КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Как распространяются загрузочные вирусы?
Главным образом, с помощью забывчивых пользователей.
Разработчик вируса создает дискету с зараженным загрузочным сектором или заражает главную загрузочную запись на жестком диске компьютера, к которому имеет доступ много пользователей. После загрузки операционной системы вирус контролирует все обращения к дискетам. Как только пользователь вставит дискету, не защищенную от записи, вирус запишет свое тело в загрузочный сектор дискеты. Через некоторое время все дискеты, которые когда-либо вставлялись в компьютер, окажутся зараженными.
Вставив зараженную дискету в устройство A: ранее незараженного компьютера и поработав с ней, многие пользователи забывают извлечь ее оттуда. Пользователь выключает компьютер и уходит домой спать, а вирус ждет своего часа. Включив утром компьютер, пользователь выполняет загрузку с забытой дискеты, в результате чего вирус проникает в главную загрузочную запись. Все, цель достигнута - вирус завоевал еще один компьютер.
Вы можете полностью перекрыть доступ к вашему компьютеру для загрузочных вирусов, отключив при помощи программы BIOS Setup возможность загрузки с устройства A:. Хотя иногда (например, при переустановке операционной системы) вам все же придется загружать компьютер с дискет.
Разумеется, не следует снимать с дискет защиту от записи без крайней на то необходимости. Особенно это относится к дистрибутивным дискетам, с которых выполняется установка программного обеспечения.
И конечно, все дискеты, полученные вами, следует проверять антивирусными программами. Это относится даже к новым форматированным дискетам в запечатанной коробке, так как вирус может находится в области загрузочной записи. Известен случай, когда в продажу поступили зараженные форматированные дискеты. Комбинированные файлово-загрузочные вирусы
Наиболее совершенные и наиболее опасные вирусы используют методы распространения, характерные и для файловых, и для загрузочных вирусов. Такие вирусы записывают свое тело в файлы и в загрузочные записи дискет и дисков. Вы можете получить такой вирус, загрузив компьютер с зараженной дискеты, либо запустив зараженный файл. Результат будет одинаковый - вирус поселится в вашем компьютере и начнет свою "работу". Простые и полиморфные вирусы
Обычные компьютерные вирусы обнаружить достаточно легко, так как в процессе заражения они записывают в заражаемый файл или системную область диска свой собственный код. Автору антивирусной программы достаточно выделить из этого кода уникальную последовательность команд или байт, характерную именно для данного вируса. Такая последовательность носит название сигнатуры.
Затем антивирусная программа уже в автоматическом режиме просматривает все файлы и системные области дисков в поиске сигнатур известных вирусов. Естественно, что проблем с обнаружением таких вирусов нет.
Очень скоро авторы вирусов догадались использовать в своих вирусах алгоритмы шифрования, затрудняющие их обнаружение и выделение сигнатуры. Такие вирусы, получившие название шифрующихся, при заражении новых файлов и системных областей диска шифруют собственный код, пользуясь для этого случайными паролями (ключами). Когда вирус получает управление, он первым делом расшифровывает собственный код.
Сложность обнаружения таких вирусов состоит в том, что код вируса случайным образом изменяется при каждом новом заражении и, соответственно, автору антивируса сложнее выделить сигнатуру такого вируса. Однако, так как шифрующийся вирус все же должен содержать неизменную процедуру расшифровки, то сигнатуру получить можно. Даже простые антивирусные программы способны успешно обнаруживать и удалять вирусы, применяющие алгоритм шифровки.
Вслед за шифрующимися вирусами появилась еще более сложная разновидность вирусов, получившая страшное название вирусов-мутантов. Более научное название вирусов-мутантов - полиморфные вирусы. От шифрующихся вирусов они отличаются тем, что даже процедура расшифровки меняется у разных особей одного вируса. Каждый раз когда вирус заражает новый файл или системную область диска, он полностью изменяется, поэтому из полиморфных вирусов невозможно выделить сигнатуру.
Многие антивирусные программы не в состоянии обнаружить полиморфные вирусы. Например, самая известная антивирусная программа Aidstest, которая уже много лет защищает компьютеры, обнаруживает только самые примитивные экземпляры полиморфных вирусов. Мы видели много пользователей, постоянно проверяющих свои компьютеры программой Aidstest даже не смотря на предупреждение о необходимости дополнительно использовать антивирус Doctor Web. Полиморфные вирусы остаются в этом случае незамеченными и спокойно делают свое черное дело.
Извечная борьба щита и меча, брони и снаряда нашла свое отражение и в мире компьютеров. Для охоты за полиморфными вирусами были разработаны антивирусные программы нового поколения, далеко ушедшие от своих предшественников.
В качестве примеров программ, способных обнаруживать и удалять полиморфные вирусы, можно привести антивирус Doctor Web Игоря Данилова и Antiviral Toolkit Pro Евгения Касперского. Эвристический анализатор Doctor Web "выполняет" под своим управлением проверяемые программы и обнаруживает действия, характерные для вирусов. Благодаря этому он находит полиморфные вирусы также легко как и обычные вирусы, не использующие механизма маскировки.
Эвристический анализатор может обнаружить не только вирусы, ранее изученные автором антивирусной программы. Он может отыскать даже те вирусы, которые ранее не были известны. Надо сказать, что это не должно вызывать энтузиазм у авторов вирусов. Многие из них, еще не родившись, уже имеют все шансы быть обнаруженными.
|