Лечение вирусов

Каждый компьютерный пользователь, хотя бы раз в своей практике сталкивался с тем, что «компьютер начинает жить своей жизнью». Это может быть связано с действием компьютерных вирусов, т.е. вредоносных программ, которые способны выполнять деструктивные действия и саморазмножаться. В этом случае, возникает необходимость «лечить компьютер».

Основными симптомами «зараженного» компьютера являются:

– уменьшение скорости загрузки и замедление работы на компьютере;
– изменение размера файла и даты работы с файлом;
– загрузка операционной системы с ошибками;
– отказ компьютера сохранять файлы в нужном каталоге;
– появление баннера, который затрудняет, либо блокирует работу на компьютере (см. рисунок);
– блокирование сайтов, перенаправления на другие страницы и т.д.

Мы предоставляем услуги по «лечению» компьютера и удалению вирусов. В таблице приведена стоимость услуг по диагностике и удалению вредоносных программ.

Как уже было сказано выше, вирусы – это программы, поэтому они действуют исключительно программным путем, т.е. проникают в тело файла или присоединяются к нему. После того, как был запущен «зараженный файл», некоторые вирусы становятся резидентными, т.е постоянно находятся в оперативной памяти компьютера, засоряя ее и заражая другие файлы. Другие вирусы сразу начинают действовать – могут удалять файлы и даже отформатировать диск.

Для борьбы с компьютерными вирусами разрабатываются различные антивирусные программы. Однако, т.к. разработчиков антивирусных программ много, то возникла необходимость выработать единые названия вирусов и классифицировать вирусы по типам. Вот основные типы вирусов, которые «заражают» компьютер:

• Бутовые (загрузочные) вирусы – заражают загрузочные секторы дисков. Эти вирусы самые опасные, т.к. могут привести к потере информации, которая хранится на зараженном диске.

• Файловые вирусы. Их делят на несколько подтипов, в зависимости от действия вирусов:

- вирусы, которые заражают файлы с расширениями .exe и .com (т.е. исполняемые файлы);
- вирусы, которые заражают файлы данных (макро-вирусы);
- вирусы, которые используют имя другого файла, так называемые «спутники»;
- вирусы, искажающие информацию о структуре файлов (Dir - вирусы).

• Загрузочно-файловые вирусы – способны «инфицировать» как код файла, так и код загрузочного сектора диска. Это малочисленная группа вирусов. Наиболее «ярким» представителем» этой группы является вирус OneHalf.

• Вирусы-невидимки. Их еще называют стелс-вирусами. Они изменяют полученную информацию и передают другим программам неверные данные. Например, при просмотре файлов антивирусной программой, стелс-вирусы могут заменять при сканировании «зараженный» файл на файл без вирусов, либо изменять информацию о длине файла. Тем самым, скрывая свое присутствие. Эти вирусы являются большой проблемой для антивирусных программ. «Поймать» маскирующийся вирус способна, на данный момент, программа-ревизор дисков Adinf.

• Ретровирусы – это «враги» антивирусных программ. Они стремятся уничтожить базы данных в антивирусных программах, тем самым, сделав их бесполезными.

• Вирусы-черви. Очень опасны тем, что «зараженный» файл не содержит код вируса. Проникают в компьютер пользователя через сообщения, которые приходят по электронной почте. Поэтому, переход по ссылкам, которые пришли в «непонятных» письмах, может привести к местонахождению самого вируса.

Так как же происходит «отлавливание» вирусов? Для каждого вируса характерна своя уникальная сигнатура, т.е. последовательность символов, которые характеризуют конкретный вирус. Если привести пример из жизни, то, конечно же, каждый вспомнит, что строки «У лукоморья дуб зеленый…» принадлежит перу Пушкина, а «Белеет парус одинокий» – Лермонтову. Так и с компьютерными вирусами – достаточно выделить сигнатуру вируса, прописать его в базу данных антивирусной программы, и она, сравнивая последовательность символов в файле, сможет находить «зараженные» файлы. Но, этот метод не всегда срабатывает, тем более, что происходит постоянное совершенствование компьютерных вирусов с целью сокрытия их от идентификации антивирусными программами. Потому, появились вирусы, которые шифруют свой код и простым сравниванием «чистого» и «зараженного» файлов его нельзя выделить. В зашифрованном виде код вируса выглядит как набор бессмысленных команд, однако, в процессе исполнения, вирус самостоятельно расшифровывает информацию, которая содержится в коде. После выполнения команд, вирус может заново зашифровывать код, причем не всегда так же как было раньше. Поэтому, для того, чтобы получить код вируса, разработчикам антивирусных программ приходится немало поработать.

Решить такую непростую задачу помогает то, что у вируса в обязательном порядке содержится некоторый незашифрованный фрагмент, который содержит информацию по расшифровке кода. По данному фрагменту можно смоделировать сигнатуру данного вируса, а дальше действовать так, как было описано выше. Однако, в последнее время, ситуация изменилась и теперь вирусы способны не только зашифровывать свой код, но и изменять фрагменты-расшифровщики. Они получили название «полиморфные вирусы». Несмотря на то, что уже было упоминание о существовании компьютерных макро-вирусов, хочется остановиться на них более подробно, тем более, что их уже «наплодилось» порядка тысячи разных видов. Они способны поражать файлы с документами, оформленными в программах пакета Microsoft Office (Word, Excel…), AmiPro. Большинство макро-вирусов написано для MS Word (порядка 90% всех макро-вирусов). Все вышеперечисленные программные пакеты используют встроенные макроязыки, такие как Visual Basic, Word Basic. Возможностями макроязыков пользуются вирусы, которые с помощью команд макроязыков могут переходить от «зараженного» файла к другим файлам. На сегодняшний день, антивирусные программы «научили» разбирать структуру DOC-файлов. Антивирусная программа Dr.Web стала одной из первых, кто научился «вычислять» макро-вирусы, которые еще не известны антивирусу с помощью встроенного эвристического анализатора.

И, наконец, существует еще один, не менее вредный вирус PM.Wanderer, который способен «пробивать» нулевую защиту компьютера, т.е. он работает в защищенном режиме процессора i386. При запуске и открытии этот вирус заражает .exe и .com –файлы, за исключением файла COMMAND.com. Этот интересный факт Игорь Данилов, автор Doctor Web, объясняет тем, что имя файла содержит 7 букв, а данный вирус определяет не имя файла, а подсчитывает CRC. Данный вирус относится к полиморфным, т.е. шифрует свой код и записывает себя в середину exe-файлов и в начало com-файлов. А код вируса всегда находится в конце файла. Он невидим для обычных антивирусных программ и утилит для просмотра памяти. Поэтому, «отловить» вирус можно только в защищенном режиме с наивысшими привилегиями. В связи с этим, рекомендуется перезагрузка с системной дискеты (диска) и только в этом случае «лечение компьютера» принесет результаты.