Телевизионные системы видеонаблюдения

     Файл-серверы  общего пользования и электронные  конференции также служат одним  из основных источников распространения вирусов. При этом часто зараженные файлы закладываются автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов), так же известны случаи когда, к примеру, какая-либо крупная организация, по разработке ПО, предоставляет новую версию продукта (патч\релиз) на свободную закачку, не зная того, что файл заражён вирусом.

     Третий  путь быстрого заражения - локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере.

     Нелегальные копии программного обеспечения, как  это было всегда, являются одной  из основных зон риска. Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов.

     Опасность представляют также компьютеры, установленные  в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную заразу получат и дискеты всех остальных студентов, работающих на этом компьютере.

     То  же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус разносится на другие компьютеры (путём записи информации на накопители и другие компьютеры).

1.4.Основные признаки появления в системе вируса

     При заражении компьютера вирусом важно  его обнаружить. Для этого следует  знать об основных признаках проявления вирусов. К ним можно отнести  следующие:

     прекращение работы или неправильная работа ранее  успешно функционировавших программ:

     - медленная работа компьютера

     - невозможность загрузки операционной  системы

     - исчезновение файлов и каталогов  или искажение их содержимого

     - изменение даты и времени модификации  файлов

     - изменение размеров файлов

     - неожиданное значительное увеличение количества файлов на диске

     - существенное уменьшение размера  свободной оперативной памяти

     - вывод на экран непредусмотренных  сообщений или изображений

     - подача непредусмотренных звуковых  сигналов

     - частые зависания и сбои в  работе компьютера

     Следует отметить, что вышеперечисленные  явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому  всегда затруднена правильная диагностика  состояния компьютера. К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

1.5.Последствия  действия вирусов 

     По величине вредных воздействий вирусы можно разделить на:

     - неопасные, влияние которых ограничивается  уменьшением свободной памяти  на диске, графическими, звуковыми  и другими внешними эффектами;

     - опасные, которые могут привести  к сбоям зависаниям при работе компьютера;

     - очень опасные, активизация которых  может привести к потере программ  и данных (изменению или удалению  файлов и каталогов), форматированию  винчестера и так далее. 

     Выполнять вирус может разные действия. Некоторые  вирусы просто осыпали буквы с монитора или рисовали летающий мячик. Такие считаются наиболее безвредными. Другие могут переименовывать файлы на диске, стирать их. Эти, без сомнения гораздо опаснее. Существуют также вирусы, которые могут испортить микросхему BIOS Вашего компьютера. Тут трудно сказать, что хуже - потеря информации или выход из строя компьютера. И, наконец, вирус размножается, то есть дописывает себя везде, где он имеет шанс выполниться. В настоящее время, с развитием операционной системы и программного обеспечения появилось великое множество возможностей для вирусописателей.

     Сохраняют свои позиции вирусы "старого" типа, которые надо один раз запустить, после чего они постоянно при  загрузке компьютера активно включаются в работу и начинают заражать все  исполняемые файлы, которые попадаются им под руку.

     Наиболее  распространен сейчас вид почтовых вирусов, когда играют на любопытстве  людей. Например, Вам приходит письмо с признанием в любви и приложенными фотографиями. Если Вы читали журналы  и слышали о таких письмах, то Вы, конечно, немедленно сотрете письмо от незнакомого человека. Однако, первое движение - посмотреть, что же там пришло. И вот, все Ваши фотографии и музыка пропали, а вместо них - злобный вирус "I Love You" (или еще какой, похожий на него). А, кроме того, он еще и пошлет себя всем, кто записан в Вашей адресной книге (эдакое самоходное "письмо счастья"). А может еще и винчестер Вам почистить, чтобы не скучно было.

1.6.Способы защиты от вирусов (антивирусные программы)

     Наиболее  эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов. Антивирусы - программы, призванные обнаруживать и удалять все вирусные программы с Вашего компьютера. Наиболее представительными, на мой взгляд, являются DrWeb, Antiviral Tolkit Pro, ADInf .Первые две программы постоянно получают всяческие международные сертификаты и вообще считаются одними из лучших. В революционном деле борьбы с вирусами главное - иметь свежий антивирус.

     Также важно все-таки не запускать неизвестно что. Однако, при борьбе с вирусами не стоит впадать в дикую крайность  и стирать все подряд. На этом построено действие "психологических" вирусов, рассчитанных именно на то, что  Вы своими руками порушите систему. 

     Антивирусы-полифаги — наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми  и до сих пор удерживают несомненное  лидерство в этой области.

     Самыми  популярными и эффективными антивирусными  программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web).Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.

     Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.

     Для поиска новых вирусов используются алгоритмы “эвристического сканирования “, то есть анализ последовательности команд в проверяемом объекте. Если “подозрительная” последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.

     Полифаги  могут обеспечивать проверку файлов в процессе их загрузки в оперативную  память. Такие программы называются антивирусными мониторами.

     К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости вирусов. 

     В основе работы полифагов стоит простой  принцип — поиск в программах и документах знакомых участков вирусного  кода (так называемых сигнатур вирусов). Под сигнатурой могут пониматься разные вещи.

     В общем случае сигнатура — это  такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе. Чаще всего сигнатура — это непосредственно участок вирусного кода или его контрольная сумм.

     Первоначально антивирусы-полифаги работали по очень  простому принципу — осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

     Тем более в настоящее время вирусные программы значительно усложнились. Например, появились так называемые “stealth- вирусы”. В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Здесь для неискушенного читателя необходимо сделать “лирическое” отступление на тему “Как работает механизм прерываний”. При возникновении прерывания управление передается специальной программе — ”Обработчику прерывания”. Эта программа отвечает за ввод и вывод информации в/из периферийного устройства. Кроме того, прерывания делятся на уровни взаимодействия с периферией (в нашем случае — с жесткими и гибкими дисками). Есть уровень операционной системы (в среде MS DOS — прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS — прерывание 13h). Опытные системные программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств. Но это — уже довольно серьезная и трудная задача. Столь многоуровневая система сделана, прежде всего, с целью сохранения переносимости приложений. Именно благодаря такой системе, скажем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2.

     Но  в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска. В случае, если с диска читается зараженная программа, вирус “выкусывает” собственный код (обычно код не буквально ”выкусывается”, а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения “чистый” код. Таким образом, до тех пор пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно. Схожий механизм маскировки используется и загрузочными вирусами, о которых будет сказано дальше.

     В целях борьбы со stealth-вирусами ранее  рекомендовалось (и, в принципе, рекомендуется  и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с win32 антивирусными приложениями запустить их не удастся). Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100-процентной точностью будет обнаружен и удален из памяти компьютера, а потом — и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом — как можно чаще обновлять версии программы и вирусные базы. Для удобства пользователей базы вынесены в отдельный модуль, и, например, пользователи AVP могут обновлять эти базы ежедневно при помощи Интернета.

     Особняком тут стоят так называемые эвристические  анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими “копиями” и были придуманы эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.