Компютърни вируси - 3/3
Начало

Компютърни вируси - 3/3

6. Поведение на компютърната система при заразяване.
Наличието на вирус в компютъра не винаги се установява навреме от неговия потребител. Това може да доведе до безпрепятственото му разпространяване, което увеличава риска от поразяване. Типичните симптоми, които са знак за наличието на вирус в компютърната система са:
- забавена работа на компютъра;
- приложните програми изискват несанкциониран достъп до твърдия диск или дискета;
- продължително време за зареждане на програмите;
- неочакван недостиг на памет;
- неестествено голям размер на файловете;
- неадекватно поведение на системата;
- безпричинно изчезване, повреждане или промяна в размера на файла;
- нарастване броя на дефектните сектори по носителите;
- съобщения или повреди на дисковите устройства;
- получаване на файлове със странни имена или с двойни разширения;
- извеждане на съобщения, които нямат нищо общо с възложената на компютъра работа;
- блокиране на клавиатурата или мишката;
- неочаквано появяващи се надписи или анимации;
- изненадващо и неочаквано рестартиране на компютъра;
- изчезване на файлове и разместване на папки;
- невъзможност за зареждане на операционната система.
При съмнение за наличието на вирус трябва: Да се рестартира компютъра чрез бутона Reset, а не чрез комбинацията от клавиши Ctrl + Alt + Del, защото повечето вируси са способни да издържат удара и остават в паметта. След това е необходимо да се стартира поне една програма за антивирусна защита. Най-добре е да се използват няколко програми от различни производители, което би осигурило по-пълно засичане на заразените файлове и вируса (вирусите) които са ги заразили.
Изтриват се всички заразени файлове и се възстановяват от архив. Проверява се дали настройките във BIOS-а не са разбъркани от вируса. Някои вируси променят настройките на BIOS-а така, че да се прескачат флопитата. Ако настройките са разбъркани трябва да се възстановят. Други вируси просто разбъркват настройките на BIOS-а, за да не може въобще да се стартира компютъра. Трети вируси се записват в BIOS-а на компютъра и се зареждат с данните за компютъра. Препоръчително е да се изтриват всичките заразени файлове защото няма гаранция, че изчистването на файла (ако е възможно) е отстранило тялото и кода на вируса изцяло и коректно и има възможност "изчистеният" файл да се зарази отново. Винаги възстановяването на файловете от архив трябва да става след като заразените файлове са изтрити. Когато е засечена инфекция веднага трябва да се преформатират всички дискети, които са масово използвани от BIOS-а на компютъра, ако тази опция е включена (някои стари BIOS-и нямат директно записана настройваща програма на самия чип и ползват специални дискети на които е записана настройващата програма.) Това предпазва от повторно заразяване. Вирусът създава множество свои копия върху дискетата - заразява я. Ако тези дискети се използват повторно преди да се преформатират ще се разпространи заразата отново. Преди стартиране на коя да е антивирусна програма трябва да се рестартира от гарантирано чиста системна дискета, която трябва да бъде защитена срещу запис. Програмите, които ще се стартират срещу вирусите трябва да са на същата системна дискета от която е заредено. Премахването на BIOS-вирус става по следния начин: Стартира се BIOS-а и внимателно се преписват всички настройки. Сваля се от дънната платка батерийката, захранваща BIOS и се сваля и BIOS чипa за около 1 минута - достатъчна да се изтрият променливите на опциите на BIOS и самия вирус. После по обратен ред се връщат на местата обратно първо BIOS чипа и после батерийката. Включва се компютъра и се възстановяват обратно преписаните настройки от началото.
Добра идея е при Windows 95/98 да се използва сканиране от Safe mode, защото тоагва се зарежда само Windows в минимален режим и ако има вируси, те няма да се заредят, освен ако не са заразили win.com файла.
Ако вируса се разпространява по е-mail, то тогава се преписват всички адреси в тефтерче и се изтриват от адресната книга, после се спира интернет връзката, откача се телефонния кабел от модема и се следват горните описания. Най-добре е с всичко това да се занимава специалист.
7. Антивирусни програми.
За борба срещу вирусите се създават специални програми за антиви-русна защита, наречени антивирусни програми. Те проверяват компютъра за наличието на вируси. Антивирусния софтуер бива два типа: антивирусни програми и програми, изпълняващи ролята на “защитна стена” (firewall) за компютъра или локалната мрежа. Целта на програмите от тип “защитна стена” е да не допускат заразяването, като предотвратят нерегламентирания достъп до компютърната система.
Известни антивирусни програми са Norton Antivirus, McAfee Antivirus, F-Prot, Kaspersky Antivirus, Panda Antivirus и много други.
Антивирусната програма е програма, следяща всички процеси в компютъра за някакъв вид активност, която би могла да повреди файлове в компютъра или да форматира диска, или да нанесе всякакви поражения. Тя се състои от няколко основни части
- База данни с дефиниции на вируси - това са ключови уникални низове от тялото на вируса - части от вируса по които вируса бива идентифициран.
- Файлов скенер - тази част от антивирусната програма преглежда файловете за тези ключови низове - и ако ги има предприема мерки за отстраняването на вируса - това става чрез "имунизация на файла". Често пъти антивирусните програми записват като скрити файлове из свойте или из всички папки файлове които съдържат информация за файла - атрибутите: checksum - контролна сума, CRC - Cyclical Redundancy Check на файла и размер на файла. При зараза тези атрибути се променят за да напаснат на новите процедури във файла. Един файл може да има само един верен CRC и една вярна контролна сума за даден размер на файла. При премахване на вируса антивирусната програма премахва частите на вируса докато новите контролна сума, размера и CRC не съвпаднат с тези в контролния файл записани преди заразата. Ако програмата е безвъзвратно повредена то антивирусната програма няма друг избор, освен да изтрие заразения файл. Най-добрите програми като F-Secure, McAfee virus scan, AVX, Panda Antivirus, Norton Antivirus използват комбинирани методи за сканиране като включват имунизация. Това сканиране се състои от сканиране за низове, сканиране за промяна на CRC и на контролната сума и размера на файла едновременно. Така се улавят непознати вируси. Тази техника дори позволява да се изчислат с приближение шансовете за възстановяване на файла. Не рядко е имало успехи при премахването на непознати вируси.
- Резидентен модул - този модул тази част е подобно на скенера, но вместо да следи файловете по твърдия диск в непроменено състояние, тя следи за всичко това когато един файл се копира, мести, стартира, отваря, записва, редактира, затвара и прочие действия с файлове. При откриване на зараза, резидентната част извиква файловия скенер като преустановява работата на текущия процес, предизвикал тревогата. Резидентния модул затваря всички файлове и ги записва по твърдия диск след което потребителя бива подканен да стартира файловия скенер. Резидентния модул сканира за вичко това в реално време като използва част от системните ресурси, като краен ефект се забелязва леко забавяне на компютъра.
- Интерфейс - това е тази част от антивирусната програма, която потребитела вижда и чрез която той общува с антивирусната програма. Колкото по лек, приятен за окото и по интуитивен е той, толкова по-лесно и ефективно се работи с програмата.
- Евристичен скенер - това са допълнителни алгоритми изследващи поведението на файла, анализират резултата от поведението и решават да вдигнат ли тревога. Тези скенери са много чувствителни и мнителни. Възможно е те да вдигнат празна тревога. Ако файла е заразен то вие сте получили предупреждение и можете да го сложите в карантина където да решите какво да го правите. Но карантинната папка не е 100% сигурна. Тя не позволява на софтуера да преглежда файловете, но вие винаги можете да се поровите с файловия си мениджър по диска и да ровите в папката. (Карантинна папка – това е една папка която се създава от антивирусната програма с цел там да се държат съмнителни или заразени файлове, докато решите какво да ги правите или да ги изтриете.)
- Допълнителни модули и функции - срещат се при първокласните програми, които трябва да бъдат прецизни до краен предел.
* Мрежови модули - позволяват антивирусната програма да се инсталира само на сървъра в мрежа а програмата да покрива цялата мрежа - сканиране, следене на заявките, следене на трафика, интернет връзката, и всичко което използва мрежата.
* WEB филтри - тези модули позволяват да се ограничи достъпа до потенциално опасни сайтове, а и родителите могат да ги използват за ограничаване на достъпа до порнографски сайтове или сайтове с насилие или оскърбително съдържание. С тях може да се блокират и банерите и рекламите като се каже на филтъра да филтрира рекламния сървър.
* Пощенски модул - едно допълнение което би трябвало да е в секцията задължителни. Този модул сканира пощата ви, като се активира само ако работите с нея.
* Даунлоад контрол - следи всичко което се тегли от мрежата, като отново се активира само при заявка за даунлоад.
* Архивен Модул - създава архивно копие на твърдия диск върху външен носител. Това е най-висшата степен на защита - ако има проблем, програмата изтрива заразените файлове и възстановява техни копия от архива.
Много антивирусни програми предлагат възможност да се отстрани вирусът веднага след откриването му. Тази задача може да се управлява от потребителя. Това означава, че той може да избира между следните възможности:
- никакво отстраняване;
- отстраняване след потвърждение;
- отстраняване без потвърждение с допълнителна възможност да се изчисти заразения файл или той да се изтрие от твърдия диск.
Част от антивирусните програми при стартиране на компютърната система се зареждат в паметта. При опит за четене или запис от дискета те проверяват за наличието на вируси преди изпълнението на операцията. Друга част от антивирусните програми се използват за проверка и отстраняване на вируси в процеса на работа с компютъра. Най-добрите програми позовляват проверка на постъпващите данни в персоналния компютър от локалната мрежа и Интернет, в това число и електронната поща.
Няколко са основните характеристики, съществени при оценяване работата на едн антивирусна програма:
- Области на приложение – до каква степен програмата осигурява защита от повторна инфекция и отстраняване на вируса;
- Брой на вирусите за откриване – програмата трябва да предоставя списък на вирусите, които открива и да отчита процентната грешка при сканирането;
- Необходимо време за търсене – добрите програми притежават възможност за извършване на сканиране в предварително програмируемо време, когато не се работи активно със системата;
- Редовна актуализация – тъй като непрекъснато се появяват нови вируси, трябва антивирусните програми да се обновяват със средства за борба срещу тези нови вируси (т. нар. антивирусни дефиниции). Това става посредством актуализация чрез Интернет.
Освен отстраняването на вируси тези програми осигуряват защита срещу несанкционирани опити за запис върху носител или неговото форматиране и срещу промяна на boot-сектора на твърдия диск или дискета. Те се грижат за проверка на появили се лоши сектори. Добрите програми за антивирусна защита дават съобщение при опит за инсталиране на резидентни програми.
Единственото научно звено у нас, специализирано в борбата с вируси, е Националната лаборатория по компютърна вирусология при Българска Академия на Науките. Тя предлага комплект от антивирусни програми, в които влизат Dir2Clr, VirC, F-Prot, F-Macrow, F-stop, Agent и др. По нейни данни 80% от случаите на заразяване в страната стават чрез комуникационни връзки, а останалите 20% - чрез дискети.
8. Правила за предпазване от компютърни вируси.
- Да се използват програми, в чийто произход сме сигурни. (Предимството е на страната на оригиналния софтуер.);
- Ограничаване на достъпа до компютъра на външни лица (в най-голяма степен това се отнася до компютърните игри). Колкото кръгът на работещите е по-ограничен, толкова сигурността е по-голяма;
- Редовно да се правят копия на файловете с данни и на по-важните програми, като трябва да сме сигурни, че когато правим копията, компютърът е “чист”;
- Изтриване незабавно на всички програми, за които имаме съмнения, че може да са заразени;
- Да се инсталира антивирусна програма и винаги да се свалят най-новите антивирусни дефиниции за нея от Интернет (най-добре от сайта на производителя). Те не трябва да са по-стари от месец.
- Поне веднъж седмично да се прави пълно антивирусно сканиране на компютъра с антивирусна програма;
- Да се сканира с антивирусна програма всеки свален от Интернет, получен на дискета или нелицензиран CD файл.
- Редовно да се правят архивни копия на данните. Това е една от най-добрите мерки не само срещу вируси, но и срещу 99% от всички неприятности, които биха ни сполетели. Ако вирус или грешка унищожи данните просто се форматира твърдия диск, инсталират се програмите отново и се възстановяват данните от архива.

<< Предходна