Человеческий организм подвержен всякого рода заболеваниям и инфекциям, также довольно часто болеют животные и растения. Ученые прошлого века пытались выявить причину многих заболеваний, но, даже определив симптоматику и течение болезни, они не могли уверенно сказать о ее причине. И лишь в конце девятнадцатого века появился такой термин, как "вирусы". Биология, а точнее один из ее разделов - микробиология, стала изучать новые микроорганизмы, которые, как оказалось, уже давно соседствуют с человеком и вносят свою лепту в ухудшение его здоровья. Для того чтобы эффективнее бороться с вирусами, выделилась новая наука - вирусология. Именно она может рассказать о древних микроорганизмах очень много интересного.

Вирусы (биология): что это такое?

Только в девятнадцатом веке ученые выяснили, что возбудителями кори, гриппа, ящура и других инфекционных заболеваний не только у людей, но и у животных и растений являются микроорганизмы, невидимые человеческому глазу.

После того как были открыты вирусы, биология не сразу смогла дать ответы на поставленные вопросы об их строении, возникновении и классификации. У человечества появилась потребность в новой науке - вирусологии. В настоящий момент вирусологи работают над изучением уже знакомых вирусов, наблюдают за их мутациями и изобретают вакцины, позволяющие уберечь живые организмы от заражения. Довольно часто с целью эксперимента создается новый штамм вируса, который хранится в "спящем" состоянии. На его основе разрабатываются препараты и проводятся наблюдения по их воздействию на организмы.

В современном обществе вирусология является одной из самых важных наук, а самый востребованный научный сотрудник - это вирусолог. Профессия вирусолога, по прогнозам социологов, с каждым годом становится все более популярной, что хорошо отражает тенденции современности. Ведь, как считают многие ученые, скоро с помощью микроорганизмов будут вестись войны и устанавливаться правящие режимы. В таких условиях государство, имеющее высококвалифицированных вирусологов, может оказаться самым стойким, а его население наиболее жизнеспособным.

Появление вирусов на Земле

Ученые относят возникновение вирусов к самым древним временам на планете. Хотя с точностью сказать, каким образом они появились и какую форму имели в то время, невозможно. Ведь вирусы имеют способность проникать в абсолютно любые живые организмы, им доступны простейшие формы жизни, растения, грибы, животные и, конечно же, человек. Но вирусы не оставляют после себя никаких видимых остатков в виде окаменелостей, например. Все эти особенности жизни микроорганизмов существенно затрудняют их изучение.

• они были частью ДНК и со временем отделились;
• они были встроены в геном изначально и при определенных обстоятельствах "проснулись", начали размножаться.

Ученые предполагают, что в геноме современных людей находится огромное количество вирусов, которыми были заражены наши предки, и теперь они естественным образом встроились в ДНК.

Вирусы: когда были обнаружены

Изучение вирусов - это достаточно новый раздел в науке, ведь считается, что он появился только в конце девятнадцатого века. На самом деле можно сказать, что неосознанно открыл сами вирусы и вакцины от них английский врач в конце девятнадцатого века. Он работал над созданием лекарства от оспы, косившей в те времена сотни тысяч людей во время эпидемии. Он сумел создать экспериментальную вакцину прямо из болячки одной из девушек, болевшей оспой. Эта прививка оказалась весьма эффективной и спасла не одну жизнь.

Но официальным "отцом" вирусов считается Д. И. Ивановский. Этот русский ученый долгое время изучал болезни растений табака и сделал предположение о мелких микроорганизмах, которые проходят через все известные фильтры и не могут существовать самостоятельно.

Спустя несколько лет француз Луи Пастер в процессе борьбы с бешенством выявил его возбудителей и ввел термин "вирусы". Интересен тот факт, что микроскопы конца девятнадцатого века не могли показать ученым вирусы, поэтому все предположения делались относительно невидимых микроорганизмов.

Развитие вирусологии

Середина прошлого века дала мощный толчок в развитии вирусологии. К примеру, изобретенный электронный микроскоп позволил, наконец, увидеть вирусы и провести их классификацию.

В пятидесятые годы двадцатого века была изобретена вакцина от полиомиелита, ставшая спасением от этого страшного заболевания для миллионов детей по всему миру. К тому же ученые научились выращивать человеческие клетки в специальной среде, что привело к появлению возможности изучать вирусы человека в лабораторных условиях. В настоящий момент описано уже около полутора тысяч вирусов, хотя еще пятьдесят лет назад известными были всего лишь двести подобных микроорганизмов.

Свойства вирусов

Вирусы имеют ряд свойств, которые отличают их от других микроорганизмов:

• Очень маленькие размеры, измеряющиеся в нанометрах. Крупные вирусы человека, например оспы, имеют размер триста нанометров (это всего лишь 0,3 миллиметра).
• Каждый живой организм на планете содержит два вида нуклеиновых кислот, а вирусы имеют только одну.
• Микроорганизмы не могут расти.
• Размножение вирусов происходит только в живой клетке хозяина.
• Существование происходит только внутри клетки, вне ее микроорганизм не может проявлять признаков жизнедеятельности.

Формы вирусов

К настоящему моменту ученые могут с уверенностью заявлять о двух формах данного микроорганизма:

• внеклеточная - вирион;
• внутриклеточная - вирус.

Вне клетки вирион находится в "спящем" состоянии, он не поддет никаких признаков жизни. Попав в организм человека, он находит подходящую клетку и, только проникнув в нее, начинает активно размножаться, превращаясь в вирус.

Строение вируса

Практически все вирусы, несмотря на то что они довольно разнообразны, имеют однотипное строение:

• нуклеиновые кислоты, образующие геном;
• белковая оболочка (капсид);
• некоторые микроорганизмы поверх оболочки имеют еще и мембранное покрытие.

Ученые считают, что подобная простота строения позволяет вирусам выживать и приспосабливаться в изменяющихся условиях.

В настоящий момент вирусологи выделяют семь классов микроорганизмов:

• 1 - состоят из двуцепочечной ДНК;
• 2 - содержат одноцепочечную ДНК;
• 3 - вирусы, копирующие свою РНК;
• 4 и 5 - содержат одноцепочечную РНК;
• 6 - трансформируют РНК в ДНК;
• 7 - трансформируют двуцепочечную ДНК через РНК.

Несмотря на то что классификация вирусов и их изучение шагнули далеко вперед, ученые допускают возможность появления новых видов микроорганизмов, отличающихся от всех уже перечисленных выше.

Типы вирусной инфекции

Взаимодействие вирусов с живой клеткой и способ выхода из нее определяет тип инфекции :

• Литическая

В процессе инфицирования все вирусы одновременно выходят из клетки, и в результате она погибает. В дальнейшем вирусы "селятся" в новых клетках и продолжают их разрушать.

• Персистентная

Вирусы выходят из клетки хозяина постепенно, они начинают поражать новые клетки. Но прежняя продолжает свою жизнедеятельность и "рождает" все новые вирусы.

• Латентная

Вирус встраивается в саму клетку, в процессе ее деления он передается другим клеткам и распространяется по всему организму. В подобном состоянии вирусы могут находиться достаточно долгое время. При необходимом стечении обстоятельств они начинают активно размножаться и инфекция протекает по уже перечисленным выше типам.

Россия: где изучают вирусы?

В нашей стране вирусы изучают уже достаточно давно, и именно российские специалисты лидируют в этой области. В Москве расположен НИИ вирусологии имени Д. И. Ивановского, специалисты которого вносят существенный вклад в развитии науки. На базе НИИ работаю научно-исследовательские лаборатории, содержится консультативный центр и кафедра вирусологии.

Параллельно российские вирусологи работают с ВОЗ и пополняют свою коллекцию штаммов вирусов. Специалисты НИИ работают по всем разделам вирусологии:

• общей:
• частной;
• молекулярной.

Стоит отметить, что в последние годы наметилась тенденция к объединению усилий вирусологов всего мира. Такая совместная работа является более эффективной и позволяет серьезно продвинуться в изучении вопроса.

Вирусы (биология как наука это подтвердила) - это микроорганизмы, сопровождающие все живое на планете на протяжении всего их существования. Поэтому их изучение является столь важным для выживания многих видов на планете, в том числе и человека, который уже не раз в истории становился жертвой различных эпидемий, вызванных вирусами.

Если у Вас заблокировался компьютер, появлось окно с требованием перечислить деньги, значит Ваш компьютер оказался заражен вирусом-вымогателем.

Стоимость лечения компьютера от вируса и разблокировки компьютера от программ-вымогателей составляет 500 рублей. В эту стоимость входит полное сканирование Вашего компьютера на вирусы и установка антивирусной программы на Ваш выбор.

Компьютерные вирусы и их виды

Компьютерный вирус - это небольшая программа, написанная программистом высокой квалификации, способная к саморазмножению и выполнению разных деструктивных действий. На сегодняшний день известно свыше 50 тыс. компьютерных вирусов.

Существует много разных версий относительно даты рождения первого компьютерного вируса. Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ. Одним из "пионеров" среди компьютерных вирусов считается вирус "Brain", созданный пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров. В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер, постепенно превращаясь на откровенно вражеское отношение к пользователям безответственных, и даже криминальных "элементов". В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за создание и распространение вирусов.

Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или проникают в тело файла. В этом случае говорят, что файл заражен вирусом. Вирус попадает в компьютер только вместе с зараженным файлом. Для активизации вируса нужно загрузить зараженный файл, и только после этого, вирус начинает действовать самостоятельно.

Некоторые вирусы во время запуска зараженного файла становятся резидентными (постоянно находятся в оперативной памяти компьютера) и могут заражать другие загружаемые файлы и программы. Другая разновидность вирусов сразу после активизации может быть причиной серьезных повреждений, например, форматировать жесткий диск. Действие вирусов может проявляться по разному: от разных визуальных эффектов, мешающих работать, до полной потери информации. Большинство вирусов заражают исполнительные программы, то есть файлы с расширением.EXE и.COM, хотя в последнее время большую популярность приобретают вирусы, распространяемые через систему электронной почты.

Следует заметить, что компьютерные вирусы способны заражать лишь компьютеры. Поэтому абсолютно абсурдными являются разные утверждения о влиянии компьютерных вирусов на пользователей компьютеров.

Основные источники вирусов:

• дискета, на которой находятся зараженные вирусом файлы;
• компьютерная сеть, в том числе система электронной почты и Internet;
• жесткий диск, на который попал вирус в результате работы с зараженными программами;
• вирус, оставшийся в оперативной памяти после предшествующего пользователя.

Основные ранние признаки заражения компьютера вирусом:

• уменьшение объема свободной оперативной памяти;
• замедление загрузки и работы компьютера;
• непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов;
• ошибки при загрузке операционной системы;
• невозможность сохранять файлы в нужных каталогах;
• непонятные системные сообщения, музыкальные и визуальные эффекты и т.д.

Признаки активной фазы вируса:

• исчезновение файлов;
• форматирование жесткого диска;
• невозможность загрузки файлов или операционной системы.

Существует очень много разных вирусов. Условно их можно классифицировать следующим образом:

1) загрузочные вирусы или BOOT-вирусы заражают boot-секторы дисков. Очень опасные, могут привести к полной потере всей информации, хранящейся на диске;

2) файловые вирусы заражают файлы. Делятся на:

• вирусы, заражающие программы (файлы с расширением.EXE и.COM);
• макровирусы вирусы , заражающие файлы данных, например, документы Word или рабочие книги Excel;
• вирусы-спутники используют имена других файлов;
  
• вирусы семейства DIR искажают системную информацию о файловых структурах;

3) загрузочно-файловые вирусы способные поражать как код boot-секторов, так и код файлов;

4) вирусы-невидимки или STEALTH-вирусы фальсифицируют информацию прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах;

5) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать нетрудоспособными;

6) вирусы-черви снабжают небольшие сообщения электронной почты, так называемым заголовком, который по своей сути есть Web-адресом местонахождения самого вируса. При попытке прочитать такое сообщение вирус начинает считывать через глобальную сеть Internet свое "тело" и после загрузки начинает деструктивное действие. Очень опасные, так как обнаружить их очень тяжело, в связи с тем, что зараженный файл фактически не содержит кода вируса.

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

• резервное копирование информации (создание копий файлов и системных областей жестких дисков);
• избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;
• перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;
• ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с нее.

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус. Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Различают такие типы антивирусных программ:

1) программы-детекторы : предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари : предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры : предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры : предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры : предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины : используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы. На сегодняшний день существует большое количество разнообразных антивирусных программ. Рассмотрим коротко, распространенные в странах СНГ.

Как наша компьютерная помощь производит лечение от компьютерных вирусов

С помощью специализированного программного обеспечения осуществляется поиск компьютерных вирусов, а затем их удаление (уничтожение) или нейтрализация. В случае невозможности лечения, зараженные компьютерными вирусами файлы могут либо удаляться, либо помещаться в "карантин", это обговаривается с клиентом заранее. Антивирус в данном случае не устанавливается на жесткий диск клиента, а носитель с файлами подключается к диагностическому центру. В некоторых особо тяжелых случаях после процедуры удаления компьютерных вирусов может потребоваться перестановка некоторых приложения и даже операционной системы в целом, что не входит в услугу по лечению от вирусов.

Стоимость лечения от вирусов зависит от многих факторов, таких как степень зараженности компьютера, технические характеристики компьютера, его быстродействие, заполненный объем памяти жесткого диска и общее количество файлов. Минимальная стоимость лечения компьютера от вирусов составляет 500 рублей. Точную стоимость лечения компьютера от вирусов Вам сообщит наш оператор по телефону 292-23-27.

Новосибирская компьютерная помощь оказывает услуги по ремонту компьютеров, восстановлению данных, лечению компьютерных вирусов, установке Windows, установке драйверов, настройке ноутбуков, восстановлению информации, фотографий с карт памяти в Новосибирске

Компьютерный вирус - это вредоносная программа, способная к саморазмножению и выполнению деструктивных действий. Вирусы обычно попадают в ваш компьютер под маской чего-нибудь привлекательного или полезного. Действуют они только программным путем: присоединяются к файлу и уже вместе с зараженным файлом проникают в компьютер. Есть вирусы, которые после заражения остаются в оперативной памяти компьютера. В этом случае они продолжают вредить другим загружаемым файлам и программам до завершения работы среды, в которой данные вирусы выполняются. Такие вирусы называются резидентными. Другая разновидность вирусов после запуска производит разовый поиск жертв, после чего завершает работу и передает управление зараженному файлу. Действие вирусов может проявляться по-разному: от визуальных эффектов, мешающих работать, до полной потери информации.

Основные источники вируса

Вирус может попасть в ваш компьютер несколькими способами. Во-первых, через флэш-накопитель (или дискету), на котором находятся зараженные файлы. Еще один вариант - через компьютерную сеть, в том числе систему электронной почты и Интернет. Источником может служить жесткий диск, на который попал вирус в результате работы с зараженными программами. Кроме того, установка заражённой операционной системы также приведет к попадантю вредоносной программы на ваш компьютер.

Сам процесс распространения вируса может быть разделен на несколько стадий. В начале вирус проникает в компьютер. После этого происходит его активация и начинается поиск объектов заражения. Затем следует стадия подготовки вирусных копий и дальнейшее их внедрение в программы компьютера.
Узнать о попадании на ваш компьютер вируса можно по ряду признаков. На ранней стадии заражения происходит уменьшение объема свободной оперативной памяти, или же замедление загрузки и работы компьютера. Непонятные изменения в файлах, невозможность сохранять файлы в нужных каталогах, непонятные системные сообщения, музыкальные и визуальные эффекты - все это также служит сигналом о попадании на ваш компьютер вируса. Во время активной фазы происходит исчезновение файлов, невозможность их загрузки, а также загрузки операционной системы. Кроме того, при заражении компьютера вирусом может происходить форматирование жесткого диска.

Классификация вирусов

На сегодняшний день известно около 50 тыс. компьютерных вирусов. В зависимости от характерных свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. В связи с этим возникает вопрос о классификации вредоносных программ. Специалисты условно выделяют следующие типы вирусов.

Загрузочные вирусы

Данный тип вирусов заражает загрузочные сектора постоянных и съемных носителей. Часто вирус не помешается целиком в загрузочной записи: туда пишется только его начало, а тело вируса сохраняется в другом месте диска. После запуска остается в памяти резидентно.

Файловые вирусы

Данные вирусы заражают файлы. Эта группа дополнительно делится на три, в зависимости от среды, в которой выполняется вирусный код:

Собственно файловые вирусы - те, которые непосредственно работают с ресурсами операционной системы. Поражают файлы с расширением.com, .ехе.

Макровирусы - вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.

Скрипт-вирусы - вирусы, исполняемые в среде определенной командной оболочки: раньше - bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH).

Вирусы-невидимки

Данный вид носит также название stealth-вируса. Главная особенность вируса-невидимки состоит в том, что вирус, находясь постоянно в памяти компьютера, перехватывает обращения к зараженному файлу и на ходу удаляет из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом stealth-вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств операционной системы.

Существует несколько способов того, как можно предотвратить заражение и его разрушительные последствия. К примеру, вы можете провести резервное копирование информации, либо постараться не использовать случайные и неизвестные программы. Вы также можете установить на своем компьютере антивирус. Здесь выбор большой: от платных профессиональных антивирусных пакетов до .

Источники вирусов

компьютерный вирус программа червь

На данный момент существует множество источников, откуда возможно получение вируса:

1. Глобальные сети - электронная почта

2. Электронные конференции, файл-серверы ftp и BBS

3. Локальные сети

4. Пиратское программное обеспечение

5. Персональные компьютеры "общего пользования"

6. "Случайные" пользователи компьютера

Проще всего вирусы распространяются во вложениях сообщений электронной почты и мгновенных сообщений. Поэтому очень важно никогда не открывать вложения, если вы не ожидали их получить или не знаете, кто их отправил.

Вирусы могут распространяться под видом забавных картинок, поздравительных открыток, звуковых и видеофайлов.

Кроме того, их можно загрузить из Интернета вместе с нелицензионным программным обеспечением или другими файлами и программами.

А как определить, имеется ли в вашем компьютере вирус? Это возможно узнать с помощью следующих признаков.

Признаки проявления вирусов:

1. Неправильная работа нормально работавших программ;

2. Медленная работа компьютера;

3. Частые зависания и сбои в работе компьютера;

4. Изменение размеров файлов;

5. Исчезновение файлов и папок;

6. Неожиданное увеличение количества файлов на диске;

7. Уменьшение размеров свободной оперативной памяти;

8. Вывод на экран неожиданных сообщений и изображений;

9. Подача непредусмотренных звуковых сигналов;

10. Невозможность загрузки операционной системы.

И конечно же, для предотвращения заражения компьютера вирусами важно своевременно устанавливать последние обновления и антивирусные средства, быть в курсе последних угроз (EN) и следовать основным правилам при работе в Интернете, загрузке файлов и открытии вложений.

Неважно, какую разновидность имеет вирус и как он попал на компьютер, прежде всего следует удалить его и предотвратить дальнейшее заражение.

А при помощи каких программ "спасти" свой компьютер от вирусов вы найдёте в следующей главе.

Разновидности антивирусных программ

Антивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой -- достаточно большой, чтобы избежать ложных срабатываний (когда "свой" воспринимается как "чужой", и наоборот).

Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.

Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.

Рис. 1.

Принцип эмуляции процессора демонстрируется на рис. 1. Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.

Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, -- это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа "вирус или не вирус?".

В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.

Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.

При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

Классификация антивирусных программ

Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).

Рис. 2.

Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты -- сканерами.

Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт -- это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения -- это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker -- ревизор изменений на основе контрольных сумм -- может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

Обзор наиболее популярных персональных антивирусов

В обзор вошли наиболее популярные антивирусы для персонального использования от пяти известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.

Антивирус Касперского

Personal Pro v. 4.0

Разработчик: "Лаборатория Касперского". Web-сайт: http://www.kaspersky.ru/. Цена 69 долл. (лицензия на 1 год).

Антивирус Касперского Personal Pro (рис. 3) -- одно из наиболее популярных решений на российском рынке и содержит целый ряд уникальных технологий.

Рис. 3.

Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

Разработчик: "Лаборатория Данилова" и "ДиалогНаука". Web-сайт: http://www.dialognauka.ru/, http://www.Dr.Web.ru/.

Цена 50 долл. (лицензия на 1 год).

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Известный антивирус (рис. 4) представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, интегрированного в операционную систему компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.

Рис. 4.

Программа построена по модульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды. Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.

Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.

Сторож SpIDer осуществляет анализ всех опасных действий работающих программ и блокирует вирусную активность практически всех известных и еще неизвестных вирусов. Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает все виды вирусной активности. Данная технология позволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможет быть определен сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда других существующих резидентных сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым быстро утомляющих пользователя своей назойливой подозрительностью, SpIDer проводит эвристический анализ по совокупности вирусоподобных действий, что позволяет избежать большинства случаев ложных реакций на вирус.

Ознакомительную версию программы Dr.Web32 можно получить по адресу http://www.dialognauka.ru/download/. По сравнению с полнофункциональной коммерческой версией она имеет следующие ограничения:

при старте выдается сообщение о том, что версия является ознакомительной;

не проверяются архивы и почтовые файлы;

невозможно лечение зараженных файлов.

Чтобы превратить ознакомительную версию в полнофункциональную рабочую, ее необходимо зарегистрировать и получить регистрационный ключ. Подробную информацию об условиях приобретения индивидуальных ключей для программы Dr.Web32 можно получить по адресу: http://www.dialognauka.ru/commerce/.

Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/.

Цена 89,95 евро.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Norton AntiVirus 2003 Professional Edition (рис. 5) компании Symantec"s является одним из наиболее надежных и продаваемых решений в мире. Последняя версия программы имеет ряд новых возможностей: защиту от вирусов в приложениях Instant messenger; блокировку червей (Worm Blocking), которая позволяет защитить исходящую почту и предотвратить инфицирование компьютеров третьих лиц, а также парольную защиту настройки опций в Norton AntiVirus. Системы Worm Blocking (блокирование червей) и Script Blocking (блокирование скриптов) способны предотвращать угрозы от еще неизвестных вирусов, что позволяет проводить профилактику быстро распространяющихся вирусов-червей типа "I Love You" или "Anna Kournikova" даже в промежутке между обновлениями базы вирусных описаний.

Рис. 5.

Norton AntiVirus 2003 сканирует входящие вложения сообщений Instant Message. Сканер сообщений Instant Messaging scanning поддерживает Yahoo! Instant Messenger, AOL Instant Messenger, MSN Messenger и Windows Messenger. Norton Antivirus обеспечивает надежную защиту входящей и исходящей почты, не требуя от пользователя дополнительных действий.

Эксклюзивная эвристическая модель блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность детектировать почтовых червей, не допуская их попадания в рассылку. В дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2003 позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая работы.

Единственным недостатком данного продукта является его достаточно высокая цена.

Разработчик: McAfee Associates. Web-сайт: http://www.mcafee.ru/.

Цена 40 долл.

Программа работает под управлением Microsoft Windows 95/98/Mе/NT4/2000/XP.

Загрузить 30-дневную версию можно по адресу: http://www.mcafee.ru/reg.html.

McAfee VirusScan Professional 6.0 (рис. 6) обеспечивает обнаружение и удаление около 60 тыс. вирусов, троянских программ, червей, вредоносных Java-аплетов и ActiveX.

Особенности программы:

постоянная проверка всех точек входа, включая сетевые диски, CD-ROM, электронную почту и загружаемые из Интернета файлы;

ядро обнаружения подозрительной активности сигнализирует о необычных действиях, предотвращая разрушительныеипоследствия и обеспечивая бесперебойную работу ПК;

Рис.6.

автоматическое обновление антивирусных баз через Интернет;

сканирование при синхронизации с карманными компьютерами (PDA);

модуль для Palm OS для обеспечения полной защиты карманного компьютера;

Shredder -- безопасное удаление конфиденциальной информации с дисков ПК;

QuickClean Lite -- удаление ненужных файлов и программ с диска, очистка реестра Windows;

гибкие возможности настройки расписания сканирования;

передача подозрительных файлов в AVERT для получения оперативной помощи при обнаружении неизвестных вирусов;

возможность помещения зараженных файлов в карантин для обеспечения их полной изоляции;

бесплатная техническая поддержка по электронной почте или в режиме реального времени (Chat);

новый, значительно усовершенствованный и легко настраиваемый интерфейс делает защиту компьютера более простой и очевидной.

Разработчик: Panda Software. Web-сайт: http://www.pandasoftware.com/.

Цена 39,95 долл.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Panda Antivirus Titanium (рис. 7) надежно защищает от вирусов, троянских коней, червей, вредоносных ActiveX- и Java-аплетов, а также имеет эвристическую технологию, способную защитить от неизвестных вирусов, которые могут появиться в будущем.Программа имеет автоматизированную систему обновлений и специальную технологию для защиты от вирусов, проникающих на ваш компьютер посредством электронной почты.

Рис. 7.

Одна из основных задач, которая ставилась перед разработчиками Panda Antivirus Titanium, заключалась в создании продукта для домашних пользователей, обладающего максимально дружественным интерфейсом, основанном на принципе "включил и забыл".

Panda Antivirus Titanium производит обновления в фоновом режиме без запроса к пользователю. Каждый раз, когда вы подключаетесь к Интернету, программа автоматически производит обновление антивирусных баз данных.

Новый высокоскоростной антивирусный "движок" -- new UltraFast virus scan engine -- один из наиболее быстрых и экономичных на рынке.

Программа дает возможность избежать неприятных сюрпризов при работе с почтой или при скачивании Интернет-файлов. Технология Panda Antivirus Titanium позволяет обнаружить и удалить вирус в почтовом послании до того, как вы его откроете, так что вирус не сможет проникнуть на ваш компьютер. Panda Antivirus Titanium работает с большинством наиболее распространенных почтовых клиентов, доступных сегодня на рынке: Microsoft Outlook, Outlook Express, Eudora, Pegasus, MSN Mail, Netscape Mail.

Многие современные вирусы не только инфицируют файлы, но и изменяют параметры операционной системы. Panda Antivirus Titanium обладает собственной технологией SmartClean technology, позволяющей исправлять даже серьезные повреждения, нанесенные вирусом, в сложных случаях.

Наличие клиентов из 40 стран позволяет оперативно обновлять антивирусные базы на основе вирусов, появляющихся в разных концах света.

В работе указаны наиболее популярные решения, однако число антивирусных программ этим не ограничивается, в таблице перечислены антивирусные программы, которые, наряду с рассмотренными, входят в десятку наиболее популярных в мире антивирусных программ.

Таблица. Популярные антивирусные программы, не вошедшие в обзор

Е. КАСПЕРСКИЙ и Д. ЗЕНКИН

Вспыхнувшая в мае этого года эпидемия компьютерного вируса "LoveLetter" ("Любовные письма") еще раз подтвердила опасность, которую таит в себе подобная "компьютерная фауна". Проникнув в сотни тысяч компьютеров по всему миру, вирус уничтожил огромное количество важной информации, буквально парализовав работу крупнейших коммерческих и государственных организаций.

Так выглядят "любовные письма", рассылаемые вирусом "LoveLetter" no электронной почте. Чтобы запустить вирус, достаточно нажать на иконку.

Такой рисунок показывает вирус "Tentacle" ("Щупальце") при попытке просмотреть любой файл с расширением GIF на зараженных компьютерах. Надпись на рисунке: "Я вирус Щупальце".

Вирус "Marburg" показывает эти прелестные крестики и... удаляет файлы с дисков.

Скрипт-вирус "Monopoly" поиздевался над главой компании Microsoft Биллом Гейтсом. Помимо показа забавной картинки вирус незаметно отсылает с компьютера секретную информацию.

К сожалению, феномен "компьютерного вируса" до сих пор вызывает скорее суеверный трепет, нежели желание трезво разобраться в ситуации и принять меры безопасности. Какие они - эти вирусы? Насколько они опасны? Какие методы антивирусной защиты существуют сегодня и насколько они эффективны? На эти и другие темы рассуждают специалисты ведущего российского производителя антивирусных программ "Лаборатории Касперского".

ЧТО ТАКОЕ КОМПЬЮТЕРНЫЙ ВИРУС?

На этот, казалось бы, простой вопрос до сих пор не найден однозначный ответ. В специализированной литературе можно найти сотни определений понятия "компьютерный вирус", при этом многие из них различаются чуть ли ни диаметрально. Отечественная "вирусология" обычно придерживается следующего определения: компьютерным вирусом называется программа, без ведома пользователя внедряющаяся в компьютеры и производящая там различные несанкционированные действия. Это определение было бы неполным, если бы мы не упомянули еще одно свойство, обязательное для компьютерного вируса. Это его способность "размножаться", то есть создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Причем дубликаты вируса могут и не совпадать с оригиналом.

Способность вирусов к "размножению" вызывает у некоторых людей желание сравнивать их с "особой формой жизни" и даже наделять эти программы неким "злым интеллектом", заставляющим их совершать мерзкие выходки ради достижения поставленной цели. Однако это не более чем вымысел и игра фантазии. Подобное восприятие событий напоминает средневековые представления о злых духах и ведьмах, которых никто не видел, но все боялись. "Размножение" вирусов ничем не отличается от, например, копирования программой файлов из одной директории в другую. Отличие лишь в том, что эти действия производятся без ведома пользователя, то есть на экране не появляется никаких сообщений. Во всем остальном вирус - самая обычная программа, использующая те или иные команды компьютера.

Компьютерные вирусы - один из подвидов большого класса программ, называемых вредоносными кодами. Сегодня эти понятия часто отождествляют, однако, с научной точки зрения это не верно. В группу вредоносных кодов входят также так называемые "черви" и "Троянские кони". Их главное отличие от вирусов в том, что они не могут "размножаться".

Программа-червь распространяется по компьютерным сетям (локальным или глобальным), не прибегая к "размножению". Вместо этого она автоматически, без ведома пользователя, рассылает свой оригинал, например, по электронной почте.

"Троянские" программы вообще лишены каких-либо встроенных функций распространения: они попадают на компьютеры исключительно "с помощью" своих авторов или лиц, незаконно их использующих. Вспомним "Илиаду" Гомера. После многих безуспешных попыток взять Трою штурмом, греки прибегли к хитрости. Они построили статую коня и оставили ее троянцам, сделав вид, что отступают. Однако конь был внутри пустым и скрывал отряд греческих солдат. Троянцы, поклонявшиеся божеству в образе коня, сами втащили статую в ворота города. "Троянские" программы используют похожий способ внедрения: они попадают в компьютеры под видом полезных, забавных и, зачастую, весьма прибыльных программ. Например, пользователю приходит письмо по электронной почте с предложением запустить присланный файл, где лежит, скажем, миллион рублей. После запуска этого файла в компьютер незаметно попадает программа, совершающая различные нежелательные действия. Например, она может шпионить за владельцем зараженного компьютера (следить, какие сайты он посещает, какие использует пароли для доступа в Интернет и т. п.) и затем отсылать полученные данные своему автору.

В последнее время участились случаи появления так называемых "мутантов", то есть вредоносных кодов, сочетающих в себе особенности сразу нескольких классов. Типичный пример - макровирус "Melissa", вызвавший крупную эпидемию в марте прошлого года. Он распространялся по сетям как классический Интернет-червь. "LoveLetter" - также помесь сетевого червя и вируса. В более сложных случаях вредоносная программа может содержать в себе характеристики всех трех типов (таков, например, вирус "BABYLONIA").

ПРОИСХОЖДЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

Как это ни странно, идея компьютерных вирусов возникла задолго до появления персональных компьютеров. В1959 году американский ученый Л. С. Пенроуз (L. С. Penrose) опубликовал в журнале "Scientific American" статью, посвященную самовоспроизводящимся механическим структурам. В этой статье была описана простейшая модель двухмерных структур, способных к активации, размножению, мутациям, захвату. Вскоре исследователь из США Ф. Г. Сталь (F. G. Stahl) реализовал эту модель с помощью машинного кода на IBM 650.

В те времена компьютеры были огромными, сложными в эксплуатации и чрезвычайно дорогими машинами, поэтому их обладателями могли стать лишь крупные компании или правительственные вычислительные и научно-исследовательские центры. Но вот 20 апреля 1977 года с конвейера сходит первый "народный" персональный компьютер Apple II. Цена, надежность, простота и удобство в работе предопределили его широкое распространение в мире. Общий объем продаж компьютеров этой серии составил более трех миллионов штук (без учета его многочисленных копий, таких, как Правец 8М/С, Агат и др.), что на порядок превышало количество всех других ЭВМ, имевшихся в то время. Тем самым доступ к компьютерам получили миллионы людей самых различных профессий, социальных слоев и склада ума. Неудивительно, что именно тогда и появились первые прототипы современных компьютерных вирусов, ведь были выполнены два важнейших условия их развития - расширение "жизненного пространства" и появление средств распространения.

В дальнейшем условия становились все более и более благоприятными для вирусов. Ассортимент доступных рядовому пользователю персональных компьютеров расширялся, помимо гибких 5-дюймовых магнитных дисков появились жесткие, бурно развивались локальные сети, а также технологии передачи информации при помощи обычных коммутируемых телефонных линий. Возникли первые сетевые банки данных BBS (Bulletin Board System), или "доски объявлений", значительно облегчавшие обмен программами между пользователями. Позднее многие из них переросли в крупные онлайновые справочные системы (CompuServe, AOL и др.). Все это способствовало выполнению третьего важнейшего условия развития и распространения вирусов - стали появляться отдельные личности и группы людей, занимающиеся их созданием.

Кто пишет вирусные программы и зачем? Этот вопрос (с просьбой указать адрес и номер телефона) особенно волнует тех, кто уже подвергся вирусной атаке и потерял результаты многолетней кропотливой работы. Сегодня портрет среднестатистического "вирусописателя" выглядит так: мужчина, 23 года, сотрудник банка или финансовой организации, отвечающий за информационную безопасность или сетевое администрирование. Однако по нашим данным, его возраст несколько ниже (14-20 лет), он учится или не имеет занятия вообще. Главное, что объединяет всех создателей вирусов - это желание выделиться и проявить себя, пусть даже на геростратовом поприще. В повседневной жизни такие люди часто выглядят трогательными тихонями, которые и мухи не обидят. Вся их жизненная энергия, ненависть к миру и эгоизм находят выход в создании мелких "компьютерных мерзавцев". Они трясутся от удовольствия, когда узнают, что их "детище" вызвало настоящую эпидемию в компьютерном мире. Впрочем, это уже область компетенции психиатров.

90-е годы, ознаменовавшиеся расцветом глобальной сети Интернет, оказались наиболее благодатным временем для компьютерных вирусов. Сотни миллионов людей по всему миру волей-неволей сделались "пользователями", а компьютерная грамотность стала почти так же необходима, как умение читать и писать. Если раньше компьютерные вирусы развивались в основном экстенсивно (то есть росло их число, но не качественные характеристики), то сегодня благодаря совершенствованию технологий передачи данных можно говорить об обратном. На смену "примитивным предкам" приходят все более "умные" и "хитрые" вирусы, гораздо лучше приспособленные к новым условиям обитания. Сегодня вирусные программы уже не ограничиваются порчей файлов, загрузочных секторов или проигрыванием безобидных мелодий. Некоторые из них способны уничтожать данные на микросхемах материнских плат. При этом технологии маскировки, шифрации и распространения вирусов подчас удивляют даже самых бывалых специалистов.

КАКИЕ БЫВАЮТ ВИРУСЫ

На сегодняшний день зарегистрировано около 55 тысяч компьютерных вирусов. Их число постоянно растет, появляются совершенно новые, ранее неизвестные типы. Классифицировать вирусы становится труднее год от года. В общем случае их можно разделить на группы по следующим основным признакам: среда обитания, операционная система, особенности алгоритма работы. Согласно этим трем классификациям известный вирус "Чернобыль", к примеру, можно отнести к файловым резидентным неполиморфичным Windows-вирусам. Поясним подробнее, что это значит.

1. Среда обитания

В зависимости от среды обитания различают файловые, загрузочные и макровирусы.

Поначалу самой распространенной формой компьютерной "заразы" были файловые вирусы , "обитающие" в файлах и папках операционной системы компьютера. К ним относятся, например, "overwriting"-вирусы (от англ. "записывать поверх"). Попадая в компьютер, они записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Однако это довольно примитивные вирусы: они, как правило, очень быстро себя обнаруживают и не могут стать причиной эпидемии.

Еще более "хитро" ведут себя "companion"-вирусы (от англ. "приятель", "компаньон"). Они не изменяют сам файл, но создают для него файл-двойник таким образом, что при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Например, "companion"-вирусы, работающие под DOS, используют особенность этой операционной системы в первую очередь выполнять файлы с расширением СОМ, а потом уже с расширением ЕХЕ. Такие вирусы создают для ЕХЕ-файлов двойники, имеющие то же самое имя, но с расширением СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске зараженного файла DOS первым обнаружит и выполнит именно СОМ-файл, то есть вирус, а уже потом вирус запустит файл с расширением ЕХЕ.

Иногда "соmpanion"-вирусы просто переименовывают заражаемый файл, а под старым именем записывают на диск свой собственный код. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске файла управление получает код вируса, который затем уже запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Подобного типа вирусы были обнаружены во многих операционных системах - не только в DOS, но и в Windows и OS/2.

Есть и другие способы создавать файлы-двойники. Например, вирусы типа "path-companion" "играют" на особенностях DOS PATH - иерархической записи местоположения файла в системе DOS. Вирус копирует свой код под именем заражаемого файла, но помещает его не в ту же директорию, а на один уровень выше. В этом случае DOS первым обнаружит и запустит именно файл-вирус.

Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. Эти вирусы заражают загрузочный сектор (boot-сектор) дискеты или винчестера - специальную область на диске, содержащую программу начальной загрузки компьютера. Если изменить содержимое загрузочного сектора, то, возможно, вы даже не сможете запустить ваш компьютер.

Макровирусы - разновидность компьютерных вирусов, созданных при помощи макроязыков, встроенных в популярные офисные приложения наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw и др. (см. "Наука и жизнь" № 6, 2000 г.). Макроязыки используются для написания специальных программ (макросов), позволяющих повысить эффективности работы офисных приложений. Например, в Word можно создать макрос, автоматизирующий процесс заполнения и рассылки факсов. Тогда пользователю достаточно будет ввести данные в поля формы и нажать на кнопку - все остальное макрос сделает сам. Беда в том, что, кроме полезных, в компьютер могут попасть и вредоносные макросы, обладающие способностью создавать свои копии и совершать некоторые действия без ведома пользователя, например изменять содержание документов, стирать файлы или директории. Это и есть макровирусы.

Чем шире возможности того или иного макроязыка, тем более хитрыми, изощренными и опасными могут быть написанные на нем макровирусы. Самый распространенный сегодня макроязык - Visual Basic for Applications (VBA). Его возможности стремительно возрастают с каждой новой версией. Таким образом, чем более совершенными будут офисные приложения, тем опаснее будет в них работать. Поэтому макровирусы представляют сегодня реальную угрозу компьютерным пользователям. По нашим прогнозам, с каждым годом они будут становиться все более неуловимыми и опасными, а скорость их распространения скоро достигнет небывалых величин.

2. Используемая операционная система .

Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем - DOS, Windows, OS/2, Linux, MacOS и т.д. На этом основан второй способ классификации вирусов. Например, вирус "BOZA", работающий только в Windows и нигде более, относится к Windows-вирусам. Вирус "BLISS" - к Linux-вирусам и т.д.

3. Алгоритмы работы.

Вирусы можно также различать по используемым ими алгоритмам работы, то есть различным программным хитростям, делающим их столь опасными и трудноуловимыми.

Во-первых, все вирусы можно разделить на резидентные и нерезидентные . Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остается в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны "размножаться" только если их запустить.

К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы зараженного ими приложения.

Во-вторых, вирусы бывают видимыми и невидимыми . Для простого обывателя невидимость вируса - пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. "Невидимость" заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только "чистые" программы, в то время как вирус незаметно вершит свое "черное дело". Одним из первых файловых вирусов-невидимок был "Frodo", а первым загрузочным невидимкой - вирус "Brain".

Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности , то есть они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только "в лицо", то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.

МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

Необходимо помнить главное условие борьбы с компьютерными вирусами - не паниковать. Круглосуточно на страже компьютерной безопасности находятся тысячи высококлассных антивирусных специалистов, профессионализм которых многократно превосходит совокупный потенциал всех компьютерных хулиганов - хакеров. В России антивирусными исследованиями занимаются две компьютерные компании - "Лаборатория Касперского" (www.avp.ru) и "СалД" (www.drweb.ru).

Для того чтобы успешно противостоять попыткам вирусов проникнуть в ваш компьютер, необходимо выполнять два простейших условия: соблюдать элементарные правила "компьютерной гигиены" и пользоваться антивирусными программами.

С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и насколько они эффективны по отношению к различным типам вирусов.

На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности.

1. Антивирусные сканеры.

Пионер антивирусного движения - программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

Главный недостаток сканера - неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса "Melissa", и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.

Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов - эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.

И, наконец, третий недостаток антивирусного сканера - он проверяет файлы только тогда, когда вы его об этом "попросите", то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из Интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.

2. Антивирусные мониторы.

По своей сути антивирусные мониторы - это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

3. Ревизоры изменений.

Работа этого вида антивирусных программ основана на снятии оригинальных "отпечатков" (CRC-сумм) с файлов и системных секторов. Эти "отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет "отпечатки" с их оригиналами и сообщает пользователю о произошедших изменениях.

У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска - чем чаще это делать, тем надежнее будет контроль за вирусной активностью.

4. Иммунизаторы.

Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Например, чтобы предотвратить заражение СОМ-файла вирусом "Jerusalem" достаточно дописать в него строку MsDos. А для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена и можно ею не заниматься.

Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

5. Поведенческие блокираторы.

Все перечисленные выше типы антивирусов не решают главной проблемы - защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока производители антивирусов не разработают противоядия. Иногда на это уходит несколько недель. За это время можно потерять всю важную информацию.

Однозначно ответить на вопрос "что же делать с неизвестными вирусами?" нам удастся лишь в грядущем тысячелетии. Однако уже сегодня можно сделать некоторые прогнозы. На наш взгляд, наиболее перспективное направление антивирусной защиты - это создание так называемых поведенческих блокираторов. Именно они способны практически со стопроцентной гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это программа, постоянно находящаяся в оперативной памяти компьютера и "перехватывающая" различные события в системе. В случае обнаружения "подозрительных" действий (которые может производить вирус или другая вредоносная программа), блокиратор запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор не ищет код вируса, но отслеживает и предотвращает его действия.

Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса. Но проблема заключается в том, что "вирусоподобные" действия может производить и сама операционная система, а также полезные программы. Поведенческий блокиратор (здесь имеется в виду "классический" блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто именно выполняет подозрительное действие - вирус, операционная система или какая-либо программа, и поэтому вынужден спрашивать подтверждения у пользователя. Таким образом пользователь, принимающий конечное решение, должен обладать достаточными знаниями и опытом для того, чтобы дать правильный ответ. Но таких людей мало. Именно поэтому блокираторы до сих пор не стали популярными, хотя сама идея их создания появилась довольно давно. Достоинства этих антивирусных программ зачастую становились их недостатками: они казались слишком навязчивыми, утруждая пользователя своими постоянным запросами, и пользователи их просто удаляли. К сожалению, эту ситуацию может исправить лишь использование искусственного интеллекта, который самостоятельно разбирался бы в причинах того или иного подозрительного действия.

Однако уже сегодня поведенческие блокираторы могут успешно применяться для борьбы с макровирусами. В программах, написанных на макроязыке VBA, можно с очень большой долей вероятности отличать вредоносные действия от полезных. В конце 1999 года "Лаборатория Касперского" разработала уникальную систему защиты от макровирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора, - AVP Office Guard. Благодаря проведенному анализу поведения макровирусов, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу блокиратора новую высокоинтеллектуальную систему фильтрации действий макросов, практически безошибочно выявляющую те из них, которые представляют собой реальную опасность. Благодаря этому блокиратор AVP Office Guard, с одной стороны, задает пользователю гораздо меньше вопросов и не столь "навязчив", как его файловые собратья, а с другой - практически на 100% защищает компьютер от макровирусов как известных, так и еще не написанных.

AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макровирусов, то есть вирусов, способных работать сразу в нескольких приложениях. Кроме того, программа AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе и с почтовыми программами. Тем самым исключается возможность распространения макровирусов через электронную почту. А ведь именно таким способом в мае этого года вирус "LoveLetter" поразил десятки тысяч компьютеров по всему миру.

Эффективность блокиратора была бы нулевой, если бы макровирусы могли произвольно отключать его. (В этом состоит один из недостатков антивирусной защиты, встроенной в приложения MS Office.) В AVP Office Guard заложен новый механизм противодействия атакам макровирусов на него самого с целью его отключения и устранения из системы. Сделать это может только сам пользователь. Таким образом, использование AVP Office Guard избавит вас от вечной головной боли по поводу загрузки и подключения обновлений антивирусной базы для защиты от новых макровирусов. Однажды установленная, эта программа надежно защитит компьютер от макровирусов вплоть до выхода новой версии языка программирования VBA с новыми функциями, которые могут быть использованы для написания вирусов.

Хотя поведенческий блокиратор и решает проблему обнаружения и предотвращения распространения макровирусов, он не предназначен для их удаления. Поэтому его надо использовать совместно с антивирусным сканером, который способен успешно уничтожить обнаруженный вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прерывая работу компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

ПРАВИЛА "КОМПЬЮТЕРНОЙ ГИГИЕНЫ"

" Ни в коем случае не открывайте файлы, присылаемые по электронной почте неизвестными вам людьми. Даже если адресат вам известен - будьте осторожны: ваши знакомые и партнеры могут и не подозревать, что в их компьютере завелся вирус, который незаметно рассылает свои копии по адресам из их адресной книги.

" Обязательно проверяйте антивирусным сканером с максимальным уровнем проверки все дискеты, компакт-диски и другие мобильные носители информации, а также файлы, получаемые из сети Интернет и других публичных ресурсов (BBS, электронных конференций и т. д.).

" Проводите полную антивирусную проверку компьютера после получения его из ремонтных служб. Ремонтники пользуются одними и теми же дискетами для проверки всех компьютеров - они очень легко могут занести "заразу" с другой машины!

" Своевременно устанавливаете "заплатки" от производителей используемых вами операционных систем и программ.

" Будьте осторожны, допуская других пользователей к вашему компьютеру.

" Для повышения сохранности ваших данных периодически проводите резервную архивацию информации на независимые носители.