word y Excel;
red, distribuida a través de una red informática;

Los virus más comunes son los que infectan archivos ejecutables. Algunos virus infectan tanto archivos como áreas de arranque de los discos.

Para evitar ser detectados, algunos virus utilizan técnicas de camuflaje bastante astutas. Consideremos los virus "invisibles" y que se modifican a sí mismos.

Virus "invisibles". Muchos virus residentes(un virus residente, al infectar una computadora, deja su parte residente en la RAM, que luego intercepta el acceso del sistema operativo a los objetos infectados y se inyecta en ellos) (tanto los virus de archivos como los de arranque) impiden su detección interceptando el acceso del sistema operativo a archivos y áreas infectados del disco y emitirlos en su forma original (no infectada). Por supuesto, este efecto se observa sólo en una computadora infectada: en una computadora "limpia", los cambios en los archivos y las áreas de arranque del disco se pueden detectar fácilmente.

Virus que se modifican solos. Otro método utilizado por los virus para evadir la detección es modificar su cuerpo. Muchos virus almacenan la mayor parte de su cuerpo en forma codificada, por lo que no se pueden utilizar desensambladores para comprender el mecanismo de su funcionamiento. Los virus automodificadores utilizan esta técnica y a menudo cambian los parámetros de esta codificación y, además, cambian su parte inicial, que sirve para decodificar el resto de comandos del virus. Por tanto, en el cuerpo de dicho virus no existe una única cadena constante de bytes mediante la cual se pueda identificar el virus. Esto, naturalmente, dificulta que los programas detectores encuentren dichos virus.

Métodos de protección contra virus informáticos.

Cualquiera que sea el virus, el usuario necesita conocer los métodos básicos de protección contra virus informáticos.

Para protegerse contra virus puede utilizar:

herramientas generales de protección de información, que también son útiles como seguro contra daños físicos a los discos, mal funcionamiento de programas o acciones erróneas del usuario;
medidas preventivas para reducir la probabilidad de contraer el virus;
Programas especializados para la protección antivirus.

Las herramientas generales de seguridad de la información son útiles para algo más que la protección antivirus. Hay dos tipos principales de estos fondos:

copiar información: crear copias de archivos y áreas del sistema de discos;
El control de acceso previene el uso no autorizado de la información, en particular, la protección contra cambios en programas y datos por virus, programas que funcionan mal y acciones erróneas del usuario.

A pesar de que las medidas generales de seguridad de la información son muy importantes para protegerse contra los virus, todavía no son suficientes. También es necesario utilizar programas especializados para protegerse contra virus. Estos programas se pueden dividir en varios tipos: detectores, médicos (fagos), auditores, médicos-auditores, filtros y vacunas (inmunizadores).

Programas detectores le permite detectar archivos infectados con uno de varios virus conocidos. Estos programas verifican si los archivos en una unidad especificada por el usuario contienen una combinación de bytes específicos de un virus determinado. Esta combinación se llama firma. Cuando se detecta en cualquier archivo, se muestra el mensaje correspondiente en la pantalla. Muchos detectores tienen modos para curar o destruir archivos infectados. Cabe destacar que los programas detectores sólo pueden detectar virus que les son "conocidos".

Por lo tanto, el hecho de que los detectores no reconozcan un programa como infectado no significa que esté sano: puede contener algún virus nuevo o una versión ligeramente modificada de un virus antiguo, desconocido para los programas detectores.

Programas de auditor tener dos etapas de trabajo. En primer lugar, recuerdan información sobre el estado de los programas y las áreas del sistema de los discos (el sector de arranque y el sector con la tabla de particiones del disco duro). Se supone que en este momento los programas y las áreas del disco del sistema no están infectados. Después de esto, utilizando el programa auditor, puede comparar el estado de los programas y las áreas del disco del sistema con el estado original en cualquier momento. Cualquier discrepancia detectada se informa al usuario.

Muchos programas de auditoría son bastante "inteligentes": pueden distinguir los cambios en los archivos causados, por ejemplo, al pasar a una nueva versión de un programa, de los cambios realizados por un virus, y no generan falsas alarmas. El hecho es que los virus suelen cambiar los archivos de una forma muy específica y realizar los mismos cambios en diferentes archivos de programa. Está claro que en una situación normal tales cambios casi nunca ocurren, por lo que el programa de auditoría, al registrar dichos cambios, puede informar con confianza que fueron causados por un virus.

Filtrar programas, que se encuentran residentes en la memoria RAM del ordenador e interceptan aquellas llamadas al sistema operativo que utilizan los virus para reproducirse y causar daño, y reportarlas al usuario. El usuario puede permitir o denegar la operación correspondiente.

Alguno programas de filtro No “detectan” acciones sospechosas, sino que comprueban los programas que deben ejecutarse en busca de virus. Esto hace que su computadora se ralentice.

Sin embargo, las ventajas de utilizar programas de filtrado son bastante importantes: permiten detectar muchos virus en una fase muy temprana.

Programas de vacunas, o inmunizadores, modifican programas y discos de tal forma que esto no afecte el funcionamiento de los programas, pero el virus contra el que se realiza la vacunación considera que estos programas o discos ya están infectados. Estos programas son extremadamente ineficaces.

Ningún tipo de programa antivirus proporciona una protección completa contra los virus. La mejor estrategia para protegerse contra los virus es una defensa "en profundidad" de varias capas. Veamos la estructura de esta defensa.

Las herramientas de reconocimiento en la “defensa” contra virus corresponden a programas detectores que le permiten verificar la presencia de virus en el software recién recibido.

A la vanguardia de la defensa se encuentran los programas de filtrado. Estos programas pueden ser los primeros en informar el funcionamiento de un virus y prevenir la infección de programas y discos.

El segundo escalón de la defensa está formado por programas de auditores, programas de médicos y auditores médicos.

El escalón más profundo de la defensa son los medios de control de acceso. No permiten que los virus y programas que funcionan mal, incluso si han ingresado a la computadora, estropeen datos importantes. La “reserva estratégica” contiene copias de archivo de información. Esto le permite restaurar información si está dañada.

Entonces, uno de los principales métodos para combatir los virus es la prevención oportuna de su aparición y propagación. Sólo las medidas de seguridad preventivas integrales brindan protección contra una posible pérdida de información. El conjunto de tales medidas incluye:

Archivado periódico de información (creación de copias de seguridad de archivos importantes y áreas del sistema del disco duro).
Utilice únicamente copias de distribución con licencia de productos de software.
Comprobar sistemáticamente su computadora en busca de virus. El ordenador debe estar equipado con un paquete de software antivirus eficaz, utilizado periódicamente y constantemente actualizado. Para garantizar una mayor seguridad, conviene utilizar varios programas antivirus en paralelo.
Realización de inspección entrante de nuevo software y disquetes recibidos. Al transferir archivos archivados a su computadora después de descomprimirlos, también es necesario verificarlos.
Cuando trabaje en otras computadoras, siempre debe proteger sus disquetes contra escritura en los casos en que no planee escribir información en ellos.
Al buscar virus, debe utilizar un sistema operativo limpio y conocido cargado desde un disquete.
Cuando se trabaja en una red, es necesario utilizar programas antivirus para controlar la entrada de todos los archivos recibidos de las redes informáticas. Nunca debe ejecutar archivos no verificados recibidos a través de redes informáticas.

Las modernas tecnologías de protección antivirus permiten proteger servidores de archivos, servidores de correo y servidores de aplicaciones contra virus. Por ejemplo, Kaspersky Anti-Virus para proteger servidores de archivos le permite detectar y neutralizar todo tipo de malware en servidores de archivos y servidores de aplicaciones que ejecutan el sistema operativo Solaris, incluidos caballos de Troya, subprogramas Java y ActiveX.
Kaspersky Anti-Virus para proteger servidores de archivos incluye:

un escáner antivirus que realiza un análisis antivirus de todos los sistemas de archivos disponibles en busca de virus a petición del usuario.
También se analizan los archivos archivados y comprimidos;
el demonio antivirus, que es un tipo de escáner antivirus con un procedimiento optimizado para cargar bases de datos antivirus en la memoria, verifica los datos en tiempo real;

El auditor de cambios, Kaspersky Inspector, monitorea todos los cambios que ocurren en los sistemas de archivos de la computadora. El módulo no requiere actualizaciones de la base de datos antivirus: el control se realiza basándose en la eliminación de las sumas de comprobación de los archivos (CRC - sumas) y su posterior comparación con los datos obtenidos tras modificar los archivos.
El uso combinado de estos módulos le permite crear una protección antivirus que cumpla con mayor precisión los requisitos del sistema.
Los objetos sospechosos o infectados detectados se pueden colocar en un directorio de "cuarentena" preespecificado para su posterior análisis.
Kaspersky Anti-Virus proporciona protección antivirus centralizada a gran escala para sistemas de correo electrónico que ejecutan el sistema operativo Solaris.
Todos los elementos de un correo electrónico se analizan en busca de virus: el cuerpo, los archivos adjuntos (incluidos los archivados y comprimidos), los objetos OLE incrustados y los mensajes de cualquier nivel de anidamiento. Los objetos sospechosos o infectados detectados se pueden desinfectar, eliminar, cambiar de nombre o colocar en un directorio de cuarentena predefinido para su posterior análisis.

La actualización diaria de la base de firmas de virus se implementa automáticamente a través de Internet mediante un módulo especialmente integrado y proporciona un alto nivel de detección de virus informáticos.

Preguntas de seguridad
¿Qué es un virus informático?
¿Qué programa se llama "infectado"?
¿Qué sucede cuando un programa infectado comienza a ejecutarse?
¿Cómo puede disfrazarse un virus?
¿Cuáles son los signos de una infección por virus?
¿Cuáles son las consecuencias de estar infectado con un virus informático?
¿Con qué criterios se clasifican los virus informáticos?
¿Cómo se clasifican los virus por hábitat?
¿Qué tipos de virus informáticos se distinguen por su modo de acción?
¿Qué pueden infectar los virus?
¿Cómo se disfrazan los virus “invisibles”?
¿Cuáles son las características de los virus que se automodifican?
¿Qué métodos de protección contra virus informáticos se pueden utilizar?
¿En qué tipos de programas de protección antivirus se pueden dividir?
¿Cómo funcionan los programas detectores?
¿Qué es una firma?
¿El detector siempre reconoce un programa infectado?
¿Cuál es el principio de funcionamiento de los programas de auditoría, programas de filtrado y programas de vacunas?
¿Cómo se ve la protección multinivel contra virus informáticos mediante programas antivirus?
Enumerar medidas para proteger la información de virus informáticos.
¿Cuáles son las tecnologías de protección antivirus actuales?
¿Cuáles son las capacidades de Kaspersky Anti-Virus para proteger servidores de archivos? servidores de correo?
¿Qué módulos se incluyen en Kaspersky Anti-Virus para proteger los sistemas de archivos?
¿Cuál es el propósito de estos módulos?
¿Qué elementos de un correo electrónico se analizan en busca de virus?
¿Cómo neutraliza Kaspersky Anti-Virus los objetos infectados o sospechosos detectados?
¿Cómo se actualiza la base de datos de firmas de virus?

Características de los virus informáticos

La esencia y manifestación de los virus informáticos.

Desafortunadamente, el uso masivo de computadoras personales resultó estar asociado con la aparición de programas virales autorreplicantes que interfieren con el funcionamiento normal de la computadora, destruyen la estructura de archivos de los discos y dañan la información almacenada en la computadora. Una vez que un virus informático penetra en una computadora, puede propagarse a otras computadoras. virus informático es un programa especialmente escrito que es capaz de adjuntarse espontáneamente a otros programas, crear copias de sí mismo e introducirlas en archivos, áreas del sistema de la computadora y en redes informáticas para interrumpir el funcionamiento de los programas, dañar archivos y directorios y crear Todo tipo de interferencias en el trabajo en el ordenador Las razones de la aparición y difusión de los virus informáticos, por un lado, se esconden en la psicología de la personalidad humana y sus lados oscuros (la envidia, la venganza, la vanidad de creadores no reconocidos, el incapacidad para utilizar constructivamente las propias capacidades), por otro lado, debido a la falta de protección del hardware y contrarrestación del sistema operativo de una computadora personal. A pesar de las leyes adoptadas en muchos países para combatir los delitos informáticos y el desarrollo de herramientas de software especiales para protegerse contra los virus, el número de nuevos virus de software crece constantemente. Esto requiere que el usuario de una computadora personal tenga conocimiento sobre la naturaleza de los virus, los métodos de infección por virus y la protección contra ellos. Las principales rutas para que los virus ingresen a una computadora son los discos extraíbles (disquete y láser), así como las redes informáticas. . Su disco duro puede infectarse con virus cuando inicia su computadora desde un disquete que contiene un virus. Esta infección también puede ser accidental, por ejemplo, si el disquete no se extrajo de la unidad A: y la computadora se reinició, mientras que es posible que el disquete no sea el del sistema. Es mucho más fácil infectar un disquete. Un virus puede entrar en él incluso si el disquete simplemente se inserta en la unidad de disco de un ordenador infectado y se lee, por ejemplo, su índice. Disco infectado- es un disco en cuyo sector de arranque hay un programa - un virus. Después de ejecutar un programa que contiene un virus, es posible infectar otros archivos. Muy a menudo, el sector de arranque del disco y los archivos ejecutables con extensiones EXE, .COM, SYS o BAT están infectados con un virus. Es extremadamente raro que archivos de texto y gráficos se infecten. Programa infectado es un programa que contiene un programa de virus incorporado. Cuando una computadora está infectada con un virus, es muy importante detectarlo de manera oportuna.

Para ello, conviene conocer los principales signos de los virus. Estos incluyen lo siguiente:

cese de la operación o operación incorrecta de programas que anteriormente funcionaban con éxito;

rendimiento lento de la computadora;

incapacidad para cargar el sistema operativo;

cambiar la fecha y hora de modificación del archivo;

cambiar el tamaño de archivos;

aumento significativo inesperado en la cantidad de archivos en el disco;

una reducción significativa del tamaño de la RAM libre;

mostrar mensajes o imágenes inesperados en la pantalla;

dar señales sonoras inesperadas;

Frecuentes congelamientos y fallas en la computadora.

Cabe señalar que los fenómenos anteriores no son necesariamente causados por la presencia de un virus, sino que pueden ser consecuencia de otras razones. Por tanto, siempre es difícil diagnosticar correctamente el estado de una computadora. Principales tipos de virus. Actualmente existen más de 5.000 software conocidos. virus, se pueden clasificar según los siguientes criterios (Fig. 11.10): Fig. 11.10. Clasificación de virus informáticos: a - por hábitat; b - por método de infección; c - según el grado de impacto; g - según las características de los algoritmos, dependiendo del hábitat Los virus se pueden dividir en virus de red, de archivos, de arranque y de arranque de archivos. Virus de red distribuidos en varias redes informáticas. Virus de archivos están integrados principalmente en módulos ejecutables, es decir a archivos con extensiones COM y EXE. Los virus de archivos pueden incrustarse en otros tipos de archivos, pero, por regla general, escritos en dichos archivos, nunca obtienen el control y, por lo tanto, pierden la capacidad de reproducirse. Virus de arranque están integrados en el sector de arranque del disco (sector de arranque) o en el sector que contiene el programa de arranque del disco del sistema (Master Boot Record). Virus de arranque de archivos infecta tanto archivos como sectores de arranque de discos. Por método de infección Los virus se dividen en residentes y no residentes. virus residente cuando una computadora está infectada (infectada), deja su parte residente en la RAM, que luego intercepta el acceso del sistema operativo a los objetos infectados (archivos, sectores de arranque del disco, etc.) y se inyecta en ellos. Los virus residentes residen en la memoria y están activos hasta que se apaga o reinicia la computadora. Virus no residentes no infectan la memoria de la computadora y están activos por un tiempo limitado. grado de impacto

Los virus se pueden dividir en los siguientes tipos:, no peligroso

sin interferir con el funcionamiento de la computadora, pero reduciendo la cantidad de RAM y memoria de disco libres, las acciones de dichos virus se manifiestan en algunos efectos gráficos o de sonido; peligroso

virus que pueden provocar diversos problemas con su computadora; cuyo impacto puede provocar la pérdida de programas, la destrucción de datos y el borrado de información en áreas del sistema del disco.

Por características del algoritmo Los virus son difíciles de clasificar debido a su gran variedad. Los virus más simples - parásito, cambian el contenido de archivos y sectores del disco y pueden detectarse y destruirse con bastante facilidad. Se puede notar virus replicadores, llamados gusanos, que se propagan por las redes informáticas, calculan las direcciones de las computadoras de la red y escriben copias de sí mismos en estas direcciones. Conocido virus invisibles, llamado virus sigilosos, que son muy difíciles de detectar y neutralizar, ya que interceptan llamadas del sistema operativo a archivos y sectores del disco infectados y sustituyen en su lugar áreas no infectadas del disco. Los más difíciles de detectar son los virus mutantes que contienen algoritmos de cifrado y descifrado, gracias a los cuales las copias del mismo virus no tienen una sola cadena de bytes repetida. También existen los llamados cuasivirales o "troyano" programas que, aunque no son capaces de autopropagarse, son muy peligrosos porque, haciéndose pasar por un programa útil, destruyen el sector de arranque y el sistema de archivos de los discos.

PROGRAMAS DE DETECCIÓN Y PROTECCIÓN DE VIRUS

Características de los programas antivirus. Para detectar, eliminar y proteger contra virus informáticos, se han desarrollado varios tipos de programas especiales que le permiten detectar y destruir virus. Estos programas se denominan. antivirus Programas detectores Existen los siguientes tipos de programas antivirus (Fig. 11.11):

Buscan una secuencia de bytes (firma de virus) característica de un virus en particular en la RAM y los archivos y, cuando la encuentran, emiten el mensaje correspondiente. La desventaja de este tipo de antivirus pro-Fig. 11.11. Tipos de programas antivirus gram es que sólo pueden encontrar virus conocidos por los desarrolladores de dichos programas. Programas médicos o fagos, y también programas de vacunas, no sólo encontrar archivos infectados con virus, sino también “tratarlos”, es decir, elimine el cuerpo del programa viral del archivo, devolviendo los archivos a su estado original. Al comienzo de su trabajo, los fagos buscan virus en la RAM, los destruyen y solo entonces proceden a "limpiar" los archivos. Entre los fagos hay polífagos . Teniendo en cuenta que constantemente aparecen nuevos virus, los programas detectores y médicos quedan obsoletos rápidamente y es necesario actualizar periódicamente sus versiones. programa de auditores se encuentran entre los medios más fiables de protección contra virus. Los auditores recuerdan el estado inicial de los programas, directorios y áreas del sistema del disco cuando la computadora no está infectada con un virus, y luego periódicamente o a petición del usuario comparan el estado actual con el original. Los cambios detectados se muestran en la pantalla del monitor de vídeo. Filtrar programas Como regla general, la comparación de estados se realiza inmediatamente después de cargar el sistema operativo. Al comparar, se verifican la longitud del archivo, el código de control cíclico (suma de verificación del archivo), la fecha y hora de modificación y otros parámetros. Los programas de auditoría tienen algoritmos bastante desarrollados, detectan virus ocultos e incluso pueden distinguir los cambios en la versión del programa que se está verificando de los cambios realizados por el virus. Entre los programas de auditoría se encuentra el programa Adinf de Dialog-Science, que se utiliza ampliamente en Rusia. o

"sereno"

son pequeños programas residentes diseñados para detectar acciones sospechosas durante el funcionamiento de la computadora, características de los virus. Tales acciones pueden ser:

intenta corregir archivos con extensiones COM y EXE;

cambiar los atributos del archivo;

escritura directa en disco en dirección absoluta; escribiendo en los sectores de arranque del disco. Cuando cualquier programa intenta realizar las acciones especificadas, el "vigilante" envía un mensaje al usuario y le ofrece prohibir o permitir la acción correspondiente. Los programas de filtrado son muy útiles porque pueden detectar un virus en la etapa más temprana de su existencia antes de replicarse. Sin embargo, no “limpian” archivos ni discos. Para destruir virus, es necesario utilizar otros programas, como phages. Las desventajas de los programas de vigilancia incluyen su "intrusión" (por ejemplo, constantemente emiten advertencias sobre cualquier intento de copiar un archivo ejecutable), así como posibles conflictos con otro software. Un ejemplo de un programa de filtrado es el programa Vseguro, Como regla general, la comparación de estados se realiza inmediatamente después de cargar el sistema operativo. Al comparar, se verifican la longitud del archivo, el código de control cíclico (suma de verificación del archivo), la fecha y hora de modificación y otros parámetros. incluido en el paquete de utilidades para el sistema operativo MS DOS.- Estos son programas residentes que previenen la infección de archivos. Las vacunas se utilizan si no existen programas médicos que “traten” este virus. La vacunación sólo es posible contra virus conocidos. La vacuna modifica el programa o disco de tal forma que no afecta a su funcionamiento, y el virus lo percibirá como infectado y por tanto no echará raíces. Actualmente, los programas de vacunas tienen un uso limitado. La detección oportuna de archivos y discos infectados por virus y la destrucción completa de los virus detectados en cada computadora ayudan a evitar la propagación de una epidemia de virus a otras computadoras. Kit antivirus JSC "Dialog-Science" Entre la abundancia de herramientas de software modernas para combatir virus informáticos, se debe dar preferencia al kit antivirus de Dialog-Science JSC, que incluye cuatro productos de software: Aidstest y Doctor Web Polyphages (Dr.Web para abreviar), ADinf disk auditor. y unidad de tratamiento ADinf Cure Module. Echemos un vistazo breve a cómo y cuándo utilizar estos programas antivirus. Programa de polifagos Aidstest . Prueba de ayuda Este es un programa que puede detectar y destruir más de 1300 virus informáticos que están más extendidos en Rusia. Versiones Prueba de ayuda Versiones se actualizan periódicamente y se complementan con información sobre nuevos virus. para llamar [debes ingresar el comando: PRUEBA DE SIDA ]donde la ruta es el nombre de la unidad, el nombre completo o la especificación del archivo, la máscara del grupo de archivos:* - todas las particiones del disco duro,** - todas las unidades, incluidas las opciones de red y de CD ROM - cualquier combinación de las siguientes claves: /F - arreglar programas infectados y borrar los corruptos /G - escanear todos los archivos seguidos (no sólo COM, EXE y SYS /S - trabajo lento para buscar virus corruptos /X - borrar todos los archivos con violaciones en la estructura de; el virus; /Q - pide permiso para eliminar archivos corruptos /B - no ofrece procesar el siguiente disquete; Versiones Ejemplo 11.27 para comprobar y “tratar” el disco EN :. Los programas infectados detectados serán reparados.. Todos los archivos del disco están sujetos a escaneo. Si el archivo no se puede reparar, el programa solicitará permiso para eliminarlo: Aidstest b: /f/g/q Programa polífago Doctor Web Este programa está diseñado principalmente para combatir virus polimórficos que han aparecido hace relativamente poco tiempo en el mundo de la informática. Uso Dr. Web para escanear discos y eliminar virus detectados, generalmente similar al programa Prueba de ayuda. En este caso, prácticamente no hay duplicación de controles, ya que Prueba de ayuda trabajar con diferentes conjuntos de virus. Programa Prueba de ayuda puede combatir eficazmente virus mutantes complejos que están más allá de las capacidades del programa Dr. Web A diferencia de Versiones programa Prueba de ayuda es capaz de detectar cambios en su propio código de programa, identificar eficazmente archivos infectados con virus nuevos y desconocidos, penetrar archivos cifrados y empaquetados y también superar la "cobertura de vacuna". Esto se logra gracias a la presencia de un analizador heurístico bastante potente. En el modo de análisis heurístico, el programa Prueba de ayuda examina archivos y áreas del sistema de los discos, tratando de detectar virus nuevos o desconocidos mediante secuencias de códigos características de los virus. Si se encuentra alguno, se muestra una advertencia que indica que el objeto puede estar infectado con un virus desconocido. Se proporcionan tres niveles de análisis heurístico. En el modo de análisis heurístico, son posibles falsos positivos, es decir Detección de archivos que no están infectados. Prueba de ayuda El nivel "heurística" implica un nivel de análisis de código sin presencia de falsos positivos. Cuanto mayor sea el nivel de heurística, mayor será el porcentaje de errores o falsos positivos. Se recomiendan los dos primeros niveles del analizador heurístico. El tercer nivel de análisis heurístico prevé una verificación adicional de los archivos en busca del momento "sospechoso" de su creación. Algunos virus, al infectar archivos, establecen una hora de creación incorrecta, como señal de que los archivos están infectados. Por ejemplo, para archivos infectados, los segundos pueden ser 62 y el año de creación puede aumentarse en 100 años. Incluido en el programa antivirus. También puede incluir archivos complementarios a la base de datos de virus principal del programa, ampliando sus capacidades. Trabajar con el programa. Dr. Web

posible en dos modos:

en modo de interfaz de pantalla completa usando menús y cuadros de diálogo;

en modo de control de línea de comando. También puede incluir archivos complementarios a la base de datos de virus principal del programa, ampliando sus capacidades. Trabajar con el programa. debe incluirse en el menú de usuario del shell operativo Norton Commander o en un archivo por lotes especial para iniciar Dr. Web tiene este aspecto: DrWeb [unidad: [ruta] ] [claves] donde unidad:X: - un dispositivo lógico de un disco duro o un dispositivo físico de un disquete, por ejemplo F: o A:, * - todo lógico dispositivos en un disco duro, ruta: esta es la ruta o máscara de los archivos requeridos. Las claves más importantes: /AL - diagnóstico de todos los archivos en un dispositivo determinado /CU[P] - "desinfección" de discos y archivos, eliminación de virus detectados; P - eliminación de virus con confirmación del usuario /DL - eliminación de archivos cuyo tratamiento correcto es imposible /NA[nivel] - análisis heurístico de archivos y búsqueda de virus desconocidos en ellos, cuyo nivel puede tomar; valores 0, 1, 2; /RP[nombre de archivo] - registrar el registro de trabajo en un archivo (de forma predeterminada en el archivo REPORT. WEB /CL - iniciar el programa en modo de línea de comando, al probar archivos y áreas del sistema); , no se utiliza la interfaz de pantalla completa; /QU: salga a DOS inmediatamente después de la prueba; - mostrar una breve ayuda en la pantalla Si no se especifica ninguna clave en la línea de comando Dr.Web, toda la información para el inicio actual se leerá del archivo de configuración DRWEB.INI, ubicado en el mismo directorio que el archivo DRWEB.EXE. . El archivo de configuración se crea mientras se trabaja con el programa. Prueba de ayuda usando el comando para guardar los parámetros necesarios para la prueba. Ejemplo 11.28. Ejecutar un programa antivirus Prueba de ayuda para comprobar y tratar el disco EN:. Los archivos infectados detectados se “curarán”. Todos los archivos del disco están sujetos a escaneo. Si el archivo no se puede "curar", el programa pedirá permiso para eliminarlo. Para buscar virus se debe utilizar el nivel de análisis heurístico 1. El programa debe ejecutarse solo en modo de línea de comando con salida a DOS después de completar la prueba: DrWeb En: /AL /CUP /HA1 /QU / CL. Tecnología para trabajar con el programa Dr. Web en modo de interfaz de pantalla completa. Para iniciar en modo de interfaz de pantalla completa, simplemente ingrese solo el nombre del programa en la línea de comando. Inmediatamente después de cargar el programa, comenzará la prueba de la RAM de la computadora, a menos que esté deshabilitada por la configuración anterior. .El menú principal contiene los siguientes modos: Dr.WebTest Configuración ComplementosAl seleccionar cualquier modo, se abre el submenú correspondiente.Submenú Prueba de ayuda le permite salir temporalmente a DOS, obtener información breve sobre el programa Dr.Web y su autor, o salir del programa. El submenú Prueba le permite realizar operaciones básicas de prueba y desinfección de archivos y discos, así como ver informes sobre el sistema. acciones realizadas El submenú Configuración se utiliza para instalar usando cuadros de diálogo para la configuración del programa, configurar rutas de búsqueda y máscaras y guardar parámetros en el archivo de configuración DRWEB.INI para conectar archivos complementarios a la base de datos de virus principal del programa, expandiendo. sus capacidades, el modo Complementos.Auditor de disco antivirus ADinf. El inspector ADinf le permite detectar la apariencia de cualquier virus, incluidos virus ocultos, virus mutantes y virus actualmente desconocidos. Programa ADinf recuerda:

información sobre sectores de arranque;

información sobre clústeres fallidos;

longitud y sumas de verificación de archivos;

fecha y hora en que se crearon los archivos.

Durante todo el funcionamiento de la computadora, el programa ADinf supervisa la preservación de estas características. En modo de control diario ADinf se inicia automáticamente todos los días cuando enciende su computadora por primera vez. Los cambios similares a los virus se controlan especialmente y se emite una advertencia inmediata. Además de monitorear la integridad de los archivos ADinf monitorea la creación y eliminación de subdirectorios, la creación, eliminación, movimiento y cambio de nombre de archivos, la aparición de nuevos clústeres fallidos, la seguridad de los sectores de arranque y mucho más. Se bloquean todos los lugares posibles para que el virus ingrese al sistema. Adinf ADinf Comprueba los discos sin utilizar DOS, leyéndolos sector por sector accediendo directamente al BIOS. Gracias a este método de verificación detecta virus ocultos camuflados y proporciona escaneo de disco de alta velocidad.. Bloque de tratamiento Módulo ADinfCure Módulo ADinfCure - este es un programa que ayuda a "curar" su computadora de un nuevo virus sin esperar las últimas versiones de Aidstest o Dr. Web, a quién se le dará a conocer este virus. Programa Módulo ADinfCure aprovecha el hecho de que, a pesar de la gran variedad de virus, existen muy pocos métodos diferentes para inyectarlos en archivos. Durante el funcionamiento normal, cuando el auditor Adinf se inicia periódicamente, informa Módulo de curación ADinf sobre qué archivos han cambiado desde el último lanzamiento. analiza estos archivos y registra en sus tablas la información que puede ser necesaria para recuperar el archivo si está infectado con un virus. Si se ha producido una infección, ADinf notará los cambios y volverá a llamar Módulo de curación Adinf, el cual, a partir de analizar el archivo infectado y compararlo con la información registrada, intentará restaurar el estado original del archivo. Medidas básicas para protegerse contra los virus. Para evitar exponer su computadora a virus y garantizar un almacenamiento confiable de información en discos, debe seguir las siguientes reglas:

equipe su computadora con software antivirus actualizado, como Versiones Como regla general, la comparación de estados se realiza inmediatamente después de cargar el sistema operativo. Al comparar, se verifican la longitud del archivo, el código de control cíclico (suma de verificación del archivo), la fecha y hora de modificación y otros parámetros. médico web, y actualizar constantemente sus versiones;

Antes de leer información grabada en otras computadoras desde disquetes, siempre revise estos disquetes en busca de virus ejecutando programas antivirus en su computadora;

cuando transfiera archivos archivados a su computadora, verifíquelos inmediatamente después de descomprimirlos en su disco duro, limitando el área de escaneo solo a los archivos recién grabados;

verifique periódicamente los discos duros de su computadora en busca de virus ejecutando programas antivirus para probar archivos, memoria y áreas del sistema de los discos desde un disquete protegido contra escritura, habiendo cargado previamente el sistema operativo también desde un disquete del sistema protegido contra escritura;

Proteja siempre sus disquetes contra escritura cuando trabaje en otras computadoras si no se grabará información en ellos;

asegúrese de hacer copias de seguridad en disquetes de la información que sea valiosa para usted;

no deje disquetes en el bolsillo de la unidad A: al encender o reiniciar el sistema operativo para evitar que la computadora se infecte con virus de arranque;

utilizar programas antivirus para controlar la entrada de todos los archivos ejecutables recibidos de las redes informáticas;

para garantizar una mayor seguridad de uso Versiones En este caso, prácticamente no hay duplicación de controles, ya que médico web debe combinarse con el uso diario de Disk Auditor ADinf.

Utilizando los consejos "Cómo limpiar una computadora infectada" que se dan en este artículo, puede eliminar cualquier tipo de malware de su computadora y devolverla a sus condiciones de funcionamiento.

1.Asegúrate de que tu computadora esté realmente infectada

Antes de intentar eliminar cualquier infección de su computadora, debe asegurarse de que la computadora esté realmente infectada. Para ello, consulte las recomendaciones que doy en el artículo "". Si esto indica que su computadora está infectada, continúe con los pasos de la siguiente sección. Asegúrate de hacerlos en la secuencia adecuada.

2. Cómo limpiar tu ordenador y asegurarte de que esté realmente limpio

Tenga en cuenta que los usuarios avanzados aquí pueden simplemente pasar a la última parte y limpiar la computadora en consecuencia. Este es el enfoque más eficaz, pero también uno de los que requiere más tiempo. Sin embargo, si es necesario, puede ir directamente a esa sección y luego regresar al principio si la infección no se eliminó por completo.

2.1 Limpiar su computadora usando CCE y TDSSKiller

Descargue Comodo Cleaning Essentials (CCE) desde esta página. Asegúrese de seleccionar la versión correcta para su sistema operativo. Si no está seguro de si su computadora ejecuta un sistema operativo de 32 o 64 bits, consulte. Además, descargue Kaspersky TDSSKiller desde esta página. Si no puedes descargar ninguno de estos programas, o si tu conexión a Internet no funciona, tendrás que hacerlo usando otra computadora y transferirlo a la infectada usando una unidad flash. Asegúrese de que no haya otros archivos en la unidad flash. Tenga cuidado con el dispositivo flash, ya que el malware puede infectarlo cuando lo inserta en su computadora. Por lo tanto, no lo conecte a ninguna otra computadora después de transferir estos programas. Además, me gustaría señalar que ambos programas son portátiles. Esto significa que una vez que hayas terminado de usarlos, no tendrás que desinstalarlos. Simplemente elimine sus carpetas y serán eliminadas.

Una vez que haya descargado CCE, descomprima el archivo, abra la carpeta y haga doble clic en el archivo llamado "CCE". Se abrirá la ventana principal de Comodo Cleaning Essentials. Si no se abre, mantenga presionada la tecla Shift y haga doble clic en el archivo llamado "CCE". Una vez que CCE se haya abierto correctamente, puede soltar la tecla Shift. Sin embargo, no lo suelte hasta que el programa esté completamente cargado en la memoria. Si lo suelta al menos durante el aviso de UAC, no podrá abrirse correctamente ni siquiera con el método forzado. Mantener presionada la tecla Shift ayudará a que se abra incluso en computadoras muy infectadas. Para ello, suprime muchos procesos innecesarios que podrían impedir su ejecución. Si esto aún no ayuda a que funcione, descargue y ejecute un programa llamado RKill. Se puede descargar desde esta página. Este programa detendrá procesos maliciosos conocidos. Por lo tanto, una vez lanzado, CCE debería lanzarse perfectamente.

Una vez que se esté ejecutando, ejecute un Smart Scan en CCE y ponga en cuarentena todo lo que encuentre. Este programa también busca cambios en el sistema que puedan haber sido realizados por malware. Se mostrarán en los resultados. Recomendaría permitir que el programa solucione este problema también. Reinicie su computadora cuando se le solicite. Después de reiniciar la computadora, inicie Kaspersky TDSSKiller, escanee y ponga en cuarentena lo que encuentre.

Además, si su conexión a Internet no funcionaba anteriormente, verifique si funciona ahora. Se requerirá una conexión a Internet válida para seguir los pasos de esta sección.

Una vez que se complete el escaneo de CCE y esté seguro de que su conexión a Internet funciona, abra CCE nuevamente. Con suerte, esta vez se abrirá, pero si no, ábralo mientras mantiene presionada la tecla Mayús. Luego, desde el menú "Herramientas" en CCE, abra KillSwitch. En KillSwitch, en el menú "Ver", seleccione la opción "Ocultar procesos seguros". Luego haga clic derecho en todos los procesos que estén marcados como sospechosos o peligrosos y seleccione la opción para eliminarlos. También debe hacer clic derecho en cualquier proceso desconocido que quede y seleccionar la opción "Eliminar proceso". No elimine los procesos marcados como FLS.Unknown. A continuación, en CCE, desde el menú de herramientas, inicie Autorun Analyzer y seleccione la opción "Ocultar entradas seguras" en el menú "Ver". Luego deshabilite cualquier elemento que pertenezca a archivos marcados como sospechosos o peligrosos. Puede hacerlo desmarcando las casillas junto a los elementos. También debe desactivar cualquier elemento marcado como FLS.Unknown que crea que puede ser malware. No elimine ningún elemento.

Ahora reinicie su computadora. Después de reiniciar, revise su computadora nuevamente siguiendo los consejos que le doy en el artículo "". Si todo está bien, entonces puedes pasar a la sección " ". Recuerde que las entradas de registro deshabilitadas no son peligrosas. Además, tenga en cuenta que incluso si su computadora no tiene infecciones activas, es posible que aún tenga malware. No son peligrosos, pero no se sorprenda si al escanear con otro programa todavía se encuentra malware en su computadora. Estos son los restos latentes de lo que acabas de eliminar. Si no está satisfecho con la presencia de estos residuos en su computadora, puede eliminar la gran mayoría escaneando con los programas mencionados en la siguiente sección.

Sin embargo, si su computadora aún no está libre de infecciones activas, pero al menos uno de los programas pudo iniciarse, siga los pasos descritos en esta sección nuevamente y vea si esto elimina las infecciones. Pero, si ninguno de los programas pudo iniciarse, continúe con la siguiente sección. Además, incluso si seguir las instrucciones de esta sección nuevamente no es suficiente para limpiar su computadora, debe pasar a la siguiente sección.

2.2 Si su computadora aún no está limpia, escanee usando HitmanPro, Malwarebytes y Emsisoft Anti-Malware

Si los pasos anteriores no ayudaron a eliminar completamente la infección, entonces necesita descargar HitmanPro desde esta página. Instale el programa y ejecute "Escaneo predeterminado". Si no se instala, pase al siguiente párrafo e instale Malwarebytes. Cuando se le solicite durante la instalación de HitmanPro, le recomiendo que seleccione la opción para realizar un análisis único de su computadora únicamente. Esto debería adaptarse a la mayoría de los usuarios. Además, si el malware impide que se inicie correctamente, abra el programa manteniendo presionada la tecla CTRL hasta que se cargue en la memoria. Ponga en cuarentena cualquier infestación que encuentre. Tenga en cuenta que este programa sólo podrá eliminar infecciones durante 30 días después de la instalación. Durante la desinstalación se le pedirá que active su licencia de prueba.

Una vez que HitmanPro haya eliminado todas las infecciones detectadas, o si Hitman Pro no se instala, deberá descargar la versión gratuita de Malwarebytes desde esta página. Tenga en cuenta que tiene tecnología camaleón, lo que debería ayudarlo a instalarse incluso en computadoras muy infectadas. Te aconsejo que durante la instalación desmarques la casilla "Habilitar prueba gratuita de Malwarebytes Anti-Malware Pro". Asegúrese de que el programa esté completamente actualizado y luego ejecute un análisis rápido. Ponga en cuarentena cualquier infección que encuentre. Si algún programa le pide que reinicie su computadora, asegúrese de reiniciarlo.

Luego descargue Emsisoft Emergency Kit desde esta página. Una vez que termine de descargarse, extraiga el contenido del archivo zip. Luego haga doble clic en el archivo llamado "inicio" y abra "Escáner del kit de emergencia". Cuando se le solicite, permita que el programa actualice la base de datos. Una vez actualizado, regrese al menú Seguridad. Luego vaya a "Verificar" y seleccione "Rápido", luego haga clic en "Verificar". Una vez que se complete el escaneo, ponga en cuarentena todos los elementos detectados. Reinicie su computadora cada vez que lo necesite.

Después de escanear tu computadora con estos programas, debes reiniciarla. Luego revisa tu computadora nuevamente usando los consejos que doy en el artículo "". Si todo está bien, puedes pasar a la sección " ". Recuerde que las entradas de registro deshabilitadas no son peligrosas. Sin embargo, si su computadora aún no está limpia, siga nuevamente los pasos de esta sección y vea si le ayuda a eliminar las infecciones. Si los programas de la sección 2.1 anteriormente no podían ejecutarse correctamente, entonces debería regresar e intentar ejecutarlos nuevamente. Si ninguno de los programas anteriores pudo iniciarse, inicie en Modo seguro con funciones de red e intente escanear desde allí. Sin embargo, si pudieron iniciarse correctamente y las amenazas persisten incluso después de seguir los consejos de esta sección nuevamente, puede pasar a la siguiente sección.

2.3 Si es necesario, prueba estos métodos menos rápidos

Si las medidas anteriores no eliminaron completamente la infección, entonces probablemente haya algún malware que no responda viviendo en su máquina. Por tanto, los métodos analizados en esta sección son mucho más potentes, pero requerirán más tiempo. Lo primero que recomiendo hacer es escanear su computadora con otro escáner anti-rootkit llamado GMER. Se puede descargar desde esta página. Elimina todo lo que quede sombreado en rojo. Asegúrese de hacer clic en el botón Escanear inmediatamente después de que el programa finalice su análisis rápido del sistema. Además, si está ejecutando un sistema operativo de 32 bits, debe descargar el escáner y la herramienta de eliminación de rootkits ZeroAccess. Puede encontrar información sobre este rootkit y un enlace a un programa para eliminarlo de sistemas de 32 bits aquí. AntiZeroAccess se puede descargar desde el enlace del segundo párrafo.

Después de escanear con los programas anteriores, lo siguiente que debe hacer es abrir CCE, ir a configuración y seleccionar la opción "Buscar modificaciones sospechosas de MBR". Luego haga clic en "Aceptar". Ahora en CCE, realice un escaneo completo. Reinicie cuando sea necesario y ponga en cuarentena todo lo que encuentre. Tenga en cuenta que esta opción puede ser relativamente peligrosa ya que puede revelar problemas donde no los hay. Úselo con precaución y asegúrese de que todo lo importante ya esté respaldado. Tenga en cuenta que, en casos excepcionales, escanear con estas opciones puede hacer que el sistema no pueda iniciarse. Esto rara vez sucede, pero incluso si sucede, se puede solucionar. Si su computadora deja de iniciarse después de ejecutar este análisis, use el disco de instalación de Windows para realizar una recuperación del sistema. Esto debería ayudar a que su computadora vuelva a funcionar.

Una vez que CCE esté completamente terminado, abra CCE nuevamente mientras mantiene presionada la tecla MAYÚS. Esta acción finalizará la mayoría de los procesos innecesarios que pueden impedirle escanear. Luego abra KillSwitch, vaya al menú "Ver" y seleccione "Ocultar procesos seguros". Ahora, elimine todos los procesos peligrosos nuevamente. Luego, también debes hacer clic derecho en todos los procesos desconocidos que quedan y seleccionar "Eliminar proceso". No los borres. Debe seguir los consejos de este párrafo cada vez que reinicie su computadora para asegurarse de que los próximos análisis sean lo más efectivos posible.

Después de completar todos los procesos que no se consideraron confiables, debes abrir el programa HitmanPro mientras mantienes presionada la tecla CTRL. Luego ejecute un "Escaneo predeterminado" y ponga en cuarentena todo lo que encuentre. Luego ejecute un análisis completo en Malwarebytes y Emsisoft Emergency Kit. Poner en cuarentena lo que encuentren. Después de eso, descargue la versión gratuita de SUPERAntiSpyware desde esta página. Tenga mucho cuidado durante la instalación ya que hay otros programas incluidos con el instalador. En la primera página, asegúrese de desmarcar ambas opciones relacionadas con la instalación de Google Chrome. Ahora seleccione la opción "Instalación personalizada". Durante la instalación personalizada, tendrás que desmarcar una vez más dos casillas de verificación de la opción para agregar Google Chrome.

Aparte de esto, el programa se instalará perfectamente. Cuando se le solicite iniciar una prueba gratuita, le aconsejo que la rechace. Una vez que el programa esté completamente cargado, seleccione la opción Escaneo completo y haga clic en el botón "Escanear su computadora...". Luego haga clic en el botón "Iniciar escaneo completo>". Elimine cualquier archivo detectado y reinicie su computadora cuando sea necesario.

Después de completar estos pasos, debes reiniciar tu computadora. Luego pruébalo nuevamente siguiendo los consejos que doy en el artículo "". Si todo está bien, entonces puedes pasar a la sección " ". Recuerde que las entradas de registro deshabilitadas no son peligrosas. Sin embargo, si su computadora aún no se limpia, siga nuevamente los pasos descritos en esta sección y vea si esto ayuda a eliminar la infección. De lo contrario, deberá pasar a la siguiente sección.

2.4 Si es necesario, cree un disco de arranque

Si los métodos anteriores no eliminan completamente la infección, o si ni siquiera puede iniciar su computadora, entonces, para limpiarla, es posible que necesite un CD de inicio (o unidad flash), también llamado disco de inicio. Sé que todo esto puede parecer mucho trabajo, pero en realidad no es tan malo. Solo recuerde que debe crear este disco en una computadora que no esté infectada. De lo contrario, los archivos podrían dañarse o incluso infectarse.

Dado que se trata de una unidad de arranque, ningún malware puede ocultarse de ella, desactivarla o interferir con su funcionamiento de ninguna manera. Por lo tanto, escanear en diferentes programas de esta manera debería permitirle limpiar casi cualquier máquina, sin importar cuán infectada esté. La única excepción aquí es si los archivos del sistema fueron infectados en la máquina. Si este es el caso, eliminar la infección puede dañar el sistema. Esta es principalmente la razón por la que has hecho una copia de seguridad de todos tus documentos importantes antes de comenzar el proceso de limpieza. Sin embargo, a veces puedes solucionar este problema siguiendo los consejos que te doy a continuación.

Para ello debes descargar . Este es un excelente programa que te permitirá crear un único disco de arranque con múltiples programas antivirus. También tiene muchas otras características útiles que no discutiré en este artículo. En esta página se pueden encontrar varios libros de texto muy útiles para SARDU. Mucho ojo con las ofertas adicionales que ahora se incluyen en el instalador. Desafortunadamente, este programa ahora intenta estafar a las personas para que instalen programas adicionales que en su mayoría son innecesarios.

Después de descargarlo, descomprime el contenido y abre la carpeta SARDU. Luego ejecute el ejecutable que coincida con su sistema operativo, ya sea sardu o sardu_x64. En la pestaña Antivirus, haga clic en las aplicaciones antivirus que desea escribir en el disco que está creando. Puedes agregar tanto o tan poco como mejor te parezca. Le recomiendo que escanee su computadora al menos con Dr.Web LiveCD, Avira Rescue System y Kaspersky Rescue Disk. Una de las ventajas de Dr.Web es que a veces permite sustituir un archivo infectado por una versión limpia, en lugar de simplemente eliminarlo. Esto le ayudará a limpiar algunas computadoras sin dañar el sistema. Por eso recomiendo encarecidamente incluir Dr.Web en el disco de arranque.

Al hacer clic en los nombres de varias aplicaciones antivirus, a menudo accederá a una página donde podrá descargar una imagen ISO del antivirus correspondiente. A veces, se le dará la opción de descargarlo directamente a través de SARDU, que se puede encontrar en la pestaña Descargador. Si tiene la opción, seleccione siempre la opción de descarga ISO. Además, después de descargar el archivo ISO, es posible que deba moverlo a la carpeta ISO ubicada en la carpeta principal de SARDU. Una vez que haya movido las imágenes ISO de todos los productos antivirus que necesita a la carpeta ISO, estará listo para crear un disco de arranque de emergencia. Para hacer esto, vaya a la pestaña Antivirus y asegúrese de que todos los antivirus que ha seleccionado estén marcados. Ahora haga clic en el botón para crear un dispositivo USB o un disco. Cualquiera de estas opciones será aceptable. Sólo depende de cómo quieras ejecutar el disco de rescate: desde USB o desde CD.

Después de crear el disco de rescate, probablemente necesitará cambiar la secuencia de inicio en la configuración de su BIOS para asegurarse de que cuando inserte un CD de inicio o un dispositivo flash de inicio, la computadora se iniciará en él en lugar de hacerlo en el sistema operativo como de costumbre. Para nuestros propósitos, debe reorganizar el orden de modo que "Unidad de CD/DVD Rom" aparezca primero si desea iniciar desde un CD o DVD, o "Dispositivos extraíbles" si desea iniciar desde una unidad flash. Una vez hecho esto, inicie su computadora desde el disco de rescate.

Después de iniciar desde el disco, puede elegir con qué antivirus desea comenzar a escanear su computadora. Como mencioné anteriormente, recomendaría comenzar con Dr.Web. Cuando este programa haya finalizado y hayas restaurado o eliminado todo lo que encuentre, necesitarás apagar tu computadora. Luego asegúrese de iniciar desde el disco nuevamente y luego continúe escaneando con otros antivirus. Continúe este proceso hasta que haya escaneado su computadora con todos los programas antivirus que incluyó en el disco de arranque.

Después de limpiar su computadora con los programas que grabó en el disco, ahora debe intentar iniciar Windows nuevamente. Si la computadora puede iniciarse con Windows, verifíquelo siguiendo las instrucciones que doy en el artículo "". Si todo está bien, entonces puedes pasar a la sección " ". Recuerde que las entradas de registro deshabilitadas no pueden representar un riesgo.

Si su computadora aún no se ha limpiado, pero puede iniciar desde Windows, le recomiendo que intente limpiarla mientras está en Windows, comenzando con este artículo y siguiendo los métodos sugeridos. Sin embargo, si su computadora aún no puede iniciar Windows, intente nuevamente ponerla en orden usando el disco de instalación de Windows. Esto debería ayudar a que su computadora se inicie nuevamente. Si ni siquiera esto ayuda a que se pueda iniciar, intente agregar más antivirus al disco de inicio de emergencia y luego vuelva a escanear la computadora. Si hacer esto aún no ayuda, lea.

3. Qué hacer si los métodos anteriores no ayudaron a limpiar su computadora

Si ha seguido todos los pasos anteriores y aún no puede limpiar su computadora, pero está convencido de que el malware está causando los problemas, le agradeceríamos mucho que deje un comentario y explique lo que intentó hacer para limpiar. su computadora y lo que quedan signos que le hacen pensar que la computadora aún no está limpia. Esto es muy importante para mejorar este artículo. Realmente espero que nadie llegue nunca a esta sección. Este artículo tiene como objetivo brindarle la oportunidad de limpiar completamente su computadora infectada.

También puede buscar asesoramiento en un foro especializado dedicado a la eliminación de malware. Un foro muy útil, que es nuestro socio -. Sin embargo, si incluso después de buscar ayuda en un foro de eliminación de malware, su computadora aún no está libre de malware, es posible que deba formatearla y ejecutarla de esa manera. Esto significa que perderá todo lo que no haya copiado antes de tiempo. Si hace esto, asegúrese de formatear completamente su computadora antes de reinstalar Windows. Esto destruirá casi cualquier tipo de malware. Una vez que se haya reinstalado Windows, siga los pasos que se indican en .

4. Qué hacer después de que finalmente se identifique todo el malware para su eliminación

Una vez que te hayas asegurado de que tu computadora esté limpia, ahora puedes intentar recuperar todo lo que hayas perdido. Puede utilizar Windows Repair (All In One), una herramienta todo en uno que le permite solucionar una gran cantidad de problemas conocidos de Windows, incluidos errores de registro, permisos de archivos, Internet Explorer, actualizaciones de Windows y Firewall de Windows. Si después de completar todos los procedimientos, su computadora funciona normalmente, también puede abrir Comodo Autorun Analyzer y seleccionar la opción para eliminar aquellos elementos del registro que anteriormente solo deshabilitó. Por lo tanto, ya no estarán en su computadora.

Una vez que haya eliminado de forma segura todas las infecciones de su computadora y haya eliminado cualquier efecto destructivo restante, debe tomar medidas para asegurarse de que esto no vuelva a suceder. Por esta razón, he escrito una guía, Cómo mantenerse seguro en línea (próximamente en nuestro sitio web). Léalo después e implemente los métodos que crea que mejor se adaptan a sus necesidades.

Después de proteger su computadora, ahora puede restaurar cualquiera de los archivos perdidos durante el proceso de limpieza de los que se realizó una copia de seguridad anteriormente. Con suerte, no tendrás que realizar este paso. Además, antes de restaurarlos, asegúrate de que tu ordenador esté muy bien protegido. Si no protege su computadora lo suficiente, puede infectarla accidentalmente y luego tendrá que limpiarla nuevamente. Además, si utilizó un dispositivo USB para mover archivos a la computadora infectada, ahora puede volver a insertarlo en la computadora y asegurarse de que no contenga malware. Recomiendo hacer esto eliminando los archivos que queden en él.

¿Encontraste un error tipográfico? Presione Ctrl + Entrar

Algoritmo para un virus de archivo

Una vez recibido el control, el virus realiza las siguientes acciones (se proporciona una lista de las acciones más comunes del virus cuando se ejecuta; para un virus específico, la lista se puede complementar, los elementos se pueden intercambiar y ampliar significativamente):

 un virus residente comprueba la RAM en busca de una copia de sí mismo e infecta la memoria de la computadora si no se encuentra una copia del virus. Un virus no residente busca archivos no infectados en la tabla de contenido actual y (o) raíz, en las tablas de contenido marcadas con el comando PATH, escanea el árbol de directorios de las unidades lógicas y luego infecta los archivos detectados;

 realiza, en su caso, funciones adicionales: acciones destructivas, efectos gráficos o sonoros, etc. Es posible que se invoquen funciones adicionales de un virus residente algún tiempo después de la activación, dependiendo de la hora actual, la configuración del sistema, los contadores de virus internos u otras condiciones; en este caso, cuando se activa, el virus procesa el estado del reloj del sistema, configura sus contadores, etc.;

El método para restaurar el programa a su forma original depende del método de infección del archivo. Si un virus está incrustado al principio de un archivo, desplaza los códigos del programa infectado una cantidad de bytes igual a la longitud del virus, mueve parte del código del programa desde el final al principio o lo restaura. el archivo en el disco y luego lo ejecuta. Si un virus se escribe al final de un archivo, al restaurar el programa utiliza la información almacenada en su cuerpo cuando el archivo fue infectado. Podría ser la longitud del archivo, unos pocos bytes del comienzo del archivo en el caso de un archivo COM o unos pocos bytes del encabezado en el caso de un archivo EXE. Si un virus se escribe en medio de un archivo de una manera especial, al restaurar el archivo también utiliza algoritmos especiales.

Virus de arranque

Los virus de arranque infectan el sector de arranque de un disquete y el sector de arranque o Master Boot Record (MBR) de un disco duro. El principio de funcionamiento de los virus de arranque se basa en algoritmos para iniciar el sistema operativo cuando enciende o reinicia la computadora; después de las pruebas necesarias del hardware instalado (memoria, discos, etc.), el programa de arranque del sistema lee el primer sector físico. del disco de arranque (A:, C: o CD-ROM dependiendo de los parámetros establecidos en la configuración del BIOS) y le transfiere el control.

En el caso de un disquete o CD, el control lo recibe el sector de arranque, que analiza la tabla de parámetros del disco (BPB - BIOS Parameter Block), calcula las direcciones de los archivos del sistema operativo, los lee en la memoria y los ejecuta para ejecución. Si no hay archivos del sistema operativo en el disco de inicio, el programa ubicado en el sector de inicio del disco muestra un mensaje de error y sugiere reemplazar el disco de inicio.

En el caso de un disco duro, el control lo recibe un programa ubicado en el MBR del disco duro. Este programa analiza la tabla de particiones del disco, calcula la dirección del sector de arranque activo (generalmente este sector es el sector de arranque de la unidad C:), lo carga en la memoria y le transfiere el control. Una vez recibido el control, el sector de arranque activo del disco duro realiza las mismas acciones que el sector de arranque del dispositivo de almacenamiento externo.

Al infectar discos, los virus de arranque sustituyen su código por cualquier programa que obtenga el control cuando se inicia el sistema. El principio de infección, por lo tanto, es el mismo en todos los métodos descritos anteriormente: el virus obliga al sistema, cuando se reinicia, a leer en la memoria y ceder el control no al código original del gestor de arranque, sino al código del virus.

Los disquetes se infectan de la única forma conocida: el virus escribe su código en lugar del código original del sector de arranque del disquete. El disco duro se infecta de tres formas posibles: el virus se escribe en lugar del código MBR o en lugar del código del sector de arranque del disco de arranque (normalmente la unidad C:), o modifica la dirección del sector de arranque activo. en la Tabla de particiones de disco, ubicada en el MBR del disco duro.

Cuando un disco está infectado, en la mayoría de los casos el virus transfiere el sector de arranque original (o MBR) a algún otro sector del disco. Si la longitud del virus es mayor que la longitud del sector, entonces la primera parte del virus se coloca en el sector infectado y las partes restantes en otros sectores.

Hay varias opciones para colocar el sector de arranque inicial en el disco y continuar con el virus: en sectores de grupos libres de un disco lógico, en sectores del sistema no utilizados o poco utilizados, en sectores ubicados fuera del disco.

Si la continuación del virus se encuentra en sectores que pertenecen a grupos de discos libres (al buscar estos sectores, el virus debe analizar la tabla de asignación de archivos - FAT), entonces, como regla general, el virus marca estos grupos en la FAT. como malos (los llamados clusters de pseudo-fallos). Este método lo utilizan los virus "Brain", "Ping-Pong" y algunos otros.

La familia de virus "Stoned" utiliza un método diferente. Estos virus colocan el sector de arranque inicial en un sector no utilizado o que se usa con poca frecuencia: en uno de los sectores del disco duro (si lo hay) ubicado entre el MBR y el primer sector de arranque, y en un disquete dicho sector se selecciona de los últimos sectores. del directorio raíz.

Algunos virus escriben su código en los últimos sectores del disco duro, ya que estos sectores se utilizan sólo cuando el disco duro está completamente lleno de información (lo cual es bastante raro, considerando el tamaño de los discos modernos). Un método menos utilizado es guardar la continuación del virus fuera del disco. Esto se logra de dos maneras. El primero se reduce a reducir el tamaño de las unidades lógicas: el virus resta los valores necesarios de los campos correspondientes del sector de arranque BPB y de la tabla de particiones del disco duro (si el disco duro está infectado), reduce el tamaño de la unidad lógica y escribe su código en los sectores "cortados" de ella.

El segundo método consiste en escribir datos más allá de la partición física del disco. Hay virus que escriben su código fuera del espacio disponible del disco duro, si, por supuesto, así lo permite el equipo instalado.

Por supuesto, existen otros métodos para colocar un virus en un disco, por ejemplo, los virus de la familia "Azusa" contienen un cargador de arranque MBR estándar en su cuerpo y, cuando se infectan, se escriben sobre el MBR original sin guardarlo.

Cuando se infectan, la mayoría de los virus copian en el código de su cargador de arranque la información del sistema almacenada en el cargador de arranque original (para el MBR, esta información es la tabla de particiones de disco, para el sector de arranque de los disquetes, el bloque de parámetros del BIOS). De lo contrario, el sistema no podrá iniciarse por sí solo, ya que las direcciones de disco de los componentes del sistema se calculan en función de esta información. Estos virus se eliminan con bastante facilidad reescribiendo el código del cargador de arranque del sistema en el sector de arranque y MBR; para hacer esto, debe arrancar desde un disquete del sistema no infectado y usar los comandos SYS para neutralizar los disquetes y las unidades lógicas del disco duro. o FDISK/MBR para desinfectar el sector MBR infectado.

Sin embargo, algunos virus 100% sigilosos no guardan esta información o, incluso, la cifran deliberadamente. Cuando el sistema u otros programas acceden a sectores infectados, el virus sustituye sus originales no infectados y el sistema arranca sin fallas; sin embargo, tratar el MBR usando FDISK/MBR en el caso de dicho virus conduce a la pérdida de información sobre el disco. partición (tabla de particiones de disco). En este caso, el disco debe formatearse con pérdida de toda la información o la tabla de particiones del disco debe restaurarse "manualmente", lo que requiere ciertas calificaciones.

También debe tenerse en cuenta que los virus de arranque rara vez coexisten juntos en el mismo disco; a menudo utilizan los mismos sectores del disco para colocar su código/datos. Como resultado, el código/los datos del primer virus se corrompen cuando son infectados por el segundo virus y el sistema se congela al arrancar o entra en un bucle (lo que también hace que se congele).

Para los usuarios de nuevos sistemas operativos, los virus de arranque también pueden causar problemas. A pesar de que los sistemas enumerados anteriormente funcionan con discos directamente (sin pasar por las llamadas al BIOS), lo que bloquea el virus y hace imposible su propagación, el código del virus, aunque muy raramente, toma el control cuando se reinicia el sistema. Por lo tanto, el virus “March6”, por ejemplo, puede “vivir” en el MBR de un servidor durante años y no afectar de ninguna manera el funcionamiento y rendimiento del sistema informático. Sin embargo, si reinicia accidentalmente el 6 de marzo, este virus destruirá por completo todos los datos del disco.

Algoritmo de operación del virus de arranque

Casi todos los virus de arranque son residentes. Están incrustados en la memoria de la computadora cuando se inicia desde un disco infectado. En este caso, el cargador de arranque del sistema lee el contenido del primer sector del disco desde el que se realiza el arranque, coloca la información leída en la memoria y le transfiere el control (es decir, al virus). Luego de esto, las instrucciones del virus comienzan a ejecutarse:

 Como regla general, reduce la cantidad de memoria libre, copia su código en el espacio libre y lee su continuación (si la hay) del disco. Posteriormente, algunos virus “esperan” a que el sistema operativo se cargue y restablezca el tamaño de la memoria a su valor original. Como resultado, no están ubicados fuera del sistema operativo, sino como bloques de memoria separados asignados al sistema.

 intercepta los vectores de interrupción necesarios (generalmente INT 13H), lee el sector de arranque original en la memoria y le transfiere el control.

Posteriormente, el virus de arranque se comporta de la misma manera que un virus de archivo residente: intercepta las llamadas del sistema operativo a los discos y los infecta, dependiendo de determinadas condiciones realiza acciones destructivas o provoca efectos de sonido o vídeo.

Hay virus de arranque no residentes: cuando se cargan, infectan el MBR del disco duro y los medios externos, si están presentes en los discos. Estos virus luego transfieren el control al gestor de arranque original y ya no afectan el funcionamiento de la computadora.

Virus de macro

Los virus de macro son programas en lenguajes (lenguajes de macro) integrados en algunos sistemas de procesamiento de datos (editores de texto, hojas de cálculo), animación, etc. Para reproducirse, estos virus utilizan las capacidades de los lenguajes de macros y, con su ayuda, se transfieren de un archivo (documento) infectado a otros. Los más extendidos son los virus de macro para Microsoft Word, Excel y Office. También existen virus de macro que infectan documentos Ami Pro y bases de datos de Microsoft Access y animaciones Flash. Hoy en día existen muchos sistemas conocidos para los cuales existen virus de macro. En estos sistemas, los virus toman el control cuando se abre o cierra un archivo infectado, secuestran las funciones estándar del archivo y luego infectan los archivos a los que de alguna manera se accede.

Para que existan virus en un sistema específico (editor), es necesario tener un lenguaje de macros integrado en el sistema con las siguientes capacidades:

 vincular un programa en un lenguaje de macros a un archivo específico;

 copiar programas macro de un archivo a otro;

 la capacidad de obtener el control de un programa macro sin intervención del usuario (macros automáticos o estándar).

Estas condiciones las cumplen los editores de Microsoft Word, Office y AmiPro, así como una hoja de cálculo de Excel y una base de datos de Microsoft Access. Estos sistemas contienen lenguajes de macros: Word, Excel, Access, Office - Visual Basic para Aplicaciones. En este caso:

 los programas macro están vinculados a un archivo específico (AmiPro) o se encuentran dentro de un archivo (Word, Excel, Office);

 el lenguaje de macros le permite copiar archivos (AmiPro) o mover programas de macros a archivos de servicio del sistema y archivos editables (Word, Excel, Office);

 cuando se trabaja con un archivo bajo ciertas condiciones (apertura, cierre, etc.), se llaman programas macro (si los hay), que están definidos de una manera especial (AmiPro) o tienen nombres estándar (Word, Excel, Office).

Esta característica de los lenguajes macro está destinada al procesamiento automático de datos en grandes organizaciones o en redes globales y le permite organizar el llamado "flujo de documentos automatizado". Por otro lado, las capacidades del lenguaje macro de dichos sistemas permiten que el virus transfiera su código a otros archivos y así infectarlos.

La ubicación física del virus dentro de un archivo depende de su formato, que en el caso de los productos de Microsoft es extremadamente complejo: cada archivo de documento de Word o tabla de Excel es una secuencia de bloques de datos (cada uno de los cuales también tiene su propio formato), unidos juntos utilizando una gran cantidad de datos de servicio. Este formato se llama OLE2: vinculación e incrustación de objetos.

La mayoría de los virus conocidos para Word son incompatibles con las versiones nacionales (incluida la rusa) de Word, o viceversa: están diseñados únicamente para versiones localizadas de Word y no funcionan en versiones de otros idiomas. Sin embargo, el virus del documento sigue activo y puede infectar otros ordenadores que tengan instalada la versión correspondiente de Word.

Los virus para Word pueden infectar ordenadores de cualquier clase, no sólo los IBM PC. La infección es posible si en esta computadora está instalado un editor de texto que sea totalmente compatible con Microsoft Word.

También cabe señalar que la complejidad de los formatos de los documentos de Word, las tablas de Excel y especialmente de Office tiene la siguiente característica: los archivos de documentos y las tablas contienen bloques de datos "extra", es decir. datos que no están relacionados de ninguna manera con el texto o las tablas editadas, o son copias de otros datos de archivos que accidentalmente terminaron allí. La razón de la aparición de estos bloques de datos es la organización de datos en grupos en los documentos y tablas OLE2: incluso si solo se ingresa un carácter de texto, se le asignan uno o incluso varios grupos de datos. Al guardar documentos y tablas en grupos que no están llenos de datos “útiles”, queda “basura”, que termina en el archivo junto con otros datos.

La consecuencia de esto es el hecho de que al editar un documento, su tamaño cambia independientemente de las acciones realizadas en él: al agregar texto nuevo, el tamaño del archivo puede disminuir y cuando se elimina parte del texto, puede aumentar. Lo mismo ocurre con los virus de macro: cuando un archivo está infectado, su tamaño puede disminuir, aumentar o permanecer sin cambios.

Al trabajar con un documento de Word de cualquier versión, realiza diversas acciones: abre el documento, lo guarda, lo imprime, lo cierra, etc. Al mismo tiempo, Word busca y ejecuta las "macros integradas" correspondientes: cuando se guarda un archivo usando el comando Archivo/Guardar, se llama la macro FileSave, cuando se guarda usando el comando Archivo/Guardar como - FileSaveAs, cuando se imprimen documentos - FilePrint, etc., si, por supuesto, hay macros definidas.

También hay varias “macros automáticas” que se llaman automáticamente en diversas condiciones. Por ejemplo, cuando abre un documento, Word comprueba la presencia de la macro AutoOpen. Si dicha macro está presente, Word la ejecuta. Al cerrar un documento, Word ejecuta la macro AutoClose, al iniciar Word, se llama a la macro AutoExec, al cerrar, AutoExit y al crear un nuevo documento, AutoNew.

En Excel/Office se utilizan mecanismos similares (pero con diferentes nombres de macros y funciones), en los que la función de las macros automáticas e integradas la desempeñan las funciones automáticas e integradas presentes en cualquier macro o macros, y varias puede estar presente en una macro integrada y con funciones automáticas.

Las macros/funciones asociadas con una tecla o un momento o fecha también se ejecutan automáticamente (es decir, sin intervención del usuario), es decir. Word/Excel llama a una macro/función cuando se presiona una tecla específica (o combinación de teclas) o cuando se alcanza un determinado momento. En Office, las capacidades para interceptar eventos están algo ampliadas, pero el principio es el mismo.

Los virus de macro que infectan archivos de Word, Excel u Office, por regla general, utilizan uno de los tres métodos enumerados anteriormente: el virus contiene una macro automática (función automática) o anula una de las macros estándar del sistema (asociada con algún elemento menú), o la macro de virus se llama automáticamente cuando presiona cualquier tecla o combinación de teclas. También hay semivirus que no utilizan todas estas técnicas y se reproducen sólo cuando el usuario los inicia de forma independiente para su ejecución.

Por lo tanto, si un documento está infectado, al abrirlo, Word llama a la macro automática infectada AutoOpen (o AutoClose al cerrar el documento) y, por lo tanto, ejecuta el código del virus, a menos que lo desactive la variable del sistema DisableAutoMacros. Si un virus contiene macros con nombres estándar, se controlan cuando se llama al elemento de menú correspondiente (Archivo/Abrir, Archivo/Cerrar, Archivo/Guardar como). Si se anula algún símbolo del teclado, el virus se activa sólo después de presionar la tecla correspondiente.

La mayoría de los virus de macro contienen todas sus funciones como macros estándar de Word/Excel/Office. Sin embargo, existen virus que utilizan técnicas para ocultar su código y almacenarlo en forma de no macros. Existen tres técnicas conocidas, todas las cuales utilizan la capacidad de las macros para crear, editar y ejecutar otras macros. Como regla general, estos virus tienen un pequeño (a veces polimórfico) cargador de macros de virus, que llama al editor de macros incorporado, crea una nueva macro, la llena con el código principal del virus, la ejecuta y luego, como regla general, la destruye. (para ocultar rastros del virus). El código principal de estos virus está presente en la propia macro del virus en forma de cadenas de texto (a veces encriptadas) o se almacena en el área de variables del documento o en el área de texto automático.

Algoritmo de virus de macro de Word

Cuando se inician los virus de Word más conocidos, transfieren su código (macros) al área de macros global del documento (macros "generales" para ello utilizan los comandos de copia de macros MacroCopy, OrganizerCopy o el editor de macros); el virus lo llama, crea una nueva macro, inserta en ella su código, que se guarda en el documento.

Cuando sale de Word, las macros globales (incluidas las macros de virus) se escriben automáticamente en el archivo DOT de macros globales (normalmente NORMAL.DOT). Por lo tanto, la próxima vez que inicie el editor de MS-Word, el virus se activará en el momento en que WinWord carga las macros globales, es decir. inmediatamente.

Luego, el virus anula (o ya contiene) una o más macros estándar (por ejemplo, FileOpen, FileSave, FileSaveAs, FilePrint) y, por lo tanto, intercepta comandos para trabajar con archivos. Cuando se llaman estos comandos, el virus infecta el archivo al que se accede. Para hacer esto, el virus convierte el archivo al formato de Plantilla (lo que hace que más cambios en el formato del archivo, es decir, convertir a cualquier formato que no sea de Plantilla, sea imposible) y escribe sus macros en el archivo, incluida la macro Auto.

Por lo tanto, si un virus intercepta la macro FileSaveAs, todos los archivos DOC guardados a través de la macro interceptada por el virus quedarán infectados. Si se intercepta la macro FileOpen, el virus se escribe en el archivo cuando se lee desde el disco.

El segundo método para introducir un virus en un sistema se utiliza con mucha menos frecuencia: se basa en los llamados archivos "complementarios", es decir. archivos que son adiciones de servicios a Word. En este caso, NORMAL.DOT no se modifica y Word, cuando se inicia, carga las macros de virus desde el archivo (o archivos) definido como "Complemento". Este método replica casi por completo la infección de macros globales, con la excepción de que las macros de virus no se almacenan en NORMAL.DOT, sino en algún otro archivo.

También es posible introducir un virus en archivos ubicados en el directorio INICIO: Word carga automáticamente archivos de plantilla desde este directorio.

Algoritmo para virus de macro de Excel

Los métodos de reproducción de los virus de Excel son generalmente similares a los de los virus de Word. Las diferencias radican en los comandos de copia de macros (por ejemplo, Sheets.Copy) y la ausencia de NORMAL.DOT: su función (en el sentido viral) la realizan archivos en el directorio INICIO de Excel.

Virus polimórficos

Los virus polimórficos incluyen aquellos que no se pueden detectar (o son extremadamente difíciles) usando las llamadas máscaras de virus: secciones de código constante específicas para un virus en particular. Esto se logra de dos maneras principales: cifrando el código del virus principal con una clave no permanente y un conjunto aleatorio de comandos de descifrado, o cambiando el código del virus ejecutable. También hay otros ejemplos bastante exóticos de polimorfismo: el virus "Bomber" de DOS, por ejemplo, no está encriptado, pero la secuencia de comandos que transfiere el control al código del virus es completamente polimórfica.

Se encuentran polimorfismos de diversos grados de complejidad en virus de todo tipo, desde virus de arranque y archivos de DOS hasta virus de Windows e incluso virus de macro.

Descifradores polimórficos

El ejemplo más simple de un descifrador parcialmente polimórfico es el siguiente conjunto de comandos, como resultado de lo cual ni un solo byte del código del virus en sí y su descifrador es constante al infectar diferentes archivos:

MOV reg_1, recuento; reg_1, reg_2, reg_3 se seleccionan de

MOV reg_2, clave; HACHA,BX,CX,DX,SI,DI,BP

MOV reg_3, _desplazamiento; count, key, _offset también puede cambiar

xxx bytes ptr, reg_2; xor, agregar o sub

Los virus polimórficos más complejos utilizan algoritmos mucho más complejos para generar el código de sus descifradores: las instrucciones anteriores (o sus equivalentes) se reorganizan de una infección a otra, diluidas con comandos que no cambian nada como NOP, STI, CLI, STC, CLC. , registro no utilizado DEC, registros no utilizados XCHG, etc.

Los virus polimórficos completos utilizan algoritmos aún más complejos, como resultado de lo cual el descifrador de virus puede contener operaciones SUB, ADD, XOR, ROR, ROL y otras en un número y orden arbitrarios. La carga y cambio de claves y otros parámetros de cifrado también se realiza mediante un conjunto arbitrario de operaciones, en las que se pueden encontrar casi todas las instrucciones del procesador Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) con todos los modos de direccionamiento posibles.

Como resultado, al comienzo de un archivo infectado con dicho virus hay un conjunto de instrucciones que a primera vista no tienen sentido, y algunas combinaciones que son bastante funcionales no son aceptadas por los desensambladores propietarios (por ejemplo, la combinación CS:CS : o CS:NOP). Y entre este "lío" de comandos y datos, de vez en cuando se escapan MOV, XOR, LOOP, JMP, instrucciones que realmente "funcionan".

Niveles de polimorfismo

Existe una división de los virus polimórficos en niveles dependiendo de la complejidad del código que se encuentra en los descifradores de estos virus.

Nivel 1: virus que tienen un determinado conjunto de descifradores con un código constante y, cuando se infectan, eligen uno de ellos. Estos virus son "semipolimórficos" y también se les llama "oligomórficos". Ejemplos: “Cheeba”, “Eslovaquia”, “Ballena”.

Nivel 2: el descifrador de virus contiene una o más instrucciones permanentes, pero la parte principal no es persistente.

Nivel 3: el descifrador contiene instrucciones no utilizadas: "basura" como NOP, CLI, STI, etc.

Nivel 4: el descifrador utiliza instrucciones intercambiables y reordena (baraja) las instrucciones. El algoritmo de descifrado no cambia.

Nivel 5: se utilizan todas las técnicas anteriores, el algoritmo de descifrado es inconsistente, es posible que el código del virus se vuelva a cifrar e incluso se encripte parcialmente el propio código de descifrado.

Nivel 6: virus permutantes. El código principal del virus está sujeto a cambios: se divide en bloques que, cuando se infectan, se reorganizan en orden aleatorio. El virus sigue siendo funcional. Es posible que estos virus no estén cifrados.

La división anterior no está exenta de inconvenientes, ya que se realiza según un único criterio: la capacidad de detectar un virus mediante el código descifrador utilizando la técnica estándar de máscaras antivirus:

 Nivel 1: para detectar el virus basta con tener varias mascarillas.

 Nivel 2: detección de máscara mediante “comodines”.

 Nivel 3: detección mediante mascarilla tras retirar instrucciones - “basura”.

 Nivel 4: la máscara contiene varias opciones de código posibles, es decir se vuelve algorítmico.

 Nivel 5: incapacidad para detectar el virus mediante la mascarilla.

La insuficiencia de dicha división se demuestra en el virus del tercer nivel de polimorfismo, que se denomina “Nivel 3”. Este virus, al ser uno de los virus polimórficos más complejos, según la división anterior cae en el Nivel 3, ya que tiene un algoritmo de descifrado constante, precedido por una gran cantidad de comandos "basura". Sin embargo, en este virus el algoritmo para generar "basura" se ha perfeccionado: casi todas las instrucciones del procesador i8086 se pueden encontrar en el código de descifrado.

Si dividimos en niveles desde el punto de vista de los antivirus que utilizan sistemas para descifrar automáticamente el código del virus (emuladores), entonces la división en niveles dependerá de la complejidad de emular el código del virus. Es posible detectar un virus utilizando otros métodos, por ejemplo, descifrado utilizando leyes matemáticas elementales, etc.

Cambiar el código ejecutable

Muy a menudo, este método de polimorfismo es utilizado por virus de macro que, al crear nuevas copias de sí mismos, cambian aleatoriamente los nombres de sus variables, insertan líneas vacías o cambian su código de alguna otra manera. Por lo tanto, el algoritmo del virus permanece sin cambios, pero el código del virus cambia casi por completo de una infección a otra.

Este método lo utilizan con menos frecuencia los virus de arranque complejos. Estos virus inyectan solo un procedimiento bastante corto en los sectores de arranque, que lee el código principal del virus del disco y le transfiere el control. El código para este procedimiento se selecciona entre varias opciones diferentes (que también se pueden mezclar con comandos "vacíos"), se reorganizan los comandos, etc.

Esta técnica es aún menos común con los virus de archivos; después de todo, tienen que cambiar completamente su código y esto requiere algoritmos bastante complejos. Hasta la fecha, sólo se conocen dos virus de este tipo, uno de los cuales ("Ply") mueve aleatoriamente sus comandos por su cuerpo y los reemplaza con comandos JMP o CALL. Otro virus ("TMC") utiliza un método más complejo: cada vez que se infecta, el virus intercambia bloques de su código y datos, inserta "basura", establece nuevos valores de compensación de datos en sus instrucciones de ensamblaje, cambia constantes, etc. . Como resultado, aunque el virus no cifra su código, es un virus polimórfico: no hay un conjunto constante de comandos en el código. Además, al crear nuevas copias de sí mismo, el virus cambia su longitud.

Ministerio de Educación y Ciencia de la Federación de Rusia

Universidad Económica y Comercial de Rusia

Instituto de Kazán (sucursal)

Departamento de Matemáticas y Matemática Superior

Prueba número 1

disciplina: "Informática"

VIRUS INFORMÁTICOS

Terminado:

estudiante por correspondencia de 1er año

departamentos especiales facultad

Grupo "Finanzas y Crédito"

Comprobado:

Kazán, 2007

PLAN

Introducción

1. La esencia y manifestación de los virus informáticos.

2. Principales tipos y tipos de virus informáticos

3. ¿Cómo se propagan los virus?

4. Detección de virus informáticos

5. Medidas preventivas contra virus

Conclusión

Lista de literatura usada

Introducción

virus informático– un programa especialmente creado y diseñado para realizar determinadas acciones que interfieren con el trabajo en una computadora. Muchos programas de virus son inofensivos, pero lamentablemente no todos son completamente inofensivos. En primer lugar, ocupan espacio en la RAM y en el disco. En segundo lugar, pueden contener errores que pueden provocar fallos y reinicios del sistema. Por lo tanto, si el virus es bastante inofensivo, aún así debes deshacerte de él.

Actualmente, existen varios tipos y tipos de virus. Los principales tipos de virus informáticos son: virus de software, virus de arranque y virus de macro. Actualmente se conocen más de 5.000 tipos de virus informáticos, los cuales se pueden clasificar según los siguientes criterios: hábitat; método de contaminación del hábitat; influencia; características del algoritmo.

Las principales formas en que los virus ingresan a una computadora son los discos extraíbles (disquete y láser), así como las redes informáticas. Su disco duro puede infectarse con virus cuando inicia su computadora desde un disquete que contiene un virus. Esta infección también puede ser accidental, por ejemplo, si el disquete no se extrajo de la unidad A: y la computadora se reinició, mientras que es posible que el disquete no sea el del sistema. Es mucho más fácil infectar un disquete. Un virus puede entrar en él incluso si el disquete simplemente se inserta en la unidad de disco de un ordenador infectado y se lee, por ejemplo, su índice. Pero la forma más común de propagación de virus es a través de una red de computadoras, y en particular de Internet, cuando se reescriben y ejecutan otros programas, como juegos. Puede haber otros casos, bastante raros, en los que se inserta otro disco duro infectado en el ordenador. Para evitar esto, inicie desde el disquete del sistema y escanee el disco duro con programas antivirus especiales o, mejor aún, particione y formatee el disco con Fdisk y Format.

Para identificar virus, existen programas antivirus especiales que pueden detectar y destruir virus. Existe una selección bastante amplia de programas antivirus. Estos son Aidstest (Lozinsky), Dr Web, Norton antivirus para Windows, kit DSAV y otros.

1. La esencia y manifestación de los virus informáticos.

Las razones de la aparición y difusión de virus informáticos, por un lado, están ocultas en la psicología de la personalidad humana y sus lados oscuros (envidia, venganza, vanidad de creadores no reconocidos), por otro lado, debido a la falta de protección de hardware y contrarrestación del sistema operativo de una computadora personal.

A pesar de las leyes adoptadas en muchos países para combatir los delitos informáticos y el desarrollo de software antivirus especial, el número de nuevos virus informáticos crece constantemente. Esto requiere que el usuario de una computadora personal tenga conocimientos sobre la naturaleza de los virus, los métodos de infección por virus y la protección contra ellos.

Cuando su computadora está infectada con un virus, es muy importante detectarlo rápidamente. Para ello, conviene conocer los principales signos de los virus. Estos incluyen:

· terminación de la operación o operación incorrecta de programas que anteriormente funcionaban exitosamente;

· funcionamiento lento de la computadora;

· imposibilidad de cargar el sistema operativo;

· desaparición de archivos y directorios o distorsión de su contenido;

· cambiar la fecha y hora de modificación del archivo;

· cambiar tamaños de archivos;

· aumento significativo inesperado en el número de archivos en el disco;

· reducción significativa del tamaño de la RAM libre;

· mostrar mensajes o imágenes inesperados en la pantalla4

· dar señales sonoras inesperadas;

Frecuentes congelamientos y fallas en la computadora.

Sin embargo, basándose en todos estos signos, es imposible decir con certeza que ha entrado un virus en la computadora. Ya que puede haber otras averías, cuya causa es un mal funcionamiento o falta de depuración del sistema. Por ejemplo, en una computadora comprada, cuando la inicia, en lugar de símbolos rusos, se muestran símbolos incomprensibles que ve por primera vez. La razón de esto puede ser que el controlador cirílico de la pantalla no esté instalado. La misma razón (la falta de un controlador para la impresora) también puede explicar el extraño comportamiento de la impresora. Las fallas del sistema pueden deberse a un microcircuito defectuoso dentro de la unidad del sistema o en la conexión del cable.

2. Principales tipos y tipos de virus informáticos

Los principales tipos de virus informáticos son:

Virus de software;

Virus de arranque;

Macrovirus.

Los virus informáticos también incluyen los llamados troyano

caballos (programas troyanos, troyanos).

Virus informáticos.

Los virus de software son bloques de código de programa que se integran intencionalmente dentro de otros programas de aplicación. Cuando ejecuta un programa que contiene un virus, se inicia el código de virus implantado en él.

La operación de este código provoca cambios ocultos al usuario en el sistema de archivos de los discos duros y/o en el contenido de otros programas. Por ejemplo, el código de un virus puede reproducirse en el cuerpo de otros programas; este proceso se llama reproducción. Después de un cierto tiempo, después de haber creado una cantidad suficiente de copias, un virus de software puede realizar acciones destructivas: interrumpir el funcionamiento de los programas y el sistema operativo, eliminar información almacenada en el disco duro. Este proceso se llama ataque de virus.

Los virus más destructivos pueden iniciar el formateo de discos duros. Dado que formatear un disco es un proceso bastante largo que no debe pasar desapercibido para el usuario, en muchos casos los virus de software se limitan a multiplicar datos únicamente en los sectores del sistema del disco duro, lo que equivale a la pérdida de tablas del sistema de archivos. En este caso, los datos del disco duro permanecen intactos, pero no se pueden utilizar sin el uso de herramientas especiales, ya que no se sabe qué sectores del disco pertenecen a qué archivos. En teoría, es posible restaurar datos en este caso, pero la complejidad de este trabajo puede ser extremadamente alta.

Se cree que ningún virus puede dañar el hardware de una computadora. Sin embargo, hay ocasiones en las que el hardware y el software están tan interconectados que la corrupción del software debe resolverse reemplazando el hardware. Por ejemplo, en la mayoría de las placas base modernas, el sistema básico de entrada/salida (BIOS) se almacena en dispositivos de memoria regrabables de sólo lectura (los llamados memoria flash).

Algunos virus de software utilizan la capacidad de sobrescribir información en un chip de memoria flash para destruir datos del BIOS.

En este caso, para restaurar la funcionalidad de la computadora, es necesario reemplazar el chip que almacena el BIOS o reprogramarlo usando un software especial.

Los virus de software ingresan a su computadora cuando ejecuta programas no verificados recibidos en medios externos (disquete, CD, etc.) o recibidos de Internet. Se debe prestar especial atención a las palabras al inicio. Si simplemente copia archivos infectados, su computadora no puede infectarse. En este sentido, todos los datos recibidos de Internet deben someterse a una verificación obligatoria.

por seguridad, y si se reciben datos no solicitados de una fuente desconocida, deben destruirse sin examinarse. Un método común para distribuir programas troyanos es adjuntar un correo electrónico con una “recomendación” para extraer y ejecutar un programa supuestamente útil.

Virus de arranque.

Los virus de arranque se diferencian de los virus de software en su forma de propagarse. No atacan archivos de programa, sino áreas específicas del sistema de medios magnéticos (disquetes y discos duros). Además, cuando se enciende la computadora, se pueden ubicar temporalmente en la RAM.

Normalmente, la infección ocurre cuando una computadora arranca desde un medio magnético cuyo área del sistema contiene un virus de arranque. Por ejemplo, cuando intenta iniciar una computadora desde un disquete, el virus primero ingresa a la RAM y luego al sector de inicio del disco duro. Entonces esta computadora se convierte en una fuente de distribución del virus de arranque.

Macrovirus.

Este tipo especial de virus infecta documentos ejecutados en determinados programas de aplicación. Contar con los medios para llevar a cabo la denominada comandos macro En particular, dichos documentos incluyen documentos del procesador de textos Microsoft Word (tienen la extensión

Doc). La infección ocurre cuando se abre un archivo de documento en la ventana de un programa, a menos que la capacidad de ejecutar comandos macro esté deshabilitada en el programa.

Como ocurre con otros tipos de virus, el resultado de un ataque puede variar desde relativamente inofensivo hasta destructivo.

Principales tipos de virus informáticos.

Actualmente se conocen más de 5.000 virus de software; se pueden clasificar según los siguientes criterios (Fig. 1):

· hábitat;

· método de contaminación del hábitat;

· influencia;

· características del algoritmo.

GRAMO)

Fig.1 Clasificación de virus informáticos:

a – por hábitat; b – por método de infección;

c – según el grado de impacto; d – según las características de los algoritmos.

Dependiendo de hábitat Los virus se pueden dividir en virus de red, de archivos, de arranque y de arranque de archivos.

Virus de red distribuidos en varias redes informáticas.

Virus de archivos están integrados principalmente en módulos ejecutables, es decir a archivos con extensiones COM y EXE. Los virus de archivos pueden incrustarse en otros tipos de archivos, pero como regla general, una vez escritos en dichos archivos, nunca obtienen el control y, por lo tanto, pierden la capacidad de reproducirse.

Virus de arranque están integrados en el sector de arranque del disco (Boot) o en el sector que contiene el programa de arranque del disco del sistema (Master Boot Record).

Virus de arranque de archivos infecta tanto archivos como sectores de arranque de discos.

Por método de infección Los virus se dividen en residentes y no residentes.

Los virus se dividen en residentes y no residentes. al infectar una computadora, deja su parte residente en la RAM, que luego intercepta el acceso del sistema operativo a los objetos infectados (archivos, sectores de arranque, etc.) y se inyecta en ellos. Los virus residentes residen en la memoria y están activos hasta que se apaga o reinicia la computadora.

Virus no residentes no infectan la memoria del ordenador y están activos por un tiempo limitado.

Por grado de impacto Los virus se pueden dividir en los siguientes tipos:

1. inofensivo, sin interferir con el funcionamiento de la computadora, pero reduciendo la cantidad de RAM y memoria de disco libres, las acciones de dichos virus se manifiestan en algunos efectos gráficos o de sonido;

2. sin interferir con el funcionamiento de la computadora, pero reduciendo la cantidad de RAM y memoria de disco libres, las acciones de dichos virus se manifiestan en algunos efectos gráficos o de sonido; virus que pueden provocar diversos problemas con su computadora;

3. muy peligroso, cuyo impacto puede provocar la pérdida de programas, la destrucción de datos y el borrado de información en áreas del sistema del disco.

3. ¿Cómo se propagan los virus?

Hay varias formas, principalmente a través de disquetes. Si recibió un disquete de un amigo que tiene un virus en su computadora, lo más probable es que el disquete esté infectado. Hay dos opciones posibles aquí. La primera es que el virus esté ubicado en el área del sistema del disco, y la segunda es que existan uno o más archivos infectados. Como ya se mencionó, el virus debe tomar el control, por lo que si se trata de un disquete del sistema, al iniciar desde él puede infectar la computadora. Si se trata de un disquete del sistema e intentó iniciar la computadora desde él y apareció el mensaje: Disco que no es del sistema (disco que no es del sistema), entonces, en este caso, podría infectar su computadora, ya que cualquier disquete tiene un cargador del sistema operativo y al encenderlo obtendrás el control.

La segunda opción son los archivos infectados. No todos los archivos pueden infectarse. Entonces, por ejemplo, si hay el texto de una carta o algún otro documento escrito usando el editor Norton Commander, entonces no habrá ningún virus allí. Incluso si terminó allí por accidente, luego de ver el archivo usando el mismo editor o uno similar, puede ver caracteres incomprensibles al principio o al final de dicho archivo, que es mejor destruir. Otros editores crean archivos que contienen información de control, como tamaño o tipo de fuente, sangrías, varias tablas de conversión, etc. Como regla general, es casi imposible infectarse a través de un archivo de este tipo. Sin embargo, las versiones 6.0 y 7.0 del editor de Word tienen la capacidad de contener comandos macro al principio del documento al que se transferirá el control y, por lo tanto, un virus puede propagarse a través de los documentos.

Otras formas de propagación de virus son la transferencia a otros medios de almacenamiento, por ejemplo a unidades de CD-ROM, lo cual es bastante raro. Ha sucedido que al comprar un software con licencia resultó infectado con un virus, pero estos casos son extremadamente raros.

La peculiaridad de los discos CD-ROM es que no se escribe información en ellos. Si un disco CD-ROM libre de virus ha estado en una computadora infectada, no se infectará. Sin embargo, si contiene información infectada con un virus, ningún programa antivirus podrá limpiar el disco de virus.

La forma más común de propagación de virus es a través de una red de computadoras, y en particular de Internet, cuando se reescriben y ejecutan otros programas, como juegos. Puede haber otros casos, bastante raros, en los que se inserta otro disco duro infectado en el ordenador. Para evitar esto, inicie desde el disquete del sistema y escanee el disco duro con programas antivirus especiales o, mejor aún, particione y formatee el disco con Fdisk y Format.

4. Detección de virus informáticos.

Para identificar virus, existen programas antivirus especiales que pueden detectar y destruir virus. Sin embargo, no todos los virus pueden detectarse, ya que cada vez aparecen más formas nuevas.

Un programa antivirus es similar a una medicina, es decir, actúa selectivamente sobre algunos virus y evita otros. Entonces, si se inicia un programa antivirus en una computadora todos los días (semana, mes), todavía no hay una certeza absoluta de que detecte virus.

Existe una selección bastante amplia de programas antivirus. Estos son Aidstest (Lozinsky), Dr Web, Norton antivirus para Windows, kit DSAV y otros. Según su forma de funcionamiento se pueden dividir en tres tipos:

1) Detectores, produciendo exploración. Esta es la forma más simple y común, que implica ver archivos y registros de arranque para verificar su contenido y detectar una firma (la firma es el código de un programa antivirus). Además de buscar una firma, se puede utilizar un método de análisis heurístico: al verificar códigos para identificar códigos característicos de los virus, los detectores eliminan los virus detectados, llamados polífagos. Estos programas pueden realizar análisis heurísticos y detectar nuevos virus.

2) Auditores– programas que recuerdan el estado de los archivos y áreas del sistema, a menudo calculando una suma de comprobación o el tamaño del archivo.

3) Programas - filtros, o vigilantes residentes, ubicado permanentemente en la RAM de la computadora y analiza los archivos iniciados y los disquetes insertados. Informan al usuario sobre un intento de cambiar el sector de arranque, la apariencia del programa residente, la capacidad de escribir en el disco, etc.

4) Protección de hardware Es un controlador que se inserta en el conector de expansión y monitorea el acceso a los disquetes y discos duros. puedes proteger ciertas partes, como registros de arranque, archivos ejecutables, archivos de configuración, etc. A diferencia de los métodos anteriores, también puede funcionar cuando la computadora está infectada.

5) También hay programas instalados en BIOS computadora cuando, al intentar escribir en el sector de arranque, aparece un mensaje al respecto en la pantalla.

5. Medidas preventivas contra los virus.

Para la prevención necesitas:

1. Archivar datos. Archivar es la grabación de archivos en medios extraíbles. Muy a menudo, esta función la desempeñan los disquetes o las cintas magnéticas utilizadas en dispositivos especiales (serpentinas). Por ejemplo, no es necesario recordar los archivos de Windows si tiene un disquete de instalación desde el cual puede reiniciar el sistema y restaurar los archivos. Por lo tanto, si la computadora solo tiene disquetes entre los dispositivos extraíbles, entonces es necesario recordar información que es difícil de recuperar.

Archivar. Como regla general, la información se registra en más de un disco. Digamos que la información se coloca en un disquete y la copia se realiza una vez por semana. Primero, la información se graba el 4 de agosto, la siguiente vez, el 11 de agosto, se realiza la grabación en otro disquete de los mismos directorios. El 18 de agosto se vuelve a grabar en el primer disquete, el 25 de agosto en el segundo, luego nuevamente en el primero, y así sucesivamente, para ello es necesario tener al menos dos disquetes. El hecho es que al escribir en un disquete, puede ocurrir una falla y se perderá la mayor parte de la información. En una computadora doméstica, es necesario realizar copias de vez en cuando, pero la frecuencia la determina el usuario.

2. Para que todo información, recibido de otras computadoras, comprobado programas antivirus. Ya se ha escrito anteriormente que algunos archivos, por ejemplo con información gráfica, son bastante seguros desde el punto de vista de la infección por virus. Por lo tanto, si sólo hay este tipo de información en un disquete, entonces esta información no es peligrosa. Si se detecta un virus, debe verificar todas las computadoras que estaban conectadas a la infectada a través de disquetes o de la red. Es necesario eliminar el virus no solo del disco duro, sino también de los disquetes y archivos comprimidos. Si sospecha la existencia de un virus en su computadora o se transfiere información a su computadora mediante disquetes o Internet, puede instalar programas antivirus en Autoexec . EN en, para que al encender el ordenador empiecen a funcionar.

3. No arranque desde disquetes desconocidos. Al arrancar desde un disco duro, asegúrese de que no haya disquetes en la unidad A: o B:, especialmente de otras máquinas.

Conclusión

virus informático– un programa especialmente creado y diseñado para realizar determinadas acciones que interfieren con el trabajo en una computadora.

Una vez que un virus informático penetra en una computadora, puede propagarse a otras computadoras.

El programa viral está escrito en lenguaje ensamblador para tener un tamaño reducido y una ejecución rápida, aunque existen programas escritos en C, Pascal y otros lenguajes. Muchos programas de virus residentes utilizan los principios desarrollados en los controladores, es decir, establecen la dirección del programa de virus en la tabla de interrupciones y, una vez que el virus ha terminado de funcionar, transfieren el control a un programa normal, cuya dirección estaba previamente en la tabla de interrupciones. A esto se le llama interceptación del control.

Existen programas automatizados para crear nuevos virus que le permiten crear el texto fuente del virus de forma interactiva en lenguaje ensamblador. Al ingresar al paquete, puede configurar opciones que le permitan especificar qué acciones destructivas realizará el virus, si cifrará su texto de código de máquina, qué tan rápido infectará los archivos en los discos, etc.

Lo principal que necesita el virus es controlarse para poder comenzar a actuar. Si el virus comenzara inmediatamente a realizar la acción que le es inherente, sería más fácil identificarlo y limpiar la computadora. La dificultad es que los virus pueden no aparecer inmediatamente cuando aparecen en la computadora, sino después de un tiempo determinado, por ejemplo, en un día determinado.

En el mundo moderno, existen muchos programas antivirus que pueden detectar y destruir virus. Sin embargo, no todos los virus pueden detectarse, ya que cada vez aparecen más formas nuevas.

Para evitar que un programa antivirus estropee un programa antivirus, se debe cargar desde un disquete del sistema, iniciar la computadora desde el disco del sistema e iniciar el programa antivirus.

Mantenga actualizado su software antivirus ya que las versiones más nuevas pueden detectar más tipos de virus. Para actualizar las últimas versiones de los programas antivirus, puede recibirlas a través de un módem o llamar a especialistas de las empresas antivirus.

Lista de literatura usada

1. A. Kostsov, V. Kostsov. Gran enciclopedia. Todo sobre la computadora personal. – M.: “Martín”, 2003. – 720 p.

2. Informática: Libro de texto. – 3ra revisión ed. / Ed. N. V. Makarova. – M.: Finanzas y Estadísticas, 2005. – 768 p.: ill.

3. Informática para abogados y economistas. / Editado por S. V. Simonovich y otros - San Petersburgo: San Petersburgo, 2001. - 688 págs. 6 il.

Popular en la categoría: