Типы файлов подверженные заражению

Типы файлов подверженные заражению

Под потенциально опасными файлами мы понимаем все исполняемые файлы и файлы, которые каким-то образом могут повлиять на работу системы. Исполняемые файлы — такие файлы в большинстве случаев можно распознать по их расширению. Поэтому всегда нужно обращать внимание на расширение файлов прежде, чем их запустить.

Если пользователь получил на почту фотографию IMG0235.jpg с текстом «Смотри, с кем это ты???», то нужно удостовериться, что это действительно файл-изображение, а не исполняемая программа. Обычно файл изображений имеет расширение jpg, png, bmp, gif (фотографии в 99% случаев имеют расширение jpg). Скачав этот файл на компьютер, необходимо посмотреть, нет ли после .jpg продолжения .exe (IMG0235.jpg.exe). Ведь расширение – это строка символов, которая следуют после последней точки. В случае с IMG0235.jpg расширением будет jpg, а в случае с IMG0235.jpg.exe расширение будет уже ехе. А ехе – это и есть исполняемая программа, которая и заразит компьютер.

Файлы скриптов – это тоже исполняемые файлы, только они запускаются не сами, а каким-либо сервисом или программой. Опасными с точки зрения заражения компьютера являются скрипты с расширением bat, cmd, vbs. Например, без специального программного обеспечения, в обычном блокноте можно написать скрипт .bat, который при запуске будет подключатся к фтп-серверу, скачивать вирус, и запускать его, и даже обходя защиту некоторых антивирусов.

Важно: те, кто пользуются проводником Windows (кто смотрит файлы через «Мой компьютер»), тот подвержен дополнительному риску. По умолчанию в проводнике отключен показ расширений, и пользователь видит только название файла без расширения, определяя типы файлов по значку. А ехе-файл может иметь любой значок, включая значок изображения, под которым пользователь привык видеть фотки. Отсюда рекомендация: нужно зайти в панель управления \ свойства папки \ вид, там снимаем галочку «Скрывать расширения для зарегистрированных типов файлов»… но в идеале, конечно, лучше не использовать Проводник Windows, а перейти на файловый менеджер типа Total Commander.

Но если подвести итог, то самым важным правилом будет: не запускать неизвестные файлы с расширением ехе, bat, cmd, vbs и обращать внимание на двойные расширения, типа Photo.jpg.exe или Music.mp3.exe

Список потенциально опасных типов файлов

Большинство из этих типов файлов не смогут нанести ущерб операционным системам Mac и UNIX. Известное исключение – это макро-вирусы.

.exe

Файлы, оканчивающиеся на это расширение, являются исполняемыми файлами, самостоятельными приложениями. Вирусы этого типа могут делать тоже, что и могут делать обычные приложения, включая удаление файлов на вашем компьютере. Исполняемые файлы очень редко будут законно использоваться как вложения. Никогда не запускайте «.exe»-файлы, содержание которых вы не знаете.

.pif

PIF – это файл информации о программе, который содержит необходимую информацию для запуска приложений MS-DOS. Исполняемые файлы могут также быть переименованы в «.pif» и оставаться функциональными, и это означает, что «.pif»-файлы должны обрабатываться с по крайней мере теми же предосторожностями, как и как «.exe»-файлы.

.com

Этот тип файла менее распространен, но они также являются формой исполняемого файла. Примите во внимание то, что это применимо только к «.com» как к расширению файла, а не к веб-сайтам, окончивающимся на «.com».

.vbs

Эти три буквы являются сокращением от «Visual Basic Script» (Скрипт Visual Basic). Известный вирус «I love you» является VBS-файлом. Этому типу вирусов требуется чтобы ваш компьютер был способен запускать скрипты Visual Basic. Это относится к большинству компьютеров под управлением Microsoft Windows, в то время как пользователи Linux могут в этом случае не беспокоиться.

.bat, .cmd

Пакетный файл, который запускает команды MS-DOS имеет расширение «.bat». Файла, заканчивающиеся на «.cmd», являются файлами скриптов Windows NT. Оба типа файлов, если они заражены, можгут нанести ущерб вашей компьютерной системе.

.doc, .xls, .ppt

Эти расширения, используемые документами Microsoft Office (Word, Excel, и PowerPoint, соответственно), могут содержать определенный тип вирусов, называемый макро-вирусом. Важной вещью, которую необходимо знать, является то, что макро-вирусы могут существовать в таких документах, и то, что они могут причинить такой же большой ущерб, как и вирусы с расширением «.exe».

.rtf

RTF означает «Rich Text Format» (расширенный текстовый формат), и весьма распространен как формат документа. Документы, заканчивающиеся на «.rtf», могут, однако, быть скрытыми документами Microsoft Word (с измененным расширением). Поэтому для этих документов должны быть приняты те же меры, что и для любого «.doc»-документа.

Предупреждение: Если вы не знакомы с расширением загружаемого вами файла и не уверенными, в какой программе он откроется, и не может ли это причинить ущерб, прежде чем что-то с ним делать выясните подробности об этом типе файла. Для просмотра расширений файлов, применяемых в Windows, Mac и UNIX, посетите file-ext.com.

Рекомендуемый контент

×

А тут же ж мог быть рекомендуемый контент от гугла 🙂 Для отображения рекомендуемого контента необходимо в браузере разрешить выполнение JavaScript скриптов, включая скрипты с доменов googlesyndication.com и doubleclick.net

×

Вы не любите рекламу!? Напрасно!:) На нашем сайте она вовсе ненавязчивая, а потому для нашего сайта можете полностью отключить AdBlock (uBlock/uBlock Origin/NoScript) и прочие блокировщики рекламы! AdBlock/uBlock может препятствовать нормальной работе системы поиска по сайту, отображению рекомендуемого контента и прочих сервисов Google. Рекомендуем полностью отключить блокировщик рекламы и скриптов, а также разрешить фреймы (aka iframe).

Цели и задачи изучения темы:

  • сформировать представление о существующих компьютерных вирусах;
  • ознакомить с современными антивирусными программами и предъявляемыми к ним требованиями.

10.1. Типы компьютерных вирусов

10.2. Борьба с компьютерными вирусами

Версия для печати
Хрестоматия
Практикумы
Презентации

10.1. Типы компьютерных вирусов

Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов (FAT) на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере.

Все действия вируса могут выполняться очень быстро и без выдачи каких либо сообщений, по этому пользователю очень трудно, практически невозможно, определить, что в компьютере происходит что-то необычное.

До тех пор, пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным. Однако, по прошествии некоторого времени, в компьютере начинает твориться что-то странное, например:

  • некоторые программы перестают работать или начинают работать неправильно;
  • на экран выводятся посторонние сообщения, символы и т. д.;
  • работа на компьютере существенно замедляется;
  • некоторые файлы оказываются испорченными и т. д.

К этому моменту, как правило, уже достаточно много (или даже большинство) тех программ, с которыми работает пользователь, являются зараженными вирусом, а некоторые файлы и диски – испорченными. Более того, зараженные программы с данного компьютера могли быть уже перенесены с помощью съемных носителей или по локальной сети на другие компьютеры.

Некоторые вирусы ведут себя очень коварно. Они вначале незаметно заражают большое число программ и дисков, а затем наносят очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере, естественно после этого восстановить данные бывает просто невозможно. Существуют вирусы, которые ведут себя очень скрытно, и портят понемногу данные на жестком диске или сдвигают таблицу размещения файлов (FAT). К последним относится вирус OneHalf, имеющий множество модификаций.

Таким образом, если не принимать мер по защите от вируса, то последствия заражения могут быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.

См. подробнее в хрестоматии

Для того, чтобы программа-вирус была незаметной, она должна иметь небольшие размеры. По этому вирусы пишут обычно на низкоуровневых языках (на Ассемблере или низкоуровневыми командами языка СИ).

Вирусы пишутся опытными программистами из любопытства, для отместки кому-либо, в коммерческих целях, либо в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан.

Следует заметить, что написание вируса – не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому еженедельно в мире появляются все новые вирусы (многие из них созданы в нашей стране).

Компьютерный вирус может испортить, т. е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может «заразить». Это означает, что вирус может «внедриться» в эти файлы, т. е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены обычным вирусом, он может их только испортить.

Обычным вирусом могут быть заражены следующие виды файлов:

  1. Исполняемые файлы, т. е. файлы с расширениями имен .com и .exe, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполняемых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те вирусы, которые после своего запуска остаются в памяти резидентно — они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.
  2. Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными или BOOT-вирусами. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т. е. постоянно находится в памяти компьютера. Механизм распространения — заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целиком программу вируса. Часть вируса располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных на диск).
  3. Драйверы устройств, т. е. файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS (MSDOS.SYS и IO.SYS) — их заражение также теоретически возможно, но для распространения вируса малоэффективно.

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности стоят загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.

Вирусы можно делить на классы по разным признакам. Например, по признаку вероломности:

  • вирусы, моментально поражающие компьютер, форматируют жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash – ПЗУ (где находится BIOS) компьютера (вирус «Чернобыль»), другими словами, как можно быстрее наносят непоправимый урон компьютеру. Сюда же можно отнести и результаты обид программистов, пишущих вирусы, на антивирусные программы. Имеются в виду так называемые аллергии на определенные антивирусные программы. Эти вирусы достаточно вероломны. Например, аллергия на Dr. Weber при вызове этой программы, не долго думая, блокирует антивирус, портит все, что находится в директории с антивирусом и C:\WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами;
  • вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя свое присутствие, и производят подмену стартовых областей программ на ссылки к месту, где расположено тело вируса. Кроме этого, они производят незаметное для пользователя изменение структуры диска, что даст о себе знать только тогда, когда некоторые данные уже будут безнадежно утеряны (вирус «OneHalf-3544», «Yankey-2 C»).

По признаку способов передачи и размножения тоже можно провести разделение.

Раньше вирусы в основном поражали только исполняемые файлы (с расширениями.com и.exe). Действительно, ведь вирус – это программа, и она должна выполняться.

Вирусы отправляют электронной почтой, как демонстрационные программы или как картинки. Например, если по электронной почте пришел файл «PicturesForYou.jpg», не спешите его смотреть, тем более, что он пришел неизвестно откуда. Если внимательно посмотреть на название, то окажется, что оно имеет еще 42 пробела и действительное расширение.exe. То есть реально полное имя файла будет таким:

«PicturesForYou.jpg.exe».

Теперь понятно, что на самом деле несет в себе эта картинка. Это не файл рисунка, который при активизации вызывает просмотрщик рисунков, а завуалированный вирус, который ждет когда его активизируют щелчком мыши или нажатием клавиши. Такой вирус вы сами загружаете себе на компьютер, под оболочкой какой-либо картинки, как «Троянского коня». Отсюда и расхожее название таких вирусов – «Трояны».

Существует класс так называемых «Макро-вирусов». Они содержат скрытые команды для оболочек информационных каналов (например, Internet Explorer, Outlook Express, Microsoft Office), которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате:.html,.htm – для Internet Explorer,.doc,.xls,.xlw,.txt,.prt, или любой другой – для Microsoft Office и т. д. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но все же этот вид вирусов заслуживает внимания, ведь с помощью скрытых гиперссылок он способен самостоятельно загрузить из сети Интернет на компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов. В частности, японским студентом был разработан именно такой вирус, который подключает небольшой «загрузчик» к любому формату входных данных, поступающих из сети Интернет. Затем этот загрузчик самостоятельно загружает из Интернет с сервера с IP-адресом Babilon 5 тела вируса. Этих тел четыре. Каждое из них способно самостоятельно разрушать компьютер, но имеет определенное назначение. Этот вирус по типу является гибридом между макро-вирусами и обычными вирусами. Но надо отметить, что именно гибриды являются наиболее живучими, хитрыми, опасными и многочисленными среди вирусов. Есть примеры распространения макро-вируса, заражавшего текстовые файлы для Microsoft Word. Его выявили по дате и времени создания исходного документа, которые хранятся в невидимых частях.doc файлов.

Рассмотрим способы маскировок и защит, применяемых вирусами против пользователей и антивирусных программ.

Вероломность — это основной и самый быстрый способ сделать пакость до обнаружения. Действительно, если вирус моментально производит непоправимые действия, нам спешить уже некуда.:-))) Вирус «Чернобыль», например, полностью стирает BIOS (стартовую программу, расположенную в микросхеме ПЗУ, обеспечивающую работу компьютера). После такого компьютер вообще ничего не сможет выдать на экран. Но его работа легко блокируется, если внутри компьютера установлен переключатель, запрещающий писать в область ПЗУ. По этому это был первый, но и, как я думаю, последний представитель аппаратных вирусов. Моментальное форматирование жесткого диска, тоже не из приятных, но в большинстве случаев пользователь, с достаточным опытом, способен предотвратить катастрофу.

Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа — антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.

«Хитрые» вирусы прячутся не только от нас, но и от антивирусных программ. Эти «хамелеоны» изменяют сами себя с помощью самых запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как «Dr. Weber», способны с помощью эвристического анализа обнаруживать и обезвреживать подобные вирусы.

«Невидимые» вирусы с целью предотвращения своего обнаружения применяют так называемый метод «Stelth». Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере. На «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить, но некоторые антивирусные программы могут обнаруживать вирусы-«невидимки» даже на зараженных компьютерах. Так, программа Adinf фирмы «Диалог-Наука» для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP фирмы «Диалог-МГУ» — «отключает» на время проверки вирус (последний метод работает не всегда).

Некоторые антивирусные программы (например, AVSP фирмы «Диалог-МГУ») используют для борьбы с вирусом свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем уже после загрузки с «чистой» дискеты, исполняемые файлы восстанавливаются в исходном виде.

В последнее время получили распространение вирусы, изменяющую файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех.com и.exe – файлов, содержащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. По этому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки. Таким образом, при работающем вирусе файловая система кажется совершенно нормальной. При поверхностном осмотре на «чистом» компьютере зараженного диска также ничего странного не наблюдается. Разве что при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполняемой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на «чистом» компьютере с помощью программы ChkDsk или NDD файловая система зараженного DIR -вирусом диска кажется безнадежно испорченной. Так программа ChkDsk выдает кучу сообщений о пересечении файлов («… cross linked on cluster …») и о цепочках потерянных кластеров («… lost clusters found in … chains …»). Не следует исправлять эти ошибки программами ChkDsk или NDD — при этом диск окажется безнадежно испорченным. Именно так ведет себя вирус OneHalf-3544. Для исправления зараженных этими вирусами дисков надо пользоваться только специальными антивирусными программами, о которых будет рассказано далее.

Можно много рассуждать о классификации вирусов. Однако стоит знать, что никогда заранее неизвестно каким вирусом будет атакован компьютер. По этой причине надо учитывать все возможные типы вирусов и принимать все возможные меры для профилактики заражения.

10.2. Борьба с компьютерными вирусами

Для защиты от вирусов можно использовать:

  • общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
  • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
  • специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

копирование информации — создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов.

Эти программы можно разделить на несколько видов:

  1. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
  2. Программы-доктора , или фаги, «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т. е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
  3. Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.
  4. Доктора-ревизоры — это гибриды ревизоров и докторов, т. е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
  5. Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
  6. Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Стратегия защиты от вирусов. Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. Поэтому наилучшей стратегией защиты от вирусов является многоуровневая, «эшелонированная» оборона. Опишем структуру этой обороны.

Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженной программы, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.

Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И наконец, в «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

В большинстве случаев для обнаружения вируса, заразившего ваш компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения или уничтожения зараженных файлов.

Следует отметить, программа-детектор может обнаруживать только те вирусы, которые ей известны (т. е. занесены в антивирусную базу данных этой программы).

Ниже приведено диалоговое окно антивирусной программы AVP Касперского, антивирусная база данных которой постоянно обновляется. Она отличается удобным и понятным интерфейсом. Программа выполнена для среды Windows, что позволяет ей работать параллельно с другими приложениями.


Некоторые программы, такие как Dr. Weber, могут с помощью эвристического анализа находить модифицированные вирусы. Ниже приведено диалоговое окно антивирусной программы Dr. Weber.

Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус. Многие антивирусные программы способны находить зараженные файлы даже внутри архивов.

Лечение от вирусов. Большинство программ – детекторов имеют также и функцию «доктора», т. е. они пытаются вернуть зараженные файлы и области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило делаются неработоспособными или удаляются.

Большинство программ докторов умеют «лечить» только от некоторого фиксированного количества вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения от новых вирусов. К таким программам относится AVSP фирмы «Диалог-МГУ». Другой перспективный подход – восстановление файлов на основе заранее сохраненной информации об их состоянии. Этим занимаются программы-ревизоры и доктора-ревизоры.

При заражении компьютера вирусом (или подозрении на это) важно соблюдать четыре правила.

  1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, которые можно было бы восстановить, но и к повторному заражению компьютера.
  2. Тем не менее, одно действие должно быть выполнено немедленно: надо выключить компьютер, чтобы вирус не продолжал свою работу.
  3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только после перезагрузки компьютера с защищенной от записи «эталонной» дискеты с операционной системой. При этом следует пользоваться исполняемыми файлами, находящимися только на защищенных от записи «эталонных» дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке ОС или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
  4. Если Вы не обладаете достаточными опытом и знаниями для лечения компьютера, попросите о помощи более опытных коллег или специалистов.

«Лечение» компьютера. Рассмотрим случай когда вирус уже успел «заразить» или испортить какие-то файлы на дисках компьютера. При этом надо выполнить следующие действия.

  1. Перезагрузить ОС (операционную систему) с заранее подготовленной эталонной дискеты. Эта дискета, как и другие дискеты, используемые при ликвидации последствий заражения компьютерным вирусом, должна быть защищена от записи. Заметим, что перезагрузку нельзя выполнять, используя комбинацию клавиш <Ctrl><Alt><Del>, т. к. некоторые вирусы способны анализировать это прерывание клавиатуры и продолжать работать. Они могут сымитировать перезагрузку компьютера, а могут ответить вам каким-то жестоким образом. Для перезагрузки нужно использовать кнопку » RESET » на системном блоке или вообще перезапустить питание.
  2. Необходимо проверить правильность конфигурации компьютера при начальной загрузке компьютера.
  3. Сначала необходимо запустить программу-детектор для определения типа вируса и зараженных файлов.
  4. Далее нужно поочередно обезвредить все диски, которые могли подвергнуться заражению. Если жесткий диск разделен на несколько логических дисков, то при перезагрузке с дискеты будет виден только логический диск, с которого стартует ОС. Необходимо прежде всего очистить от заражения его, а затем, перегрузившись с жесткого диска, заняться его остальными разделами.
  5. Теперь, когда известно, что вирусов типа DIR на диске нет или они успешно вылечены, можно проверить целостность файловой системы и поверхности диска программой NDD или ChkDsk. Если повреждения FAT (файловой системы) значительные, то целесообразно попробовать сделать копии необходимой информации, после чего отформатировать диск. При незначительных повреждениях можно попробовать восстановить диск, также применяя программу DiskEdit из комплекса Norton Utilities.
  6. Если до заражения использовалась программа-ревизор, можно запустить ее для диагностики изменений в файлах.
  7. Если вы не уверены в своих архивных копиях, проверьте их на наличие вируса.
  8. Удалить с диска все файлы, которые были изменены и имеют копии на других дисках. Нельзя оставлять на диске.exe и.com файлы, которые, по мнению ревизора, были изменены. Оставлять их можно только в исключительных случаях.
  9. Если обрабатываемый диск системный, то его систему стоит обновить с «эталонной» дискеты командой SYS.
  10. Файлы, которые «доктор» не смог восстановить, следует уничтожить.
  11. С помощью архивных копий следует восстановить файлы, размещавшиеся на диске.
  12. Если имеется хорошая программа-фильтр, целесообразно некоторое время поработать с ней.

Опишем меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все таки произойдет. Нет необходимости использовать все описываемые средства для профилактики портив заражения вирусом.

Копирование информации и разграничение доступа:

  1. Целесообразно иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.
  2. Целесообразно также скопировать на дискеты служебную информацию с используемого диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.
  3. Следует устанавливать защиту от записи на архивных дискетах.
  4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров: на них может быть вирус.
  5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, скопированные из сети Интернет.
  6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.
  7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
  8. Используйте программы-фильтры для раннего обнаружения вирусов.
  9. Периодически проверяйте диск программами-детекторами или докторами-детекторами или ревизорами для обнаружения возможных провалов в обороне.
  10. Регулярно обновляйте базу антивирусных программ.
  11. Не допускайте к компьютеру случайных пользователей.

Однако очень неразумным будет распоряжение начальника отформатировать все жесткие диски компьютеров отдела только из-за того, что на одном из них было обнаружено подозрение на вирус «такой-то». Это приведет к неоправданной потере информации и большой потери времени и сил, что, по нанесенному ущербу, будет больше, чем смог бы сделать вирус. Не следует превращать компьютер в неприступную крепость, «вооруженную до зубов», поскольку может не хватить ресурсов для выполнения необходимых задач. Цивилизованный способ защиты от вирусов – в соблюдении профилактических мер предосторожности при работе на компьютере.

Версия для печати

Перейти к версии для печати

Хрестоматия

Название работы Аннотация
Компьютерные вирусы и антивирусные программы. Типы компьютерных вирусов // Н. Угринович Информатика и информационные технологии.- 2-е изд.-М.: БИНОМ. Лаборатория знаний, 2005г.66-71стр.

Практикумы

Название практикума Аннотация

Презентации

Название презентации Аннотация

Тьюторы

Название тьюториала Аннотация
Тьюториал по теме 10: «Понятия о компьютерных вирусах»

Один из явных признаков, помогающих отличить опытного пользователя от начинающего, это их отношение к расширениям файлов. Первые с одного взгляда могут сказать, какой файл является картинкой, какой программой, а какой вообще лучше не открывать без предварительной проверки антивирусом. Вторые обычно просто не понимают о чем идет речь и как эти самые расширения файлов выглядят. Именно для них в этой статье мы хотим осветить тот необходимый минимум, который понадобится им для безопасной работы на компьютере под управлением Windows.

Что такое расширения?

Как говорит нам Wikipedia, и у нас нет совершенно никаких оснований спорить с ней в этом вопросе, расширение файла — это последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа (формата) файла. Это один из распространённых способов, с помощью которых пользователь или программное обеспечение компьютера может определить тип данных, хранящихся в файле.

Как их увидеть?

По умолчанию отображение файлов в Windows отключено. Мне не совсем понятна логика разработчиков, кроме как оградить неокрепшие умы пользователей от лишних (с их точки зрения) знаний. Взамен получаем широчайшую дыру в безопасности и юзеров, которые ориентируются только на названия файлов и кликают на все подряд.

Для того, чтобы включить отображение расширений файлов, откройте Панель управления, найдите там иконку Параметры папок. В появившемся окошке на вкладке Вид снимите галку с опции Скрывать расширения для зарегистрированных типов файлов.

Не получается? Попросите своего продвинутого компьютерного товарища.

Каких расширений файлов следует опасаться?

Теоретически, исправная антивирусная программа со свежими базами может в значительной мере обезопасить вашу работу. Но любой, даже самый совершенный антивирус может ошибиться или не успеть внести заразу в свои фильтры. Поэтому дополнительным фактором защиты лучше включать свою голову вооруженную необходимыми знаниями.

Если вы получили файл из подозрительного источника, например по почте от незнакомого человека, то необходимо обратить внимание на его расширение и, если оно входит в предложенный нами список, то лучше его не открывать, а отослать на проверку в VirusTotal.

Программы

  • .EXE — исполнимый программный файл. Большинство программ в Windows имеют именно такое расширение.
  • .PIF — это специальный файл, содержащий информацию для DOS-программ. Несмотря на то, что не содержат исполнимого кода, могут быть потенциально опасны.
  • .APPLICATION — установщик приложения, использующий технологию ClickOnce от Microsoft.
  • .GADGET — гаджет для отображения на рабочем столе в Windows Vista и 7.
  • .MSI — запускает процесс установки программы на вашем компьютере.
  • .MSP — установка обновлений для уже установленных программ.
  • .COM — программы для MS-DOS.
  • .SCR — файл скринсейвера.
  • .HTA — веб-приложение. В отличие от html приложений исполняемых в вашем браузере, могут быть опасны.
  • .CPL — файл Панели управления. Все элементы в панели управления имеют это расширение.
  • .MSC — файл консоли управления Microsoft. Такие приложения, как редактор групповых политик и инструмент управления дисками имеют расширение .MSC.
  • .JAR — исполнимый код для среды Java.

Скрипты

  • .BAT — пакетный файл, содержащий последовательность команд для вашего компьютера. Изначально использовался в MS-DOS.
  • .CMD — пакетный файл наподобие .BAT, но это расширение файла было введено в Windows NT
  • .VB, .VBS, .VBE — файл VBScript. Будет при запуске выполнять свой VBScript код.
  • .JS, .JSE — файл JavaScript. При использовании на веб-страницах является относительно безопасными, если работать в веб-браузере. Тем не менее, Windows может открывать эти файлы вне браузера и это несет угрозу.
  • .WS, .WSF, .WSC, .WSH — файлы Windows Script.
  • .PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 — командный сценарий для Windows PowerShell.
  • .MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML — командный сценарий для Monad. Monad позже был переименован в PowerShell.

Ярлыки

  • .SCF — командный файл Windows Explorer. Может содержать потенциально опасные команды.
  • .LNK — ссылка для запуска программы. Может содержать атрибуты командной строки, которые делают опасные вещи, такие как удаление файлов без спроса.
  • .INF — текстовый файл, используемый для автоматического запуска с подключаемых носителей. Часто используется для заражения с флешек или дисков.

Остальные

  • .REG — файл реестра Windows. Эти файлы содержат список записей реестра, которые будут добавлены или удалены, если вы запустите их. Опасность заключается в том, что вы можете удалить важные сведения из реестра, внести в него нежелательные или вредоносные данные.

Офисные макросы

И это все мне надо запомнить?

Вообще желательно. Но можно распечатать и повесить на видном месте. Или сохранить ссылку и обращаться по мере необходимости. И не забудьте поделиться этой информацией со всеми своими бабушками, дедушками, девушками и другими начинающими пользователями, которые могут этого не знать.

Исполняемыми файлами называются файлы, содержащие в себе готовые к запуску компьютерные программы.

Исполняемый файл — словосочетание, довольно часто встречающееся, в основном, в документации. В живом общении (в том числе и в виртуальном) для обозначения данного вида файлов пользователи используют менее громоздкие термины, более точно отражающие, что именно они имеют в виду.

Итак, что же скрывается за этим словосочетанием? Исполняемыми файлами называются файлы, содержащие в себе готовые к запуску компьютерные программы. В зависимости от того, в каком виде записана программа в исполняемом файле, выделяют две большие подгруппы файлов данного класса. Первая подгруппа — это бинарные файлы; они содержат в себе запись программы в виде специальных машинных кодов, которые, чаще всего, передаются непосредственно процессору. Такие файлы ещё сокращённо называют бинарниками. В противоположность им существуют исполняемые файлы, в которых программа записана в виде текста — то есть, в том самом виде, в каком с ней работал создавший её программист. Такие исполняемые файлы называют скриптами. Также этот термин нередко употребляют и по отношению к самим программам, которые хранятся в подобных файлах.

Для выполнения программ из большинства бинарных исполняемых файлов достаточно только операционной системы, которая их поддерживает. Для выполнения скриптов нужен интерпретатор, который будет переводить текст программы последовательно в процессорные команды. Для запуска некоторых исполняемых файлов бинарного формата также нужны интерпретаторы.

В Windows наиболее распространены бинарные исполняемые файлы. Самый часто встречающийся их вид — это приложение. Приложения имеют расширения EXE и могут запускаться самостоятельно. Помимо них, существуют динамические библиотеки (их расширение — DLL), которые содержат в себе общие для разных приложений функции. Ещё есть драйверы (DRV или VXD) — специальные программы, нужные для того, чтобы система могла взаимодействовать с конкретными моделями тех или иных устройств. Исполняемые файлы (в Windows особенно) могут зависеть друг от друга: например, для запуска любого приложения нужны определённые системные динамические библиотеки, а им, в свою очередь, нужны драйверы.

Следует заметить, что исполняемые файлы содержат в себе не только непосредственно сами программы, но и разные дополнительные данные. Это могут быть различные графические ресурсы, отображаемые программой, тексты надписей, описания диалоговых окон и т.п. Ярким примером этого могут служить самораспаковывающиеся архивы, которые содержат внутри себя большие объёмы упакованной с целью уменьшения её объёма при передаче или хранении информации.

Вадим СТАНКЕВИЧ

Название «вредоносные программы» соотносится с англоязычным термином «malware», образованным от двух слов: «malicious» («злонамеренный») и «software» («программное обеспечение»). Существуют и другие, более редкие варианты — «badware», «computer contaminant», «crimeware». В лексиконе некоторых специалистов встречаются жаргонные названия «вредонос», «зловред», «малварь». В обиходе все вредоносные программы часто называют компьютерными вирусами, хотя это терминологически некорректно.

К вредоносным программам относят любое программное обеспечение, несанкционированно проникающее в компьютерную технику. Подобные приложения наносят прямой или косвенный ущерб — например, нарушают работу компьютера или похищают личные данные пользователя.

Вредители создаются для реализации двух основных групп целей. Одна из них сводится к получению выгоды от внедрения в компьютер жертвы. Например, злоумышленник добивается возможности управлять компьютером, крадет секретную информацию, осуществляет вымогательство. Вторая группа целей не связана с материальной выгодой. Написание вредоносного кода может быть проявлением желания автора, создавшего программу, утвердиться в своих умениях, обычным хулиганством или шуткой.

Согласно статье 273 Уголовного Кодекса РФ, вредоносными объектами следует считать компьютерные программы или иную информацию, которые заведомо предназначены для несанкционированного уничтожения, блокирования, модификации, копирования данных либо для нейтрализации средств их защиты.

Корпорация Microsoft считает, что вредоносная программа — это любое ПО, разработанное с целью нанесения урона отдельному компьютеру или целой сети, серверу. Совершенно не важно, является ли такое ПО вирусом, трояном или разновидностью программы-шпиона.

Классификация вредоносных программ

Ниже перечислены основные виды вредоносных программ.

  1. Агенты ботнетов. Ботнетом называется группа зараженных компьютеров, получающих команды от злоумышленника; за прием и исполнение этих команд отвечает соответствующая вредоносная программа. Такая сеть может насчитывать от нескольких единиц до миллионов компьютеров, она также называется зомби-сетью.
  2. Эксплойты — хакерские утилиты, предназначенные для эксплуатации уязвимостей в программном обеспечении.
  3. Бекдоры — программы для удаленного подключения к компьютеру и управления им.
  4. Компьютерные вирусы. Вирусом принято называть программу, которая внедряет свой код в другие приложения («заражает» их), так что при каждом запуске инфицированного объекта этот код исполняется.
  5. Руткиты — средства скрытия вредоносной деятельности (например, другие приложения не смогут обнаружить файлы, принадлежащие нежелательному ПО).
  6. Сетевые черви — вредоносные программы с самой разной функциональной нагрузкой, которые способны самостоятельно распространяться по компьютерным сетям.
  7. «Троянские кони» («трояны») — широкий класс вредоносных объектов разнообразного назначения, которые обычно не имеют собственного механизма распространения (т.е. не могут заражать файлы или размножать свои копии через сеть). Название произошло от ранней тактики их проникновения — под видом легитимной программы или в качестве скрытого дополнения к ней.

В особую группу можно выделить вымогатели и шифровальщики (ransomware). Сценарий работы таких вредоносных программ состоит в том, что они каким-либо способом блокируют доступ пользователя к его данным и требуют выкуп за разблокировку.

Объекты воздействия

Атаки вредоносных программ распространяются практически на всех пользователей интернета. Цель воздействия зависит от типа злоумышленника: хулиган, мелкий вор или киберпреступник. Соответствующим образом различаются и последствия: одна инфекция просто мешает нормально работать с компьютером, другая — приводит к финансовым убыткам, третья — заканчивается утечкой сведений, составляющих коммерческую тайну.

В последние годы от вредоносных программ часто страдают различные компании и организации — в первую очередь из-за своей платежеспособности. Типовой атакой является шифрование, например, бухгалтерской базы данных и последующее требование заплатить за восстановление этой критически важной для бизнеса информации. Атакам эксплойтов, троянов и червей подвергаются серверы веб-сайтов, откуда злоумышленники воруют информацию о клиентах и пользователях, включая данные банковских карт, что грозит потерей финансов, баз данных, другой корпоративной информации.

Объектами внедрения вредоносных программ являются и обычные пользователи Сети. Интерес представляют личные данные, информация о банковских счетах, электронная почта, пароли доступа к социальным сетям. Довольно часто целью инфекций становятся геймеры, имеющие большое количество игровой валюты и редкие артефакты.

Источник угрозы

Самые опасные и сложные вредоносные программы создаются на заказ государственными спецслужбами или связанными с ними группами киберпреступников. Такие объекты имеют ярко выраженную специфику и направлены на конкретную жертву или группу жертв. Целью их работы могут быть сбор и кража секретных данных либо прямое вредительство.

Однако большинство вредоносных программ создается рядовыми злоумышленниками, не связанными с организованной киберпреступностью или спецслужбами. Внедрив свои разработки на компьютер жертвы, они могут красть данные для доступа к счетам в банках, выполнять с зараженного устройства сетевые атаки, вымогать выкупы, размещать рекламу сомнительной продукции или рассылать спам. Источником распространения вредителей являются мелкие преступники, похищающие логины, пароли и другую личную информацию (например, аккаунты участников онлайн-игр) с целью несанкционированного использования или продажи.

Внедрять вредоносные программы могут исследователи, находящиеся в процессе изобретения иных способов заражения, противодействия антивирусным продуктам. Цель деятельности этих программистов состоит не в получении выгоды, а в изучении компьютерной среды и проверке своих идей.

Анализ риска

Пользователи персональных компьютеров порой не считают вредоносные программы серьезной угрозой, хотя часто становятся жертвами кражи учетных данных либо блокировки компьютера с требованием выкупа. Бизнес, наоборот, говорит об инфекциях как о существенной угрозе своей деятельности.

Распространение получают вредоносные программы, попадающие в устройства интернета вещей. Так, компания из Британии создала вирус-вымогатель для термостата, подключенного к Wi-Fi. Получив контроль над оборудованием, он способен опустить температуру до критической отметки и требовать денег. Подробнее о новой вредоносной программе можно прочитать в статье «Вирусы-вымогатели добрались до термостатов».

Нет абсолютной защиты от инфекций, но снизить риск реализации угрозы можно. Для этого необходимо устанавливать новые версии операционных систем, следить за обновлением всех программ, использовать антивирусные решения от надежных производителей, не допускать к ПК посторонних лиц, не открывать подозрительные ссылки, письма и файлы, выполнять ряд других предохранительных мер.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *