Рэзідэнтныя вірусы: што гэта і як знішчыць. кампутарныя вірусы

Большасць карыстальнікаў хоць раз у жыцці сутыкаліся з паняццем кампутарных вірусаў. Праўда, не многія ведаюць, што класіфікацыя пагроз у аснове сваёй складаецца з двух вялікіх катэгорый: нерэзідэнтных і рэзідэнтныя вірусы. Спынімся на другім класе, паколькі менавіта яго прадстаўнікі з'яўляюцца найбольш небяспечнымі, а часам і неудаляемое нават пры фарматаванні дыска ці лагічнага падзелу.

Што такое рэзідэнтныя вірусы?

Такім чынам, з чым жа мае справу карыстальнік? Для спрошчанага тлумачэння структуры і прынцыпаў працы такіх вірусаў для пачатку варта спыніцца на тлумачэнні таго, што такое рэзідэнтнай праграмы наогул.

Лічыцца, што да такога тыпу праграм ставяцца прыкладанні, якія працуюць пастаянна ў рэжыме маніторынгу, відавочным чынам не выяўляючы сваіх дзеянняў (напрыклад, тыя ж штатныя антывірусныя сканары). Што ж тычыцца пагроз, пранікальных у кампутарныя сістэмы, яны не толькі вісяць пастаянна ў памяці кампутара, але і ствараюць уласныя дублі. Такім чынам, копіі вірусаў і пастаянна сочаць за сістэмай, і перамяшчаюцца па ёй, што істотна ўскладняе іх пошук. Некаторыя пагрозы здольныя яшчэ і мяняць ўласную структуру, а іх дэтэктаванне на аснове агульнапрынятых метадаў становіцца практычна немагчымым. Крыху пазней разгледзім, як пазбавіцца ад вірусаў такога тыпу. А пакуль спынімся на асноўных разнавіднасцях рэзідэнтных пагроз.

DOS-пагрозы

Першапачаткова, калі Windows- або UNIX-падобных сістэм яшчэ і ў памоўцы не было, а зносіны карыстальніка з кампутарам адбывалася на ўзроўні каманд, з'явілася «аперацыёнка» DOS, дастаткова доўга пратрымалася на піку папулярнасці.

І менавіта для такіх сістэм пачалі стварацца нерэзідэнтных і рэзідэнтныя вірусы, дзеянне якіх спачатку было накіравана на парушэнне працаздольнасці сістэмы або выдаленне карыстацкіх файлаў і тэчак.

Прынцып дзеяння такіх пагроз, які, дарэчы, шырока ўжываецца і да гэтага часу, складаецца ў тым, што яны перахопліваюць звароту да файлаў, а пасля гэтага заражаюць які выклікаецца аб'ект. Зрэшты, большасць вядомых сёння пагроз працуе менавіта па гэтаму тыпу. Але вось пранікаюць вірусы ў сістэму або праз стварэнне рэзідэнтных модуля ў выглядзе драйвера, які адзначаецца ў файле сістэмнай канфігурацыі Config.sys, альбо праз выкарыстанне спецыяльнай функцыі KEEP для адсочвання перапыненняў.

Горш справа ідзе ў тым выпадку, калі рэзідэнтныя вірусы такога тыпу выкарыстоўваюць вылучэнне пад сябе абласцей сістэмнай памяці. Сітуацыя такая, што спачатку вірус «адразае» кавалак вольнай памяці, затым пазначае гэтую вобласць як занятую, пасля чаго захоўвае ў ёй уласную копію. Што самае сумнае, вядомыя выпадкі, калі копіі знаходзяцца і ў відэапамяці, і ў абласцях, зарэзерваваных пад буфер абмену, і ў табліцах вектараў перапыненняў, і ў працоўных абласцях DOS.

Усё гэта робіць копіі вірусных пагроз настолькі жывучымі, што яны, у адрозненне ад нерэзідэнтных вірусаў, якія працуюць, пакуль запушчана нейкая праграма або функцыянуе аперацыйная сістэма, здольныя актывавацца зноў нават пасля перазагрузкі. Акрамя таго, пры звароце да заражанага аб'екту вірус здольны ствараць уласную копію нават у аператыўнай памяці. Як следства - маментальнае завісанне кампутара. Як ужо зразумела, лячэнне вірусаў гэтага тыпу павінна вырабляцца пры дапамозе адмысловых сканараў, прычым пажадана не стацыянарных, а партатыўных ці тых, якія здольныя загружацца з аптычных дыскаў або USB-носьбітаў. Але пра гэта крыху пазней.

загрузныя пагрозы

Загрузныя вірусы пранікаюць у сістэму па падобным метадзе. Вось толькі вядуць яны сябе, што называецца, вытанчана, спачатку «з'ядаючы» кавалак сістэмнай памяці (звычайна 1 Кб, але часам гэты паказчык можа дасягаць максімум 30 Кб), затым прапісваючы туды уласны код у выглядзе копіі, пасля чаго пачынаючы патрабаваць перазагрузку. Гэта багата негатыўнымі наступствамі, паколькі пасля рэстарту вірус аднаўляе паменшаную памяць да зыходнага памеру, а яго копія аказваецца па-за сістэмнай памяці.

Акрамя адсочвання перапыненняў такія вірусы здольныя прапісваць ўласныя коды ў загрузным сектары (запіс MBR). Некалькі радзей выкарыстоўваюцца перахопы BIOS і DOS, прычым самі вірусы загружаюцца аднакратна, не правяраючы наяўнасць ўласнай копіі.

Вірусы пад Windows

З з'яўленнем Windows-сістэм распрацоўкі вірусаў выйшлі на новы ўзровень, на жаль. Сёння менавіта Windows любой версіі лічыцца найбольш ўразлівай сістэмай, нягледзячы нават на намаганні, прыкладзеныя спецыялістамі карпарацыі Microsoft у вобласці распрацоўкі модуляў бяспекі.

Вірусы, разлічаныя на Windows, працуюць па прынцыпах, падобным з DOS-пагрозамі, вось толькі спосабаў пранікнення на кампутар тут значна больш. З самых распаўсюджаных вылучаюць тры асноўныя, па якіх у сістэме вірус можа прапісаць уласны код:

• рэгістрацыя віруса як які працуе ў дадзены момант прыкладання;
• вылучэнне блока памяці і запіс у яго уласнай копіі;
• праца ў сістэме пад выглядам драйвера VxD або маскіроўка пад драйвер Windows NT.

Заражаныя файлы або вобласці сістэмнай памяці, у прынцыпе, можна вылечыць стандартнымі метадамі, якія ўжываюцца ў антывірусных сканара (дэтэктаванне па масцы віруса, параўнанне з базамі сігнатур і т. Д.). Аднак калі выкарыстоўваюцца прасценькія бясплатныя праграмы, яны могуць вірус і ня вызначыць, а часам нават выдаць ілжывае спрацоўванне. Таму промні ўжываць партатыўныя ўтыліты накшталт «Доктар Вэб» (у прыватнасці, Dr. Web CureIt!) Або прадукты "Лабараторыі Касперскага". Зрэшты, сёння можна знайсці досыць шмат утыліт такога тыпу.

Макра-вірусы

Перад намі яшчэ адна разнавіднасць пагроз. Назва паходзіць ад слова «макрас», гэта значыць выкананага аплета або надбудовы, якія выкарыстоўваюцца ў некаторых рэдактарах. Нядзіўна, што запуск віруса адбываецца ў момант старту праграмы (Word, Excel і т. Д.), Адкрыцця офіснага дакумента, яго друку, выкліку пунктаў меню і т. П.

Такія пагрозы ў выглядзе сістэмных макрасаў знаходзяцца ў памяці на працягу ўсяго часу працы рэдактара. Але ў цэлым калі разглядаць пытанне аб тым, як пазбавіцца ад вірусаў дадзенага тыпу, рашэнне аказваецца досыць простым. У некаторых выпадках дапамагае нават звычайнае адключэнне надбудоў або выканання макрасаў ў самым рэдактары, а таксама задзейнічанне антывіруснай абароны аплетаў, не кажучы ўжо аб звычайным хуткім сканаванні сістэмы антывіруснымі пакетамі.

Вірусы на аснове тэхналогіі «стэлс»

Цяпер паглядзім на маскіруюцца вірусы, бо нездарма ж яны атрымалі сваю назву ад самалёта-невідзімкі.

Сутнасць іх функцыянавання як раз і складаецца ў тым, што яны выдаюць сябе за сістэмны кампанент, а вызначыць іх звычайнымі спосабамі часам аказваецца досыць складанай справай. Сярод такіх пагроз можна знайсці і макровирусы, і загрузныя пагрозы, і DOS-вірусы. Лічыцца, што для Windows стэлс-вірусы яшчэ не распрацаваны, хоць многія спецыялісты сцвярджаюць, што гэта ўсяго толькі справа часу.

файлавыя разнавіднасці

Наогул усе вірусы можна назваць файлавымі, паколькі яны так ці інакш закранаюць файлавую сістэму і ўздзейнічаюць на файлы, ці то заражаючы іх уласным кодам, ці то шыфруючыся, ці то робячы недаступнымі па прычыне псуты або выдаленні.

Самымі простымі прыкладамі можна назваць сучасныя вірусы-шыфравальшчыкам (вымагальнікі), а таксама сумна вядомы I Love You. З імі без спецыяльных расшыфровачнага ключоў лячэнне вірусаў вырабіць не тое што складана, а часцяком немагчыма наогул. Нават вядучыя распрацоўшчыкі антывіруснага ПА бяссільна разводзяць рукамі, бо, у адрозненне ад сучасных сістэм шыфравання AES256, тут ужываецца тэхналогія AES1024. Самі разумееце, што на расшыфроўку можа сысці не адзін дзясятак гадоў, зыходзячы з колькасці магчымых варыянтаў ключа.

паліморфныя пагрозы

Нарэшце, яшчэ адна разнавіднасць пагроз, у якіх ужываецца з'ява палімарфізму. У чым яно складаецца? У тым, што вірусы пастаянна змяняюць уласны код, прычым робіцца гэта на аснове так званага плавае ключа.

Іншымі словамі, па масцы вызначыць пагрозу немагчыма, паколькі, як бачым, змяняецца не толькі яе структура на аснове кода, але і ключ да расшыфроўцы. Для барацьбы з такімі праблемамі прымяняюцца спецыяльныя паліморфныя дэшыфратары (расшифровщики). Праўда, як паказвае практыка, яны здольныя расшыфраваць толькі самыя простыя вірусы. Больш складаныя алгарытмы, нажаль, у большасці выпадкаў іх ўздзеянню не паддаюцца. Асобна варта сказаць, што змяненне кода такіх вірусаў спадарожнічае стварэнні копій з паменшанай іх даўжынёй, якая можа адрознівацца ад арыгінала вельмі істотна.

Як змагацца з рэзідэнтную пагрозамі

Нарэшце, пераходзім да пытання, якое датычыцца барацьбы з рэзідэнтную вірусамі і абароны камп'ютэрных сістэм любога ўзроўню складанасці. Самым простым спосабам пратэкцыі можна лічыць інсталяцыю штатнага антывіруснага пакета, вось толькі выкарыстоўваць лепш не бясплатныя праграмы, а хаця б умоўна-бясплатныя (trial) версіі ад распрацоўшчыкаў накшталт «Доктар Вэб», «Антывірус Касперскага», ESET NOD32 або праграмы тыпу Smart Security, калі юзэр пастаянна працуе з Інтэрнэтам.

Зрэшты, і ў гэтым выпадку ніхто не застрахаваны ад таго, што пагроза не пракрадзецца на кампутар. Калі ўжо такая сітуацыя адбылася, для пачатку варта ўжываць партатыўныя сканеры, а лепш выкарыстоўваць дыскавыя ўтыліты Rescue Disk. З іх дапамогай можна вырабіць загрузку інтэрфейсу праграмы і сканаванне яшчэ да старту асноўнай аперацыйнай сістэмы (вірусы могуць ствараць і захоўваць уласныя копіі ў сістэмнай і нават у аператыўнай памяці).

І яшчэ: не рэкамендуецца выкарыстоўваць праграмнае забеспячэнне накшталт SpyHunter, а то потым ад самога пакета і яго спадарожных кампанентаў пазбавіцца недасведчанаму карыстачу будзе праблематычна. І, вядома ж, не варта адразу выдаляць заражаныя файлы або спрабаваць фарматаваць вінчэстар. Лепш пакінуць лячэнне прафесійным антывірусным прадуктам.

заключэнне

Застаецца дадаць, што вышэй разгледжаны толькі асноўныя аспекты, якія датычацца рэзідэнтных вірусаў і метадаў барацьбы з імі. Бо калі паглядзець на кампутарныя пагрозы, так бы мовіць, у глабальным сэнсе, кожны дзень з'яўляецца такое велізарнае іх колькасць, што распрацоўшчыкі сродкаў абароны проста не паспяваюць прыдумляць новыя метады барацьбы з такімі надыходзяць.