Špatně Skvělý

Počítačové viry

Počítačový virus je malý program napsaný vysoce kvalifikovaným programátorem, schopný sebereplikace a provádění různých destruktivních akcí. K dnešnímu dni více než 5 mil. počítačové viry.

Existuje mnoho různých verzí týkajících se data narození prvního počítačového viru. Většina odborníků se však shoduje na tom, že počítačové viry jako takové se poprvé objevily v roce 1986, i když historicky vznik virů úzce souvisí s myšlenkou vytváření sebereplikujících se programů. Jedním z „průkopníků“ mezi počítačovými viry je virus „Brain“, který vytvořil pákistánský programátor Alvi. Jen v USA tento virus infikoval více než 18 000 počítačů. Na počátku éry počítačových virů měl vývoj viru podobných programů čistě výzkumný charakter, postupně přecházel v otevřeně nepřátelský postoj vůči uživatelům nezodpovědných, až kriminálních „živlů“. V řadě zemí stanoví trestní legislativa odpovědnost za počítačové zločiny, včetně vytváření a šíření virů.

Viry fungují pouze softwarově. Mají tendenci se připojovat k souboru nebo infiltrovat tělo souboru. V tomto případě se říká, že soubor je infikován virem. Virus se do počítače dostane pouze společně s infikovaným souborem. Pro aktivaci viru je potřeba stáhnout infikovaný soubor a teprve poté začne virus jednat sám.

Některé viry se stanou rezidentními během provádění infikovaného souboru (trvale jsou uloženy v paměti RAM počítače) a mohou infikovat další stažené soubory a programy. Jiný typ viru může bezprostředně po aktivaci způsobit vážné poškození, například zformátování pevného disku. Působení virů se může projevovat různými způsoby: od různých vizuálních efektů, které narušují práci, až po úplnou ztrátu informací. Většina virů infikuje spustitelné programy, tedy soubory s příponou .EXE a .COM, i když viry distribuované prostřednictvím e-mailového systému jsou v poslední době populárnější.

Je třeba poznamenat, že počítačové viry mohou infikovat pouze počítače. Různá prohlášení o dopadu počítačových virů na uživatele počítačů jsou proto naprosto absurdní.

Hlavní zdroje virů:

• disketa obsahující soubory infikované viry;
• Počítačová síť, včetně systému elektronické pošty a internetu;
• pevný disk, který byl infikován virem v důsledku práce s infikovanými programy;
• virus zanechaný v paměti RAM od předchozího uživatele.

Hlavní rané příznaky infekce počítače virem:

• snížení množství volné paměti RAM;
• zpomalení načítání a provozu počítače;
• nepochopitelné (bezdůvodné) změny v souborech, stejně jako změny velikosti a data poslední úpravy souborů;
• chyby při načítání operačního systému;
• nemožnost ukládat soubory do správných adresářů;
• nesrozumitelné systémové zprávy, hudební a vizuální efekty atd.

Příznaky aktivní fáze viru:

• mizení souborů;
• těžké formátování disk;
• nemožnost načíst soubory nebo operační systém.

Existuje mnoho různých virů. Obvykle je lze klasifikovat takto:

1) boot viry nebo BOOT viry infikují boot sektory disků. Velmi nebezpečné, mohou vést k úplné ztrátě všech informací uložených na disku;

2) souborové viry infikují soubory. Dělí se na:

• viry, které infikují programy (soubory s příponou .EXE a .COM);
• makroviry viry, které infikují datové soubory, jako jsou dokumenty aplikace Word nebo sešity aplikace Excel;
• satelitní viry používají názvy jiných souborů;
• viry rodiny DIR zkreslují systémové informace o strukturách souborů;

3) viry boot-file schopné infikovat jak kód boot-sektoru, tak kód souboru;

4) stealth viry nebo STEALTH viry falšují informace načtené z disku, takže program, který je pro tyto informace určen, dostává nesprávná data. Tato technologie, někdy označovaná jako technologie Stealth, může být použita jak u BOOT virů, tak u souborových virů;

5) retroviry infikují antivirové programy, snaží se je zničit nebo je zneschopnit;

6) Červ viry poskytují malé e-mailové zprávy s tzv. hlavičkou, což je v podstatě webová adresa umístění samotného viru. Při pokusu o přečtení takové zprávy začne virus číst své „tělo“ prostřednictvím globální internetové sítě a po stažení zahájí destruktivní akci. Velmi nebezpečné, protože je velmi obtížné je odhalit, protože infikovaný soubor ve skutečnosti neobsahuje kód viru.

Pokud nepřijmete opatření na ochranu před počítačovými viry, následky infekce mohou být velmi vážné. V řadě zemí trestní právo stanoví odpovědnost za počítačové zločiny, včetně zavlečení virů. K ochraně informací před viry se používají obecné a softwarové nástroje.

Mezi běžné prostředky, které pomáhají předcházet infekci a jejím ničivým účinkům, patří:

• zálohování informací (vytváření kopií souborů a systémových oblastí pevných disků);
• vyhnout se používání náhodných a neznámých programů. Nejčastěji jsou viry distribuovány spolu s počítačovými programy;
• restartování počítače před zahájením práce, zejména pokud na tomto počítači pracovali jiní uživatelé;
• omezení přístupu k informacím, zejména fyzická ochrana diskety při kopírování souborů z ní.

Různé antivirové programy (antiviry) jsou klasifikovány jako ochranný software. Antivirus je program, který detekuje a neutralizuje počítačové viry. Je třeba poznamenat, že viry ve svém vývoji předbíhají antivirové programy, proto ani v případě pravidelného používání antivirů neexistuje 100% záruka bezpečnosti. Antivirové programy dokážou detekovat a zničit pouze známé viry, když se objeví nový počítačový virus, není proti němu ochrana, dokud pro něj není vyvinut vlastní antivirus. Mnoho moderních antivirových balíčků však obsahuje speciální softwarový modul nazývaný heuristický analyzátor, který je schopen prozkoumat obsah souborů na přítomnost kódu charakteristického pro počítačové viry. Díky tomu je možné včas detekovat a varovat před nebezpečím infekce novým virem.

Existují takové typy antivirové programy:

1) Detekční programy: určené k nalezení infikovaných souborů jedním ze známých virů. Některé detekční programy mohou také ošetřit soubory na přítomnost virů nebo zničit infikované soubory. Existují specializované, tedy detektory určené k boji s jedním virem, a polyfágy, které dokážou bojovat s mnoha viry;

2) programy-léčitele: určené k léčbě infikovaných disků a programů. Léčba programu spočívá v odstranění těla viru z infikovaného programu. Mohou to být také jak polyfágové, tak specializované;

3) programy-auditoři: navrženy pro detekci virové infekce souborů a nalezení poškozených souborů. Tyto programy si pamatují data o stavu programu a systémových oblastí disků v normálním stavu (před infekcí) a za provozu počítače tato data porovnávají. Pokud se data neshodují, zobrazí se zpráva o možnosti infekce;

4) léčitelé-auditoři: určeni k detekci změn v souborech a systémových oblastech disků a v případě změn je vrátit do původního stavu.

5) filtrovací programy: určené k zachycení hovorů do operačního systému, které viry využívají k reprodukci a informování uživatele o tom. Uživatel může povolit nebo zakázat odpovídající operaci. Takové programy jsou rezidentní, to znamená, že jsou umístěny v paměti RAM počítače.

6) očkovací programy: používají se ke zpracování souborů a boot sektorů, aby se zabránilo infekci známými viry (tato metoda se v poslední době používá stále více).

Nutno podotknout, že výběr jednoho „nejlepšího“ antiviru je velmi špatné rozhodnutí. Doporučuje se používat několik různých antivirových balíčků současně. Při výběru antivirového programu byste měli věnovat pozornost takovému parametru, jako je počet rozpoznávajících signatur (sekvence znaků, které zaručeně rozpoznají virus). Druhým parametrem je přítomnost heuristického analyzátoru neznámých virů, jeho přítomnost je velmi užitečná, ale výrazně zpomaluje program. K dnešnímu dni existuje velké množství různých antivirových programů. Podívejme se krátce, běžné v zemích SNS.

DRWEB

Jeden z nejlepších antivirů s výkonným algoritmem detekce virů. Polyphage, schopný skenovat soubory v archivech, dokumenty Wordu a excelové sešity, detekuje polymorfní viry, které se v poslední době stále více rozšiřují. Stačí říci, že to byl DrWeb, kdo zastavil epidemii velmi nebezpečného viru OneHalf. Heuristický analyzátor DrWeb, zkoumající programy na přítomnost fragmentů kódu charakteristických pro viry, umožňuje najít téměř 90 % neznámých virů. Při načítání programu se DrWeb nejprve zkontroluje na integritu a poté otestuje RAM. Program může pracovat v interaktivním režimu, má pohodlné přizpůsobitelné uživatelské rozhraní.

ADINF

Antivirový diskový inspektor ADINF (Advanced DiskINFoscope) umožňuje najít a zničit jak stávající běžné, stealth- a polymorfní viry, tak i zcela nové. Antivir má k dispozici vytvrzovací jednotku auditora ADINF - Adinf Cure Module - která dokáže neutralizovat až 97 % všech virů. Tento údaj uvádí Dialognauka na základě výsledků testování, které proběhlo na sbírkách virů dvou uznávaných autorit v této oblasti – D. N. Lozinského a Dr. Solomona (Velká Británie).

ADINF se načte automaticky při zapnutí počítače a řídí zaváděcí sektor a soubory na disku (datum a čas vytvoření, délka, kontrolní součet), zobrazující zprávy o jejich změnách. Vzhledem k tomu, že ADINF provádí diskové operace obcházením operačního systému, viz Funkce BIOSu, je dosaženo nejen možnosti detekce aktivních stealth virů, ale také vysoká rychlost kontrola disku. Pokud je nalezen boot virus, pak ADINF jednoduše obnoví předchozí boot sektor, který je uložen v jeho tabulce. Pokud je virus souborový, pak přichází na pomoc Adinf Cure Module, který na základě hlášení hlavního modulu o infikovaných souborech porovná parametry nového souboru s předchozími uloženými ve speciálních tabulkách. Když jsou zjištěny nesrovnalosti, ADINF obnoví předchozí stav souboru a nezničí tělo viru, jako to dělají polyfágy.

AVP

Antivirus AVP (AntiVirus Program) je polyfág, při své činnosti kontroluje RAM, soubory včetně archivních souborů na disketových, lokálních, síťových a CD-ROM discích, dále systémové datové struktury, jako je boot sektor, tabulka oddílů a atd. Program má heuristický analyzátor, který je podle vývojářů antiviru schopen najít téměř 80 % všech virů. AVP je 32bitová aplikace pro provoz v operačním prostředí. Systémy Windows 98, NT a 2000, má uživatelsky přívětivé rozhraní, stejně jako jednu z největších antivirových databází na světě. Antivirové databáze pro AVP jsou aktualizovány přibližně jednou týdně a lze je získat z internetu. Tento program vyhledává a odstraňuje širokou škálu virů, včetně:

• polymorfní nebo samošifrovací viry;
• stealth viry nebo neviditelné viry;
• nové viry pro Windows;
• makroviry, které infikují dokumenty aplikace Word a tabulky aplikace Excel.

Navíc program AVP sleduje operace se soubory v systému na pozadí detekuje virus před samotnou infekcí systému a také detekuje neznámé viry pomocí heuristického modulu.

Kontrolní otázky

Co je počítačový virus?

Jak virus infikuje počítač?

Jak fungují počítačové viry?

Jaké znáte zdroje infekce počítačovými viry?

Jaké znaky lze použít k odhalení skutečnosti infekce počítačovým virem?

Jaké druhy virů znáte? Jaké destruktivní akce provádějí?

Jaké kroky jsou podnikány, aby se zabránilo infekci počítačovým virem?

Co je to antivirus? Jaké znáte typy antivirů?

Co je to heuristický analyzátor? Jaké funkce plní?

Uveďte příklady antivirových programů. Stručně je popište.

Ahoj znovu.
Téma dnešního článku. Druhy počítačových virů, principy jejich činnosti, způsoby napadení počítačovými viry.

Co jsou vůbec počítačové viry.

Počítačový virus je speciálně napsaný program nebo sestava algoritmů, která je napsána za účelem: dělat si legraci, poškodit něčí počítač, získat přístup k vašemu počítači, zachytit hesla nebo vydírat peníze. Viry se mohou samy zkopírovat a infikovat vaše programy a soubory, stejně jako spouštěcí sektory se škodlivým kódem.

Typy malwaru.

Škodlivé programy lze rozdělit do dvou hlavních typů.
Viry a červi.

Viry- šířit se skrz škodlivý soubor, které jste si mohli stáhnout na internetu, případně se ukáže, že jsou na pirátském disku, nebo se často přenášejí přes Skype pod rouškou užitečných programů (všiml jsem si, že s těmi druhými se často setkávají školáci, údajně dostávají tzv. mod pro hru nebo cheaty, ale ve skutečnosti se může ukázat jako virus, který může ublížit).
Virus vnese svůj kód do jednoho z programů nebo se maskuje samostatný program v místě, kam uživatelé obvykle nechodí (složky s operačním systémem, skryté systémové složky).
Virus se nemůže spustit sám, pokud sami nespustíte infikovaný program.
Červi již infikovat mnoho souborů ve vašem počítači, například všechny .exe soubor s, systémové soubory, spouštěcí sektory atd.
Červi nejčastěji pronikají do systému sami, pomocí zranitelností ve vašem OS, prohlížeči nebo určitém programu.
Mohou proniknout přes chaty, komunikační programy jako skype, icq, mohou být distribuovány přes e-mail.
Mohou být také na stránkách a pomocí zranitelnosti vašeho prohlížeče proniknout do vašeho systému.
Červi se mohou šířit po lokální síti, pokud je některý z počítačů v síti infikován, může se rozšířit na další počítače a infikovat všechny soubory na své cestě.
Worms se snaží psát pro nejoblíbenější programy. Například teď nejvíc populární prohlížeč"Chrome", takže se pod něj podvodníci pokusí psát a na stránkách pod ním vytvářet škodlivý kód. Protože často je zajímavější nakazit tisíce uživatelů, kteří používají populární program než sto s neoblíbeným programem. Přestože chrom ochranu neustále zlepšuje.
Nejlepší ochrana od síťových červů Jedná se o aktualizaci programů a operačního systému. Mnozí aktualizace zanedbávají, čehož často litují.
Před několika lety jsem si všiml následujícího červa.

Ten se ale evidentně nedostal přes internet, ale nejspíš přes pirátský disk. Podstata jeho práce byla následující - vytvořil jakoby kopii každé složky v počítači nebo na flash disku. Ve skutečnosti však nevytvořil podobnou složku, ale soubor exe. Když na takový exe soubor kliknete, rozšíří se ještě více po systému. A pak ses toho prostě zbavil, přijdeš za kamarádem s flashkou, vyhodíš z něj hudbu a vrátíš se s flashkou nakaženou takovým červem a zase jsi ji musel odstranit. Nevím, zda tento virus způsobil nějaké další poškození systému, ale brzy tento virus přestal existovat.

Hlavní typy virů

Ve skutečnosti existuje mnoho typů a druhů počítačových hrozeb. A není možné vidět všechno. Proto budeme zvažovat nejběžnější v poslední době a nejnepříjemnější.
Viry jsou:
— Soubor- umístěné v infikovaném souboru, aktivované při zapnutí tohoto programu uživatelem, nelze je sami aktivovat.
— Bota- lze načíst spouštění systému Windows klepnutí na autoload, při vložení flash disku nebo podobně.
- makroviry - jedná se o různé skripty, které mohou být na stránce, mohou vám být zaslány poštou nebo v dokumentech Word a Excel, provádějí určité funkce zabudované v počítači. Využívejte slabá místa ve svých programech.

Typy virů.
-trojské koně
— Špioni
- Ransomware
— Vandalové
— Rootkity
— Botnet
— Keyloggery
Toto jsou nejzákladnější typy hrozeb, se kterými se můžete setkat. Ale ve skutečnosti je jich mnohem víc.
Některé viry lze dokonce kombinovat a obsahovat několik typů těchto hrozeb najednou.
- Trojské koně. Jméno pochází od trojského koně. Proniká do vašeho počítače pod rouškou neškodných programů, poté může otevřít přístup k vašemu počítači nebo odeslat vaše hesla majiteli.
V poslední době se rozšířily trojské koně zvané zloději. Mohou ukrást uložená hesla ve vašem prohlížeči, v herních poštovních klientech. Ihned po spuštění zkopíruje vaše hesla a pošle vaše hesla na email nebo hosting útočníkovi. Zůstává na něm, aby shromáždil vaše údaje, poté jsou buď prodány, nebo použity pro své vlastní účely.
— Spies (spyware) sledovat akce uživatelů. Jaké stránky uživatel navštěvuje nebo co dělá na svém počítači.
- Ransomware. Mezi ně patří Winlockers. Program zcela nebo úplně zablokuje přístup k počítači a vyžaduje peníze na odemčení, například vložení na účet nebo podobně. V žádném případě byste neměli posílat peníze, pokud na to spadnete. Počítač se vám neodemkne a přijdete o peníze. Máte přímou cestu na webovou stránku Drweb, kde můžete zjistit, jak odemknout mnoho winlockerů zadáním konkrétního kódu nebo provedením některých akcí. Některé winlockery mohou zmizet například za den.
— Vandalové může blokovat přístup k antivirovým webům a přístup k antivirům a mnoha dalším programům.
— Rootkity(rootkit) - hybridní viry. Mohou obsahovat různé viry. Mohou přistupovat k vašemu PC a daná osoba bude mít plný přístup k vašemu počítači a mohou se začlenit do úrovně jádra vašeho OS. Přišel ze světa Unixové systémy. Mohou maskovat různé viry, sbírat data o počítači a o všech počítačových procesech.
— Botnet docela ošklivá věc. Botnety jsou obrovské sítě infikovaných „zombie“ počítačů, které lze použít k ddos® webům a dalším kybernetickým útokům pomocí infikovaných počítačů. Tento typ je velmi běžný a těžko odhalitelný, o jeho existenci nemusí dlouho vědět ani antivirové společnosti. Mnoho lidí se jimi může nakazit a ani to netuší. Nejste výjimkou a možná i já.
— Keyloggery(keylogger) - keyloggery. Zachycují vše, co zadáváte z klávesnice (webové stránky, hesla) a posílají je majiteli.

Způsoby infekce počítačovými viry.

hlavní cesty infekce.
— Zranitelnost operačního systému.

— Chyba zabezpečení v prohlížeči

- Kvalita antiviru kulhá

— Uživatelská hloupost

- Vyjímatelná média.
zranitelnost OS- Bez ohledu na to, jak moc se snaží nýtovat ochranu OS, bezpečnostní díry se časem najdou. Většina virů je napsána pod Windows, protože je to nejoblíbenější operační systém. Nejlepší obranou je udržovat váš operační systém aktuální a snažit se používat nejnovější verzi.
Prohlížeče- Stává se to kvůli zranitelnostem prohlížeče, zejména pokud jsou znovu staré. Je také ošetřena častými aktualizacemi. Problémy mohou nastat také při stahování pluginů prohlížeče ze zdrojů třetích stran.
antivirus — bezplatné antiviry které mají méně funkcí než placené. I když ty placené nedávají 100 výsledků v obraně a selhávání. Je ale žádoucí mít alespoň bezplatný antivirus. O bezplatných antivirech jsem již psal v tomto článku.
Uživatelská hloupost— klikání na bannery, sledování podezřelých odkazů z e-mailů atd., instalace softwaru z podezřelých míst.
Vyjímatelná média— viry lze instalovat automaticky z infikovaných a speciálně připravených flash disků a dalších vyměnitelných médií. Není to tak dávno, co svět slyšel o zranitelnosti BadUSB.

https://avi1.ru/ - na tomto webu si můžete koupit velmi levnou propagaci v sociálních sítích. Dostanete také opravdu výhodná nabídka získat zdroje pro své stránky.

Typy infikovaných objektů.

Soubory- Infikují vaše programy, systém a běžné soubory.
Spouštěcí sektory- rezidentní viry. Infikují, jak název napovídá, spouštěcí sektory počítače, přiřazují svůj kód startu počítače a spouštějí se při startu operačního systému. Někdy jsou dobře maskované, což je obtížné odstranit ze spuštění.
makra — dokumenty aplikace word, excel a podobně. Používám makra a zranitelnosti nástroje společnosti Microsoft Office vloží svůj škodlivý kód do vašeho operačního systému.

Známky infekce počítačovým virem.

Není pravda, že výskyt některých z těchto příznaků znamená přítomnost viru v systému. Ale pokud ano, doporučuje se zkontrolovat počítač pomocí antiviru nebo kontaktovat odborníka.
Jedním ze společných znaků je je to velká zátěž na počítači. Když váš počítač běží pomalu, ačkoli se zdá, že nemáte nic zapnutého, programy, které mohou váš počítač silně zatěžovat. Pokud ale máte antivirus, všimněte si, že samotné antiviry zatěžují počítač velmi dobře. A při absenci takového softwaru, který se může načíst, je pravděpodobnější, že existují viry. Obecně vám doporučuji snížit počet spouštěcích programů v automatickém spuštění.

Může to být také jeden z příznaků infekce.
Ale ne všechny viry mohou silně zatížit systém, u některých je téměř obtížné zaznamenat změny.
Systémové chyby. Ovladače přestanou fungovat, některé programy začnou fungovat nesprávně nebo často padají s chybou, ale řekněme, že to dříve nebylo zaznamenáno. Nebo se programy začnou často restartovat. Samozřejmě se to děje kvůli antivirům, například antivirus jej omylem smazal, protože považoval systémový soubor za škodlivý, nebo smazal skutečně infikovaný soubor, ale byl spojen se systémovými soubory programu a odstranění způsobilo takové chyby.

Vzhled reklam v prohlížečích nebo se dokonce na ploše začnou objevovat bannery.
Vzhled nestandardních zvuků když počítač běží (pískání, cvakání bez důvodu a podobně).
CD/DVD mechanika se sama otevře, nebo jen začne číst disk, ačkoli tam disk není.
Dlouhé zapínání nebo vypínání počítače.
Odcizení vašich hesel. Pokud si všimnete, že je vaším jménem odesílán různý spam, z vašeho poštovní schránka nebo stránky sociální sítě, jako pravděpodobnost, že se do vašeho počítače dostal virus a přenesl hesla majiteli, pokud si toho všimnete, doporučuji zkontrolovat pomocí antiviru v bez chyby(i když ne skutečnost, že takto útočník získal vaše heslo).
Časté doporučení na pevný disk . Každý počítač má indikátor, který bliká, když používáte různé programy nebo když kopírujete, stahujete nebo přesouváte soubory. Například váš počítač je právě zapnutý, ale nejsou používány žádné programy, ale indikátor začíná často blikat, pravděpodobně se používají programy. To už jsou viry tvrdý disk.

To je vlastně považováno za počítačové viry, se kterými se můžete setkat na internetu. Ale ve skutečnosti je jich mnohonásobně více a není možné se plně chránit, pokud nepoužíváte internet, nekupujete disky a vůbec nezapínáte počítač.

Viry se do vašeho počítače mohou dostat z následujících zdrojů:

· globální sítě - e-mail;

· elektronické konference;

· lokální sítě;

Pirátský software

veřejné počítače;

opravárenské služby

Globální sítě - e-mail. Hlavním zdrojem virů je dnes celosvětový internet. K největšímu počtu virových infekcí dochází při výměně písmen ve formátech Word/Office. Uživatel editoru infikovaného makrovirem, aniž by o tom věděl, odesílá infikované dopisy příjemcům a ti zase nové infikované dopisy atd.

Předpokládejme, že uživatel chatuje s pěti příjemci, z nichž každý také koresponduje s pěti příjemci. Po odeslání infikované zprávy se infikuje všech 5 počítačů, které ji obdržely.

Poté je z každého nově infikovaného počítače odesláno dalších pět e-mailů. Jeden se vrátí k již infikovanému počítači a čtyři se vrátí na nový.

Rýže. 4.1. Infekce prvních pěti počítačů

Na druhé distribuční úrovni tedy již bylo infikováno 1+5+20=26 počítačů (obr. 4.2). Pokud si síťoví příjemci vyměňují dopisy jednou denně, pak do konce pracovního týdne (za 5 dní) bude infikováno minimálně 1+5+20+80+320=426 počítačů. Je snadné spočítat, že za 10 dní se nakazí přes sto tisíc počítačů! A každý den se jejich počet zčtyřnásobí.

Rýže. 4.2. Druhý stupeň infekce

Popsaný případ šíření viru hlásí antivirové firmy nejčastěji. Není neobvyklé, že se kvůli přehlédnutí distribučních seznamů komerčních informací velké společnosti nakazí soubor dokumentu nebo tabulka Excel1 – v tomto případě netrpí pět, ale stovky nebo dokonce tisíce odběratelů takových mailing listů. , kteří pak zasílají infikované soubory desetitisícům svých vlastních odběratelů.

Elektronické konference

Jedním z hlavních zdrojů virů jsou také veřejné souborové servery a elektronické konference. Infikované soubory jsou odesílány na několik konferencí současně a tyto soubory jsou maskovány jako nové verze nějakého softwaru (někdy jako nové verze antivirů).

Místní sítě

Třetím způsobem rychlé infekce jsou lokální sítě. Pokud nejsou přijata žádná ochranná opatření, infikovaná pracovní stanice při vstupu do sítě infikuje několik servisních souborů na serveru (obr. 4.3).

Rýže. 4.3. Infekce servisních souborů na serveru

Následující den, když se uživatelé přihlásí do sítě, spustí infikované soubory a virus tak získá přístup k neinfikovaným počítačům.

Rýže. 4.4. Počítačová infekce

Pirátský software

Nelegální kopie softwaru jsou jednou z hlavních rizikových oblastí. Pirátské kopie často obsahují soubory infikované širokou škálou virů.

Veřejné počítače

Nebezpečí představují počítače instalované ve vzdělávacích institucích. Student může mít na svém vyměnitelném disku počítačový virus a infikovat studentský počítač. Tento virus se rozšíří na všechny výukové počítače v místní síti. Při stahování dat z tréninkového počítače v lokální síti dojde k infekci viru vyměnitelné disky další studenti, kteří nakazí své domácí počítače a počítače svých kamarádů.

Prostřednictvím takového řetězce se mohou počítačové viry dostat do počítačové sítě firmy, kde rodiče pracují.

Opravárenské služby

Je docela možné infikovat počítač virem při jeho opravě nebo běžné kontrole. Opraváři jsou také lidé a někteří z nich mají tendenci se na to vykašlat elementární pravidla počítačová bezpečnost. Jakmile takový opravář jednou zapomene zavřít ochranu proti zápisu na jedné ze svých disket, rychle rozšíří infekci na strojích své klientely a s největší pravděpodobností o ni (klientu) přijde.

E. KASPERSKY a D. ZENKIN

Propuknutí počítačového viru „LoveLetter“ („Milostné dopisy“), které propuklo v květnu tohoto roku, opět potvrdilo nebezpečí, které taková „počítačová fauna“ představuje. Virus pronikl do stovek tisíc počítačů po celém světě a zničil obrovské množství důležitých informací a doslova paralyzoval práci největších komerčních a vládních organizací.

Takto vypadají „milostné dopisy“ zaslané virem „LoveLetter“ ne e-mailem. Pro spuštění viru stačí kliknout na ikonu.

Tento obrázek ukazuje virus "Tentacle" při pokusu o zobrazení jakéhokoli souboru GIF na infikovaných počítačích. Nápis na obrázku: "Jsem tentacle virus."

Virus "Marburg" ukazuje ty krásné kříže a... maže soubory z disků.

Skriptový virus "Monopoly" se vysmíval šéfovi společnosti Microsoft Bill Brány. Mimo show vtipný obrázek Virus tiše odesílá tajné informace z počítače.

Fenomén „počítačového viru“ bohužel stále vyvolává spíše pověrčivý úžas než touha střízlivě pochopit situaci a přijmout bezpečnostní opatření. Co jsou to za viry? Jak moc jsou nebezpečné? Jaké metody antivirová ochrana existují dnes a jak jsou účinné? O těchto a dalších tématech diskutují odborníci předního ruského výrobce antivirových programů Kaspersky Lab.

CO JE POČÍTAČOVÝ VIRUS?

Tato zdánlivě jednoduchá otázka dosud nebyla jednoznačně zodpovězena. V odborné literatuře lze nalézt stovky definic pojmu „počítačový virus“, přičemž mnohé z nich se téměř diametrálně liší. Domácí „virologie“ se většinou drží další definice: Počítačový virus je program, který bez vědomí uživatele proniká do počítačů a provádí zde různé neoprávněné akce. Tato definice by byla neúplná, pokud bychom nezmínili ještě jednu vlastnost, která je pro počítačový virus vyžadována. To je jeho schopnost "reprodukce", to znamená vytvářet své duplikáty a zavádět je do počítačové sítě a/nebo soubory, oblasti počítačového systému a další spustitelné objekty. Kromě toho se duplikáty viru nemusí shodovat s originálem.

Schopnost virů „reprodukovat se“ vede k tomu, že někteří lidé je chtějí srovnávat se „zvláštní formou života“ a dokonce vybavit tyto programy jakousi „zlou inteligencí“, která je nutí provádět odporné triky, aby dosáhli svého cíle. Nejedná se však o nic jiného než o fikci a fantasy hru. Takové vnímání událostí připomíná středověké představy o zlých duších a čarodějnicích, které sice nikdo neviděl, ale všichni se jich báli. "Rozmnožování" virů se neliší například od kopírování souborů z jednoho adresáře do druhého programem. Jediný rozdíl je v tom, že tyto akce jsou prováděny bez vědomí uživatele, to znamená, že se na obrazovce neobjevují žádné zprávy. Ve všech ostatních ohledech je virus nejběžnějším programem, který používá určité příkazy počítače.

Počítačové viry jsou jedním z poddruhů velké třídy programů nazývaných škodlivé kódy. Dnes jsou tyto pojmy často ztotožňovány, nicméně z vědeckého hlediska to není pravda. Do skupiny škodlivých kódů patří také tzv. „červi“ a „trojští koně“. Jejich hlavní rozdíl od virů spočívá v tom, že se nemohou "rozmnožovat".

Červ se šíří skrz počítačové sítě(lokální nebo globální), aniž by se uchýlilo k „propagaci“. Místo toho automaticky, bez vědomí uživatele, rozešle svůj originál například e-mailem.

Programy „Trojan“ obecně postrádají jakékoli vestavěné distribuční funkce: do počítačů se dostávají výhradně „s pomocí“ svých autorů nebo osob, které je nelegálně používají. Vezměme si Homerovu Iliadu. Po mnoha neúspěšných pokusech vzít Tróju útokem se Řekové uchýlili k lsti. Postavili sochu koně a předstírali, že ustupují, nechali ji Trojanům. Kůň byl však uvnitř prázdný a skrýval oddíl řeckých vojáků. Trójané, kteří uctívali božstvo v podobě koně, sochu sami vtáhli do bran města. Trojské koně používají podobným způsobem implementace: do počítačů se dostávají pod rouškou užitečných, vtipných a často velmi výnosných programů. Uživatel například obdrží e-mail s návrhem na spuštění odeslaného souboru, který obsahuje řekněme milion rublů. Po spuštění tohoto souboru se do počítače tiše dostane program, který provádí různé nežádoucí akce. Může například špehovat majitele napadeného počítače (sledovat, jaké stránky navštěvuje, jaká hesla používá pro přístup na internet atd.) a výsledná data pak odeslat jeho autorovi.

V poslední době se stále častěji objevují případy výskytu takzvaných „mutantů“, tedy škodlivých kódů, které kombinují vlastnosti několika tříd najednou. Typickým příkladem je makrovirus „Melissa“, který loni v březnu způsobil velkou epidemii. Šířil se po sítích jako klasický internetový červ. "LoveLetter" je také kříženec mezi síťovým červem a virem. V těžších případech malware může obsahovat charakteristiky všech tří typů (například virus "BABYLONIA").

PŮVOD POČÍTAČOVÝCH VIRŮ

Kupodivu myšlenka počítačových virů vznikla dlouho před příchodem osobní počítače. V roce 1959 publikoval americký vědec L. S. Penrose v časopise Scientific American článek o samoreprodukujících se mechanických strukturách. Tento článek popsal nejjednodušší model dvourozměrné struktury schopné aktivace, reprodukce, mutace, zachycení. Brzy americký výzkumník F. G. Stahl implementoval tento model pomocí strojového kódu na IBM 650.

V té době byly počítače obrovské, obtížně ovladatelné a extrémně drahé stroje, takže jen tak velké společnosti nebo vládní výpočetní a výzkumná centra. Ale 20. dubna 1977 první „lidový“ osobní Počítač Apple II. Cena, spolehlivost, jednoduchost a snadné použití předurčily jeho široké rozšíření ve světě. Celkový objem prodeje počítačů této řady činil více než tři miliony kusů (bez jeho četných kopií, jako jsou Pravets 8M/S, Agat atd.), což bylo řádově vyšší než počet všech ostatních dostupných počítačů. toho času. K počítačům tak získaly přístup miliony lidí různých profesí, sociálních vrstev a mentality. Není divu, že právě tehdy se objevily první prototypy moderních počítačových virů, protože byly splněny dvě z nejdůležitějších podmínek pro jejich vývoj – rozšíření „životního prostoru“ a vznik prostředků distribuce.

V budoucnu byly podmínky pro viry stále příznivější. Nabídka osobních počítačů dostupných běžnému uživateli se rozšířila nad flexibilní 5palcové magnetické disky rychle se rozvíjely pevné místní sítě, stejně jako technologie pro přenos informací pomocí konvenčních vytáčených telefonních linek. Vznikly první síťové databanky BBS (Bulletin Board System), neboli „nástěnky“, které výrazně usnadnily výměnu programů mezi uživateli. Později se mnoho z nich rozrostlo do velkých online systémy pomoci(CompuServe, AOL atd.). To vše přispělo k realizaci třetího zásadní podmínkou vývoj a šíření virů – začali se objevovat jednotlivci i skupiny lidí podílející se na jejich vzniku.

Kdo píše virové programy a proč? Tato otázka (s žádostí o uvedení adresy a telefonního čísla) se týká zejména těch, kteří již byli napadeni virem a přišli o výsledky mnoha let usilovné práce. Portrét průměrného „pisatele virů“ dnes vypadá takto: muž, 23 let, zaměstnanec banky nebo finanční organizace odpovědný za informační bezpečnost nebo správu sítě. Jeho věk je však podle našich údajů poněkud nižší (14-20 let), studuje nebo nemá vůbec žádné vyučování. Hlavní věc, která spojuje všechny tvůrce virů, je touha vyniknout a prokázat se, a to i na poli hrdinství. V každodenním životě takoví lidé často vypadají jako dotýkající se tichých lidí, kteří by neublížili ani mouše. Veškerá jejich životní energie, nenávist ke světu a sobectví nacházejí odbytiště ve vytváření malých „počítačových šmejdů“. Chvějí se slastí, když zjistí, že jejich „mozek“ způsobil skutečnou epidemii v počítačový svět. To je však již oblast působnosti psychiatrů.

90. léta ve znamení rozkvětu globální síť Internet se ukázal jako nejúrodnější doba pro počítačové viry. Stamiliony lidí na celém světě se chtě nechtě staly „uživateli“ a počítačová gramotnost staly téměř stejně zásadní jako schopnost číst a psát. Pokud se dřívější počítačové viry vyvíjely převážně extenzivně (to znamená, že jejich počet rostl, ale ne kvalitativní charakteristiky), dnes, díky zdokonalování technologií přenosu dat, můžeme říci opak. „Primitivní předky“ jsou nahrazovány stále více „inteligentnějšími“ a „mazanějšími“ viry, mnohem lépe přizpůsobenými novým životním podmínkám. Dnes se virové programy již neomezují pouze na poškozování souborů, boot sektorů nebo přehrávání neškodných melodií. Některé z nich jsou schopny zničit data na čipech základní desky. Technologie maskování, šifrování a distribuce virů přitom někdy překvapí i ty nejzkušenější odborníky.

CO JSOU VIRY

K dnešnímu dni bylo registrováno asi 55 000 počítačových virů. Jejich počet neustále roste, objevují se zcela nové, dříve neznámé typy. Klasifikace virů je rok od roku obtížnější. V obecném případě je lze rozdělit do skupin podle následujících hlavních vlastností: lokalita, operační systém, vlastnosti pracovního algoritmu. Podle těchto tří klasifikací lze například známý černobylský virus přiřadit k souborovým nepolymorfním virům Windows. Pojďme si podrobněji vysvětlit, co to znamená.

1. Stanoviště

V závislosti na lokalitě se rozlišují souborové, spouštěcí a makroviry.

Zpočátku byla nejběžnější forma počítačové „infekce“. souborové viry, „přebývající“ v souborech a složkách operačního systému počítače. Patří mezi ně například „přepisující“ viry (z anglického „overwrite“). Jakmile jsou v počítači, napíší svůj vlastní kód místo kódu infikovaného souboru a zničí jeho obsah. Přirozeně v tomto případě soubor přestane fungovat a nebude obnoven. Jsou to však spíše primitivní viry: zpravidla se velmi rychle odhalí a nemohou způsobit epidemii.

Ještě „lstivější“ se chovají „společníci“-viry (z angl. „Friend“, „companion“). Nemění samotný soubor, ale vytvoří pro něj duplicitní soubor tak, že při spuštění infikovaného souboru převezme kontrolu právě toto dvojče, tedy virus. Například "doprovodné" viry běžící pod DOSem využívají zvláštnosti tohoto operačního systému k tomu, že nejprve spouštějí soubory s příponou COM a poté s příponou EXE. Takové viry vytvářejí dvojčata pro EXE soubory, které mají stejný název, ale s příponou COM. Virus zapisuje do souboru COM a soubor EXE nijak nemění. Při spuštění infikovaného souboru DOS jako první detekuje a spustí soubor COM, tedy virus, a teprve poté virus spustí soubor s příponou EXE.

Někdy „doprovodné“ viry jednoduše přejmenují infikovaný soubor a zapíší svůj vlastní kód na disk pod starým názvem. Například soubor XCOPY.EXE je přejmenován na XCOPY.EXD a virus je zapsán pod názvem XCOPY.EXE. Po spuštění souboru převezme kontrolu kód viru, který následně spustí původní XCOPY, uloženou pod názvem XCOPY.EXD. Viry tohoto typu byly nalezeny v mnoha operační systémy ah - nejen v DOSu, ale také ve Windows a OS/2.

Existují další způsoby, jak vytvořit duplicitní soubory. Například viry typu „path-companion“ „hrají“ na funkce DOS PATH – hierarchický záznam o umístění souboru v systém DOS. Virus zkopíruje svůj kód pod jménem infikovaného souboru, ale neumístí jej do stejného adresáře, ale o úroveň výše. V tomto případě bude DOS první, kdo detekuje a spustí soubor viru.

Princip fungování boot viry založené na spouštěcích algoritmech operačního systému. Tyto viry infikují boot sektor (boot sektor) diskety nebo pevného disku - speciální oblast na disku obsahující program. bootstrap počítač. Pokud změníte obsah spouštěcího sektoru, nemusí se vám podařit ani spustit počítač.

Makroviry- typ počítačového viru vytvořený pomocí jazyků maker zabudovaných do populárních kancelářské aplikace jako Word, Excel, Access, PowerPoint, Project, Corel Draw atd. (viz „Věda a život“ č. 6, 2000). K psaní se používají makrojazyky speciální programy(makra) ke zlepšení efektivity kancelářských aplikací. V aplikaci Word můžete například vytvořit makro, které automatizuje proces vyplňování a odesílání faxů. Poté bude stačit, aby uživatel zadal údaje do polí formuláře a klikl na tlačítko - makro se postará o zbytek. Potíž je v tom, že kromě užitečných se do počítače mohou dostat i škodlivá makra, která mají schopnost vytvářet své kopie a provádět některé akce bez vědomí uživatele, jako je změna obsahu dokumentů, mazání souborů nebo adresářů. . Jedná se o makroviry.

Čím širší jsou možnosti konkrétního makrojazyka, tím mazanější, sofistikovanější a nebezpečnější mohou být makroviry v něm napsané. Nejrozšířenějším makrojazykem dneška je Visual Basic pro aplikace (VBA). Jeho schopnosti se s každou novou verzí rychle zvyšují. Čím pokročilejší kancelářské aplikace tedy budou, tím nebezpečnější bude práce v nich. Makroviry proto dnes představují skutečnou hrozbu pro uživatele počítačů. Podle našich předpovědí budou každým rokem nepolapitelnější a nebezpečnější a rychlost jejich šíření brzy dosáhne nebývalé úrovně.

2. Použitý operační systém.

Každý soubor nebo síťový virus infikuje soubory jednoho nebo více operačních systémů - DOS, Windows, OS/2, Linux, MacOS atd. To je základ pro druhý způsob klasifikace virů. Například virus "BOZA", který funguje pouze na Windows a nikde jinde, je virem Windows. Virus "BLISS" - k linuxovým virům atd.

3. Pracovní algoritmy.

Viry lze také rozlišit podle algoritmů, které používají, tedy různých softwarových triků, které je činí tak nebezpečnými a nepolapitelnými.

Za prvé, všechny viry lze rozdělit na rezidentní a nerezidentní. Rezidentní virus je jako špión neustále pracující v cizí zemi. Po nahrání do paměti RAM počítače v ní virus zůstává, dokud se počítač nevypne nebo nerestartuje. Odtud rezidentní virus provádí všechny své destruktivní akce. Nerezidentní viry neinfikují počítačovou paměť a mohou se „reprodukovat“ pouze tehdy, jsou-li spuštěny.

Všechny makroviry lze také klasifikovat jako rezidentní. Jsou přítomny v paměti počítače po celou dobu běhu jimi infikované aplikace.

Za druhé, viry jsou viditelné i neviditelné. Pro prostého laika je neviditelnost viru možná jeho nejzáhadnější vlastností. Není na tom však nic démonického. "Neviditelnost" znamená, že virus prostřednictvím softwarových triků nedovolí uživateli nebo antivirovému programu zaznamenat změny, které provedl v infikovaném souboru. Stealth virus, který je trvale přítomen v paměti počítače, zachycuje požadavky operačního systému na čtení a zápis takových souborů. Po zachycení požadavku nahradí místo infikovaného souboru jeho původní nepoškozenou verzi. Uživatel tak vždy vidí pouze „čisté“ programy, zatímco virus v tichosti koná svůj „špinavý čin“. Jedním z prvních tajných souborových virů byl „Frodo“ a prvním zaváděcím stealth virem byl „Brain“.

Aby se co nejvíce maskovaly před antivirovými programy, téměř všechny viry používají metody samošifrování nebo polymorfismus, to znamená, že se mohou sami šifrovat a upravovat. Změna vašeho vzhled(programový kód) si viry plně zachovávají schopnost provádět určité škodlivé akce. Dříve dokázaly antivirové programy detekovat viry pouze „od vidění“, tedy podle jejich unikátního programového kódu. Proto výskyt polymorfních virů před několika lety způsobil skutečnou revoluci v počítačové virologii. už existuje generické metody bojovat proti takovým virům.

METODY BOJA PROTI POČÍTAČOVÝM VIRŮM

Je třeba pamatovat na hlavní podmínku pro boj s počítačovými viry - nepropadejte panice. Počítačovou bezpečnost střeží nepřetržitě tisíce špičkových antivirových specialistů, jejichž profesionalita mnohonásobně převyšuje kombinovaný potenciál všech počítačových chuligánů – hackerů. V Rusku provádějí antivirový výzkum dva počítačové společnosti- Kaspersky Lab (www.avp.ru) a SalD (www.drweb.ru).

Abyste úspěšně odolávali pokusům virů proniknout do vašeho počítače, musíte splnit dvě jednoduché podmínky: dodržovat základní pravidla „počítačové hygieny“ a používat antivirové programy.

Od té doby, co existuje antivirový průmysl, bylo vynalezeno mnoho způsobů, jak čelit počítačovým virům. Rozmanitost a rozmanitost dnes nabízených ochranných systémů je skutečně úžasná. Pokusme se zjistit, jaké jsou výhody a nevýhody určitých způsobů ochrany a jak účinné jsou ve vztahu k odlišné typy viry.

K dnešnímu dni existuje pět hlavních přístupů k zajištění antivirové bezpečnosti.

1. Antivirové skenery.

Průkopníkem antivirového hnutí je skenovací program, který se zrodil téměř současně se samotnými počítačovými viry. Principem činnosti skeneru je skenování všech souborů, zaváděcích sektorů a paměti pomocí řetězce detekce virových signatur v nich, tj. programový kód virus.

Hlavní nevýhodou skeneru je nemožnost sledovat různé modifikace viru. Například viru „Melissa“ existují desítky variant a téměř pro každou z nich musely antivirové společnosti vydat samostatnou aktualizaci antivirové databáze.

To vede k druhému problému: po dobu mezi objevením se nové modifikace viru a vydáním odpovídajícího antiviru zůstává uživatel prakticky nechráněný. Je pravda, že později odborníci přišli s a zavedli do skenerů originální algoritmus pro detekci neznámých virů - heuristický analyzátor, který kontroloval kód programu na možnost přítomnosti počítačového viru v něm. Tato metoda však má vysoká úroveň falešně pozitivní, není dostatečně spolehlivý a navíc neumožňuje eliminovat zjištěné viry.

A konečně třetí nevýhodou antivirového skeneru je, že kontroluje soubory pouze tehdy, když ho o to „požádáte“, tedy spustíte program. Mezitím uživatelé velmi často zapomínají kontrolovat pochybné soubory stažené např. z internetu a v důsledku toho jejich vlastníma rukama infikovat počítač. Skener je schopen určit skutečnost infekce až poté, co se virus již objevil v systému.

2. Antivirové monitory.

Antivirové monitory jsou ve své podstatě typem skenerů. Ale na rozdíl od posledně jmenovaných jsou neustále v paměti počítače a provádějí na pozadí kontroly souborů, boot sektorů a paměti v reálném čase. Pro aktivaci antivirové ochrany musí uživatel zavést monitor pouze při spuštění operačního systému. Všechny spustitelné soubory budou automaticky zkontrolovány na přítomnost virů.

3. Vyměňte auditory.

Práce tohoto typu antivirových programů je založena na odstraňování původních „otisků prstů“ (CRC-součty) ze souborů a systémových sektorů. Tyto "otisky prstů" jsou uloženy v databázi. Při dalším spuštění auditor zkontroluje „otisky prstů“ s jejich originály a informuje uživatele o změnách, ke kterým došlo.

Auditoři změn mají i nevýhody. Za prvé, nejsou schopni zachytit virus v okamžiku, kdy se objeví v systému, ale udělají to až po nějaké době, poté, co se virus rozšíří po celém počítači. Za druhé, nemohou detekovat virus v nových souborech (v e-mailu, na disketách, v souborech obnovených ze záložní kopie nebo při rozbalování souborů z archivu), protože v databázích auditorů o těchto souborech nejsou žádné informace. . Toho využívají některé viry, které infikují pouze nově vytvořené soubory a zůstávají tak pro auditory neviditelné. Za třetí, auditoři vyžadují pravidelné spouštění – čím častěji se to dělá, tím spolehlivější bude kontrola virové aktivity.

4. Imunizátory.

Antivirové programy-imunizátory se dělí na dva typy: imunizátory, které hlásí infekci, a imunizátory, které blokují infekci jakýmkoli typem viru.

První se většinou zapisují na konec souborů (podle principu souborového viru) a při každém spuštění souboru se kontroluje, zda nedošlo ke změnám. Takové imunizátory mají jedinou nevýhodu, ale zásadní: jsou absolutně neschopné detekovat neviditelné viry, které svou přítomnost v infikovaném souboru chytře skrývají.

Druhý typ imunizátorů chrání systém před napadením konkrétním virem. K tomu jsou soubory upraveny tak, aby je virus považoval za již infikované. Například pro zamezení napadení COM souboru virem "Jeruzalém" stačí přidat řádek MsDos. A k ochraně proti rezidentnímu viru je do paměti počítače vložen program, který napodobuje kopii viru. Po spuštění na něj virus narazí a věří, že systém je již infikován a nelze si s ním poradit.

Soubory samozřejmě nemůžete imunizovat proti všem známým virům: každý z nich má své vlastní metody pro určení infekce. Proto se imunizátory příliš nepoužívají a v současnosti se prakticky nepoužívají.

5. Blokátory chování.

Všechny výše uvedené typy antivirů neřeší hlavní problém – ochranu před neznámými viry. Počítačové systémy jsou tedy proti nim bezbranné, dokud výrobci antivirů nevyvinou protijedy. Někdy to trvá i několik týdnů. Během této doby můžete ztratit všechny důležité informace.

Jednoznačně odpovědět na otázku "co dělat s neznámými viry?" uspějeme až v nadcházejícím tisíciletí. Některé předpovědi však lze učinit již dnes. Podle našeho názoru je nejslibnějším směrem antivirové ochrany vytváření tzv. behaviorálních blokátorů. Právě ty dokážou útokům nových virů odolat s téměř stoprocentní zárukou.

Co je to blokátor chování? Jedná se o program, který je neustále v paměti RAM počítače a „zachycuje“ různé události v systému. Pokud jsou zjištěny „podezřelé“ akce (které může provést virus nebo jiný škodlivý program), blokátor tuto akci zakáže nebo požádá uživatele o povolení. Jinými slovy, blokátor nevyhledává kód viru, ale sleduje a brání jeho činnosti.

Teoreticky může blokátor zabránit šíření jakéhokoli známého nebo neznámého (psáno za blokátorem) viru. Problém je ale v tom, že „virové“ akce může provádět i samotný operační systém užitečné programy. Blokátor chování (zde máme na mysli „klasický“ blokátor, který se používá k boji souborové viry) nemůže samostatně určit, kdo přesně provádí podezřelou akci - virus, operační systém nebo nějaký program, a proto je nucen požádat uživatele o potvrzení. Uživatel, který činí konečné rozhodnutí, tedy musí mít dostatečné znalosti a zkušenosti, aby mohl dát správnou odpověď. Ale takových lidí je málo. To je důvod, proč se blokátory ještě nestaly populárními, i když samotná myšlenka na jejich vytvoření se objevila již dávno. Výhody těchto antivirových programů se často staly jejich nevýhodami: zdály se příliš rušivé, obtěžovaly uživatele svými neustálými požadavky a uživatelé je jednoduše smazali. Bohužel tuto situaci lze napravit pouze použitím umělé inteligence, která by nezávisle pochopila důvody toho či onoho podezřelého jednání.

Nicméně i dnes lze behaviorální blokátory úspěšně použít k boji proti makrovirům. V programech napsaných v makrojazyku VBA je možné s velmi vysokou mírou pravděpodobnosti odlišit škodlivé akce od užitečných. Na konci roku 1999 vyvinula společnost Kaspersky Lab jedinečný systém antivirové ochrany pro MS Office (verze 97 a 2000) založený na nových přístupech k principům blokování chování – AVP Office Guard. Díky analýze chování makrovirů byly určeny nejčastější sekvence jejich akcí. To umožnilo zavést do blokovacího programu nový vysoce inteligentní systém filtrování makro akcí, který téměř neomylně identifikuje ty, které představují skutečné nebezpečí. Díky tomu blokátor AVP Office Guard na jednu stranu klade uživateli mnohem méně otázek a není tak „vtíravý“ jako jeho souborové protějšky a na druhou stranu téměř 100% ochrání počítač před makroviry. jak známé, tak dosud nenapsané.

AVP Office Guard dokonce zachycuje a blokuje spouštění multiplatformních makrovirů, tedy virů, které mohou pracovat v několika aplikacích najednou. Kromě toho program AVP Office Guard ovládá činnost maker pomocí externí aplikace, včetně s e-mailové programy. To eliminuje možnost šíření makrovirů prostřednictvím e-mailu. Ale tímto způsobem v květnu tohoto roku zasáhl virus „LoveLetter“ desítky tisíc počítačů po celém světě.

Účinnost blokátoru by byla nulová, pokud by jej mohly makroviry svévolně zakázat. (Toto je jeden z nedostatků antivirové ochrany zabudované v aplikacích MS Office.) AVP Office Guard má nový mechanismus, jak čelit útokům makrovirů na sebe, aby je deaktivoval a odstranil ze systému. To může udělat pouze uživatel. Používání AVP Office Guard vám tedy ušetří věčné bolesti hlavy se stahováním a připojováním aktualizací antivirové databáze pro ochranu před novými makroviry. Po instalaci tento program spolehlivě ochrání váš počítač před makroviry, dokud nebude vydána nová verze jazyka. Programování VBA s novými funkcemi, které lze použít k zápisu virů.

Přestože blokátor chování řeší problém detekce a zabránění šíření makrovirů, není určen k jejich odstranění. Proto je nutné jej používat ve spojení s antivirovým skenerem, který je schopen detekovaný virus úspěšně zničit. Blokátor vám umožní bezpečně přečkat období mezi detekcí nového viru a vydáním aktualizace antivirové databáze pro skener bez přerušení práce počítačové systémy ze strachu z trvalé ztráty cenných dat nebo vážného poškození hardwaru počítače.

PRAVIDLA "POČÍTAČOVÉ HYGIENY"

"V žádném případě neotevírejte soubory zaslané e-mailem od vám neznámých lidí. I když je vám adresát známý, buďte opatrní: vaši přátelé a partneři nemusí mít podezření, že se na jejich počítači namotal virus, který tiše zasílá své kopie na adresy z jejich adresář.

" Ujistěte se, že všechny diskety, CD a další mobilní paměťová média, stejně jako soubory přijaté z internetu a dalších veřejných zdrojů (BBS, elektronické konference atd.) skenujete s maximální úrovní kontroly virovým skenerem.

„Utraťte naplno antivirová kontrola počítač poté, co jej obdržíte od servisu. Opraváři používají ke kontrole všech počítačů stejné diskety – velmi snadno si mohou přinést „infekci“ z jiného stroje!

Nainstalujte včas "záplaty" od výrobců operačních systémů a programů, které používáte.

" Buďte opatrní, když ostatním uživatelům povolujete přístup k vašemu počítači.

" Chcete-li zvýšit bezpečnost svých dat, pravidelně zálohujte informace na nezávislých médiích.