Резидентні віруси: що це і як знищити. Комп`ютерні віруси
Більшість користувачів хоч раз в житті стикалися з поняттям комп`ютерних вірусів. Правда, мало хто знає, що класифікація загроз в основі своїй складається з двох великих категорій: нерезидентні і резидентні віруси. Зупинимося на другому класі, оскільки саме його представники є найбільш небезпечними, а іноді і видаляються навіть при форматуванні диска або логічного розділу.
Що таке резидентні віруси?
Отже, з чим же має справу користувач? Для спрощеного пояснення структури і принципів роботи таких вірусів для початку варто зупинитися на поясненні того, що таке резидентна програма взагалі.
Відео: Як видалити віруси з комп`ютера самостійно?
Вважається, що до такого типу програм відносяться програми, що працюють постійно в режимі моніторингу, явно не проявляючи своїх дій (наприклад, ті ж штатні антивірусні сканери). Що ж стосується погроз, що проникають в комп`ютерні системи, вони не тільки висять постійно в пам`яті комп`ютера, а й створюють власні дублі. Таким чином, копії вірусів і постійно стежать за системою, і переміщаються по ній, що істотно ускладнює їх пошук. Деякі загрози здатні ще й міняти власну структуру, а їх детектування на основі загальноприйнятих методів стає практично неможливим. Трохи пізніше розглянемо, як позбутися від вірусів такого типу. А поки що зупинимося на основних різновидах резидентних загроз.
DOS-загрози
Спочатку, коли Windows- або UNIX-подібних систем ще і в помині не було, а спілкування користувача з комп`ютером відбувалося на рівні команд, з`явилася «операційка» DOS, досить довго протрималася на піку популярності.
І саме для таких систем почали створюватися нерезидентні і резидентні віруси, дія яких спочатку було направлено на порушення працездатності системи або видалення призначених для користувача файлів і папок.
Принцип дії таких загроз, який, до речі, широко застосовується і до сих пір, полягає в тому, що вони перехоплюють звернення до файлів, а після цього заражають викликається об`єкт. Втім, більшість відомих сьогодні загроз працює саме за цим типом. Але ось проникають віруси в систему або за допомогою створення резидентного модуля у вигляді драйвера, який вказується у файлі системної конфігурації Config.sys, або через спеціальну функцію KEEP для відстеження переривань.
Гірше справа йде в тому випадку, коли резидентні віруси такого типу використовують виділення під себе областей системної пам`яті. Ситуація така, що спочатку вірус «відрізає» шматок вільної пам`яті, потім позначає цю область як зайняту, після чого зберігає в ній власну копію. Що найсумніше, відомі випадки, коли копії знаходяться і в відеопам`яті, і в областях, зарезервованих під буфер обміну, і в таблицях векторів переривань, і в робочих областях DOS.
Все це робить копії вірусних загроз настільки живучими, що вони, на відміну від нерезидентних вірусів, які працюють, поки запущена якась програма або функціонує операційна система, здатні активуватися знову навіть після перезавантаження. Крім того, при зверненні до зараженого об`єкту вірус здатний створювати власну копію навіть в оперативній пам`яті. Як наслідок - моментальне зависання комп`ютера. Як уже зрозуміло, лікування вірусів цього типу повинно проводитися за допомогою спеціальних сканерів, причому бажано не стаціонарних, а портативних або тих, які здатні завантажуватися з оптичних дисків або USB-носіїв. Але про це трохи пізніше.
завантажувальні загрози
Завантажувальні віруси проникають в систему за схожим методом. Ось тільки ведуть вони себе, що називається, витончено, спочатку «з`їдаючи» шматок системної пам`яті (зазвичай 1 Кб, але іноді цей показник може досягати максимум 30 Кб), потім прописуючи туди власний код у вигляді копії, після чого починаючи вимагати перезавантаження. Це може мати негативні наслідки, оскільки після рестарту вірус відновлює зменшену пам`ять до вихідного розміру, а його копія виявляється поза системної пам`яті.
Крім відстеження переривань такі віруси здатні прописувати власні коди в завантажувальному секторі (запис MBR). Дещо рідше використовуються перехоплення BIOS і DOS, причому самі віруси завантажуються одноразово, не перевіряючи наявність своєї копії.
Віруси під Windows
З появою Windows-систем розробки вірусів вийшли на новий рівень, на жаль. Сьогодні саме Windows будь-якої версії вважається найбільш уразливою системою, незважаючи навіть на зусилля, прикладені фахівцями корпорації Microsoft в області розробки модулів безпеки.
Віруси, розраховані на Windows, працюють за принципами, схожим з DOS-погрозами, ось тільки способів проникнення на комп`ютер тут набагато більше. З найпоширеніших виділяють три основних, за якими в системі вірус може прописати власний код:
- реєстрація вірусу як працює в даний момент програми;
- виділення блоку пам`яті і запис в нього власної копії;
- робота в системі під виглядом драйвера VxD або маскування під драйвер Windows NT.
Заражені файли або області системної пам`яті, в принципі, можна вилікувати стандартними методами, які застосовуються в антивірусних сканерах (Детектування по масці вірусу, порівняння з базами сигнатур і т. Д.). Однак якщо використовуються простенькі безкоштовні програми, вони можуть вірус і не визначити, а іноді навіть видати помилкове спрацьовування. Тому промені застосовувати портативні утиліти кшталт «Доктор Веб» (зокрема, Dr. Web CureIt!) Або продукти «Лабораторії Касперського». Втім, сьогодні можна знайти досить багато утиліт такого типу.
Макро-віруси
Перед нами ще один різновид загроз. Назва походить від слова «макрос», тобто виконуваного аплету або надбудови, які застосовуються в деяких редакторах. Не дивно, що запуск вірусу відбувається в момент старту програми (Word, Excel і т. Д.), Відкриття офісного документа, його друку, виклику пунктів меню і т. П.
Такі загрози у вигляді системних макросів знаходяться в пам`яті протягом всього часу роботи редактора. Але в цілому якщо розглядати питання про те, як позбутися від вірусів даного типу, рішення виявляється досить простим. У деяких випадках допомагає навіть звичайне відключення надбудов або виконання макросів в самому редакторі, а також задіяння антивірусного захисту аплетів, не кажучи вже про звичайний швидкому скануванні системи антивірусними пакетами.
Віруси на основі технології «стелс»
Тепер подивимося на маскуються віруси, адже не дарма ж вони отримали свою назву від літака-невидимки.
Суть їх функціонування як раз і полягає в тому, що вони видають себе за системний компонент, а визначити їх звичайними способами іноді виявляється досить складною справою. Серед таких загроз можна знайти і макровіруси, і завантажувальні загрози, і DOS-віруси. Вважається, що для Windows стелс-віруси ще не розроблені, хоча багато фахівців стверджують, що це всього лише справа часу.
файлові різновиди
Взагалі все віруси можна назвати файловими, оскільки вони так чи інакше зачіпають файлову систему і впливають на файли, то чи заражаючи їх власним кодом, то чи шифруючи, то чи роблячи недоступними через псування або видалення.
Найпростішими прикладами можна назвати сучасні віруси-шифрувальники (здирники), а також сумно відомий I Love You. З ними без спеціальних расшіфровочних ключів лікування вірусів зробити не те що складно, а часто неможливо взагалі. Навіть провідні розробники антивірусного ПЗ безсило розводять руками, адже, на відміну від сучасних систем шифрування AES256, тут застосовується технологія AES1024. Самі розумієте, що на розшифровку може піти не один десяток років, виходячи з кількості можливих варіантів ключа.
поліморфні загрози
Нарешті, ще один різновид загроз, в яких застосовується явище поліморфізму. У чому воно полягає? У тому, що віруси постійно змінюють власний код, причому робиться це на основі так званого плаваючого ключа.
Відео: Увага! Вірус халявщика. Комп`ютерний вірус! Як видалити вірус?
Іншими словами, за маскою визначити загрозу неможливо, оскільки, як бачимо, змінюється не тільки її структура на основі коду, а й ключ до розшифровки. Для боротьби з такими проблемами застосовуються спеціальні поліморфні дешифратори (розшифровувача). Правда, як показує практика, вони здатні розшифрувати тільки найпростіші віруси. Більш складні алгоритми, на жаль, в більшості випадків їх впливу не піддаються. Окремо варто сказати, що зміна коду таких вірусів супроводжує створення копій зі зменшеною їх довжиною, яка може відрізнятися від оригіналу має велике значення.
Як боротися з резидентними погрозами
Нарешті, переходимо до питання, що стосується боротьби з резидентними вірусами і захисту комп`ютерних систем будь-якого рівня складності. Найпростішим способом протекції можна вважати інсталяцію штатного антивірусного пакета, ось тільки використовувати краще не безкоштовні програми, а хоча б умовно-безкоштовні (trial) версії від розробників на кшталт «Доктор Веб», «Антивірус Касперського», ESET NOD32 або програми типу Smart Security, якщо юзер постійно працює з Інтернетом.
Втім, і в цьому випадку ніхто не застрахований від того, що загроза не проникнула на комп`ютер. Якщо вже така ситуація сталася, для початку слід застосовувати портативні сканери, а краще використовувати дискові утиліти Rescue Disk. З їх допомогою можна зробити завантаження інтерфейсу програми і сканування ще до старту основної операційної системи (віруси можуть створювати і зберігати власні копії в системній і навіть в оперативній пам`яті).
І ще: не рекомендується використовувати програмне забезпечення на зразок SpyHunter, а то потім від самого пакету і його супутніх компонентів позбутися непосвяченому користувачеві буде проблематично. І, звичайно ж, не варто відразу видаляти заражені файли або намагатися форматувати вінчестер. Краще залишити лікування професійним антивірусних продуктів.
висновок
Залишається додати, що вище розглянуті тільки основні аспекти, що стосуються резидентних вірусів і методів боротьби з ними. Адже якщо подивитися на комп`ютерні загрози, так би мовити, в глобальному сенсі, кожен день з`являється така величезна їх кількість, що розробники засобів захисту просто не встигають придумувати нові методи боротьби з такими напастями.