Шкідливе програмне забезпечення

Спливаюче вікно  Автоматична перевірка дозволяє конфігурувати IBM AntiVirus / DOS для виконання автоматичної перевірки системи.

Ви можете вказати  програмі IBM AntiVirus / DOS, щоб вона перевіряла DOS при її запуску - щодня, щотижня  або щомісяця.

Якщо при  роботі в текстовому процесорі Word for Windows ви раптом виявили, що не можете зберегти свій файл, знайте: у вас завівся вірус. На сьогоднішній день цим вірусом заражено 90% всіх комп'ютерів. На щастя, добрі люди написали антивірус. Він представляє собою файл з розширенням DOC, в якому міститься текст програми в якій є спеціальна кнопочка. Клацніть нею, і антивірус зробить свою справу.

IBM AntiVirus використовує  виявлення змін для вирішення  двох задач. Перш за все,  це є відправною точкою для  евристичного аналізу і виявлення  нових вірусів. Крім того, це прискорює виявлення нових вірусів. Для інфікування файлів і завантажувальних записів віруси повинні їх змінити. Якщо вчора при перевірці файл не був інфікований і з учорашнього дня не змінився, то можна зробити висновок, що і сьогодні вірусу в цьому файлі немає. При стандартному використанні програми IBM AntiVirus перевіряються на вже відомі віруси лише змінені і нові файли. Упевнитися, що файл змінився або що це новий файл, можна набагато швидше, ніж перевірити його на вже відомі віруси. Цей метод прискорює процес перевірки.

При перевірці  файлів і завантажувальних записів  на відомі віруси IBM AntiVirus використовує метод, званий «невизначене сканування». Цей метод сканування, застосовуваний IBM AntiVirus, передбачає пошук послідовностей байтів, що свідчать про наявність вірусу. Саме так працює більшість сканерів. Крім того, цей метод дозволяє виявити послідовності байтів, які майже (але не повністю) збігаються з шуканими. Неточна відповідність може свідчити про наявність штаму відомого вірусу, і при відображенні звіту про зараження вірусами IBM AntiVirus повідомляє, що файл або завантажувальна запис можуть бути інфіковані. Вам буде надана можливість видалення всіх подібних вірусів. Цей спосіб дозволяє програмі IBM AntiVirus виявити і правильно ідентифікувати цілий ряд нових варіантів вірусу. Однак при відсутності додаткових заходів це «неточне збіг» може призвести до помилкових сигналів тривоги. IBM AntiVirus забезпечує високу надійність ідентифікації вірусів. Для цього використовується вдосконалений метод усунення помилкових сигналів тривоги.

15 лютого 1996 компанія Microsoft оголосила, що користувачі  Windows 95 мають проявляти обережність  при завантаженні на свій комп'ютер  програм з Internet та он-лайнових  служб, так як з'явився перший  вірус, що заражає програми для Windows'95. Диски також можуть служити переносником вірусу. За даними компанії Symantec, вірус має австралійське походження і вражає 32-розрядні використовувані файли. Вірус отримав одразу два найменування: Boza і Bizateh. 7 лютого стало відомо про друге вірус для Windows'95, що отримав назву Chavez.

Функції IBM AntiVirus не обмежуються виявленням вже відомих  вірусів. За допомогою евристичного аналізу ця програма виявляє також  і раніше невідомі віруси. Вона веде пошук комбінацій змін у файлах, а також характеристик програм, типових для великих груп відомих вірусів DOS. При виявленні факторів, що відповідають цім критеріям, IBM AntiVirus при відображенні звіту про зараження вірусами повідомляє про ці файли і завантажувальних записах як про «підозрілих». Вам буде надана можливість видалення / перезапису подібних підозрілих файлів. Якщо IBM AntiVirus виявляє об'єкт, що нагадує якийсь відомий вірус, то перевіряється кожен релевантний байт цього вірусу. Таким чином визначається, що це дійсно саме цей вірус. Ця перевірка має дуже велике значення. Якщо можна з упевненістю стверджувати, що це той самий вірус, то частіше за все цей файл або завантажувальний запис можна досить надійно дезінфікувати. Якщо ж виявилося, що це інший вірус, то не виключено, що він змінив файл або завантажувальний запис найнесподіванішим чином. Спроба його знешкодження може викликати пошкодження файлу або завантажувального запису. IBM AntiVirus не робить спроб дезінфекції, якщо це може викликати пошкодження файлів або завантажувальних записів. Замість цього програма надає вам можливість видалення / перезапису інфікованих файлів і завантажувальних записів. У тих випадках, коли дезінфекція могла викликати пошкодження файлів, але цього не сталося, IBM AntiVirus відзначає цей факт у файлі реєстрації, що створюється в ході вашого сеансу IBM AntiVirus. Потім ви можете більш ретельно обстежувати ці програми і визначити, чи треба їх відновлювати з резервних копій. Якщо програма IBM AntiVirus виявляє вірус під час початкової вибіркової перевірки, вона може обстежити всю систему. При цьому перевіряються усі (навіть незмінені) файли на всіх локальних жорстких дисках і надається можливість знищення знайдених вірусів.

VIRUSCAN / CLEAN-UP

VIRUSCAN/CLEAN-UP- це  пакет антивірусних програм компанії McAfee Associates. Програма VIRUSCAN виявляє віруси і передає докладну інформацію програмі CLEAN-UP, яка здійснює лікування.

VIRUSCAN виявляє  близько 3000 відомих вірусів і  їх модифікацій. VIRUSCAN перевіряє partition table жорсткого диска (Master Boot Record), DOS Boot Sector, виконувані файли, включаючи системні, і файли з будь-якими іншими розширеннями.

Крім того, VIRUSCAN виявляє невідомі віруси. У першу  чергу VIRUSCAN перевіряє підозрілі  зміни, які відбулися з файлами  з моменту останньої перевірки. VIRUSCAN зберігає інформацію про контрольні суми файлів, розмірах та ін Далі VIRUSCAN здійснює пошук нових класів вірусів, аналізуючи код файлів на предмет характерних для вірусів операцій. VIRUSCAN здатний знайти і вірус-мутант (шифрувальний свій код), використовуючи алгоритми статистичного аналізу, евристичного аналізу і дізассембліруя код.

 

6. Правила виживання для користувача

 

- Перед запуском переписаної десь програми на своєму комп'ютері перевірте її всіма наявними у вас антивірусними програмами.

- Якщо не виникає необхідність щось записувати на диск - заблокуйте можливість запису на нього. Якщо при роботі з захищеним диском, з якого інформація тільки зчитується, на екрані з'явилося повідомлення «Write protect error writing drive » (Помилка захисту при записі на диск ) - ваша машина швидше за все заражена.

- Позичати свої програми тільки на робочому диску, а після його повернення - безжально форматуйте.

- Якщо ви хочете перевірити ваш комп'ютер на віруси, завантажитеся на захищених дискети, що містить всі необхідні антивірусні програми.

- Регулярно робіть резервні копії ваших файлів.

- Присікайте всі спроби скористатися дисководом вашого комп'ютера.

- Слідкуйте за повідомленнями про незвичайні помилках - вони можуть свідчити про появу вірусу.

- Використовуйте тільки офіційні версії антивірусних програм.

- Використовуйте тільки ліцензійне програмне забезпечення.

- Звертайте особливу увагу на ігрові програми. Вони основний рознощик зарази.

Якщо ви переписали програму з піратського компакт-диска, гарантії, що вона не містить вірусу, немає. Обов'язково перевірте її антивірусною програмою.

 

7. Короткий опис деяких часто зустрічающихся вірусів

 

Це просто цікава інформація. Цей параграф добре читати ввечері вдома за чашкою чаю. Почитайте, і можливо, що описані тут симптоми нагадають вам щось з дивної поведінки вашого комп'ютера. Або ви організуєте партію боротьби з забрудненням комп'ютерного середовища GreenPC. Або зрозумієте, що принципово нового вірусу написати ніколи не зможете, а повторювати когось - безглуздо.

ВІРУС AIRCOP

Назва: Aircop

Класифікація: Вірус, що вражає завантажувальний запис диску Довжина вірусу: Завантажувальний запис і один додатковий сектор жорсткого диска або диску

Поведінка: При початковому завантаженні з зараженої дискети вірус поміщає себе в пам'ять і заражає диск, використовувані надалі у дисководах . При зараженні приблизно кожного восьмого диску вірус видає повідомлення «RED STATE Germ offensing - Aircop» (мабуть, це спроба сказати «Бойова готовність, вірусна атака»).

ВІРУС APRIL 1ST СОМ

Назва: April 1st СОМ

Синоніми: April 1st, sURIV 1.01

Сімейство вірусів: 1813

Класифікація: Резидентний вірус, що заражає СОМ-файли

Довжина вірусу: Приблизно 381 байт

Поведінка: Коли виконується заражена програма, цей вірус завантажується в пам'ять, і будь-який запускається після цього СОМ-файл стає зараженим. Якщо поточна дата - 1-е квітня будь-якого року, то за наявності вірусу в пам'яті запуск будь-якої програми викличе появу повідомлення «APRIL 1ST НА НА НА YOU HAVE A VIRUS» та зависання машини. Якщо поточна дата-після 1 квітня 1988 р., то при запуску будь-якої програми виводиться повідомлення «YOU HAVE A VIRUS». Так як зараження цим вірусом дуже очевидно, то, ймовірно, він є вимерлим.

ВІРУС AZUSA

Назва: Azusa

Класифікація: Бутовий вірус, що вражає дискети і жорсткі диски

Довжина вірусу: Тільки завантажувальний запис

Поведінка: Цей вірус вражає головний завантажувальний запис дискети і жорсткого диска. Іноді цей вірус обнуляє таблиці BIOS для СОМ-портів і портів принтера, роблячи таким чином недоступними принтери і послідовні порти.

ВІРУС BOUNCING BALL

Назва: Bouncing Ball

Синоніми: Bouncing Dot, Italian, Ping-Pong, Vera Cruz

Сімейство вірусів: Bouncing Ball

Класифікація: Бутовий вірус, що вражає дискети і жорсткі диски

Довжина вірусу: Приблизно 975 байтів

Поведінка: Цей вірус вражає неголовний завантажувальний запис на дискетах і розділах жорстких дисків. Іноді після початкового завантаження малює на екрані стрибає крапку.

ВІРУС BRUNSWICK

Назва: Brunswick

Класифікація: Резидентний бутовий вірус, що вражає головний завантажувальний запис дискет і жорстких дисків

Довжина вірусу: Завантажувальний запис і один додатковий сектор жорсткого диска або дискети

Поведінка: При завантаженні з зараженої дискети цей вірус вражає перший фізичний жорсткий диск системи. При завантаженні з зараженого жорсткого диска або дискети, вірус розміщується в пам'ять і заражає дискети, використовувані надалі у дисководах А: і В:. При завантаженні з зараженого жорсткого диска він іноді поміщає в головний завантажувальний запис випадкові дані, роблячи таким чином диск незавантажувальним. Крім того, до даних на диску після цього неможливо отримати доступ без технічного втручання. У деяких системах вірус записує поверх даних користувача і, можливо, частини таблиці розміщення файлів, як він здійснює збереження вихідної завантажувальної записи в області даних на жорсткому диску.

Вірус DataCrime II

Назва: DataCrime II

Синоніми: 1514, Columbus Day

Сімейство вірусів: DataCrime

Класифікація: Нерезидентний вірус, що заражає СОМ-і ЕХЕ-файли IBM DOS

Довжина вірусу: 1514 байтів в заражених СОМ-файлах; кілька додаткових заповнюють байтів в заражених ЕХЕ-файлах.

Поведінка: Цей вірус поширюється серед СОМ-і ЕХЕ-файлів. Якщо заражена програма виконується між 13-м жовтня і 31-м грудня (включно) будь-якого року, вірус відображає повідомлення «* DATACRIME II VIRUS» і стирає дані з частини жорсткого диска, роблячи їх таким чином недоступними.

Назва: Keypress

Синонім: Turku

Класифікація: Резидентний вірус для СОМ-і ЕХЕ-файлів IBM DOS

Довжина вірусу: Приблизно 1232 байтів

Поведінка: Коли виконується заражений файл, вірус поміщає себе в пам'ять. Якщо поточна версія DOS - 3.0 або більш пізня, то вірус заражає всі файли, що виконуються надалі. Якщо поточна версія DOS - більш рання, ніж 3.0, він заражає всі файли що відкриваються (за винятком системних) з розширеннями СОМ і ЕХЕ. Кожні десять хвилин вірус викликає імітування натиснення клавіш протягом 2 секунд і ефект «залипання» клавіш.

ВІРУС MICHELANGELO

Назва: Michelangelo

Класифікація: Вірус, що вражає головний завантажувальний запис дискет і жорстких дисків

Довжина вірусу: Завантажувальний запис і один додатковий сектор жорсткого диска або дискети

Поведінка: При завантаженні з дискети вірус вражає головний завантажувальний запис першого жорсткого диска (якщо такий є) і поміщає себе в пам'ять. При завантаженні з зараженого жорсткого диска він тільки поміщає себе в пам'ять. Поки вірус знаходиться у пам'яті, що використовуються в дисководі А: дискети стають зараженими. Якщо поточна дата - 6 березня, то при завантаженні з інфікованого диска або дискети вірус перезаписує області завантажувального диска, заповнюючи їх випадковими даними.

ВІРУС TEQUILA

Назва: Tequila

Класифікація: Резидентний вірус, що інфікує файли ЕХЕ і головний завантажувальний запис на жорсткому диску в системі IBM DOS.

Довжина вірусу: Приблизно 2470 байтів

Поведінка: При виконанні інфікованого файлу уражається головний завантажувальний запис на першому ж жорсткому диску. При завантаженні системи з інфікованого жорсткого диска вірус поселяється в пам'яті і вражає всі використовувані файли згодом ЕХЕ. Цей вірус відображає на екрані монітора набір «Mandelbrot» з низькою роздільною здатністю (округла колірна пляма). Цей вірус має цілий ряд складних, але, як правило, нецікавих властивостей. Наприклад, файли з певними іменами не заражаються; вірус інфікує кожен файл трохи по-різному, щоб його важче було виявити і т.д. Однак виявлення цього вірусу не складає труднощів.