Kova su virusais

1. Kompiuterinio viruso istorija 2

2. Kas yra kompiuteriniai virusai 3

3. Kaip apsisaugoti nuo virusu 4

4. Antivirusinė programinė įranga 5

5. Kas žinotina įsigyjant antivirusines programa 8

6. Išvados 9

7. Naudota literatūra 101. Kompiuterinio viruso istorija

Įsibrovus kompiuteriui į mūsų gyvenimą, jau ne vienam teko nukentėti dėl nesuprantamo duomenų praradimo. Dingo kokia mėnesio darbo ataskaita ar, besiruošiant išsaugoti dokumentą, „pakibo“ kompiuteris, nusinešdamas dienos darbą, ar dėl neaiškių priežasčių dingo svarbus elektroninis laiškas. Siekiant išvengti šių ir daugelio kitų su kompiuteriais susijusių nesklandumų, ir bus skirta ši serija straipsnių.

Iki šiol nesutariama, kada pasirodė pirmasis kompiuterių virusas. Teigiama, jog Bebidžo mmašinoje jo dar nebuvo, o „Univac1108″ ir IBM-360/370 kompiuteriuose jau buvo virusų („Pervading Animal“ ir „Christmas tree“). Taigi pirmieji virusai pasirodė maždaug 60-ųjų pabaigoje ar 70-ųjų pradžioje, nors tuo metu virusais jų dar niekas nevadino. Terminas „kompiuterių virusas“ atsirado vėliau. Manoma, kad pirmasis jį pavartojo amerikietis F.Koenas 1984 metais JAV vykusioje informacijos saugumo konferencijoje.

Jei kompiuteryje ėmė dingti raidės, atsirasti neaiškių pranešimų arba kompiuteris visiškai nepasikrautų, gali būti, kad jis „pasigavo“ virusą. Jei kompiuteris lėtai veikia arba diske netikėtai ėmė stigti vvietos – tai irgi gali būti viruso darbas. Ypač viso to galima tikėtis, jei jūsų antivirusinės programos data yra metų senumo arba žodį „antivirusas“ girdite pirmą kartą. Taigi simptomų, kaip ir pačių virusų, įvairovė yra labai didelė. Verta įsiminti, kad vvisi virusų simptomai padaro žalos. Ir pasielgsite teisingai, jei nenumatytu atveju pirmiausia imsite kaltinti virusus bei ieškoti „priešnuodžio“ antiviruso.

2. Kas yra kompiuterių virusai?

Kompiuterinis virusas, tai programinis kodas, įterptas į kitą programą ar dokumentą ar duomenų apibrėžimo sritį, vykdantis nesankcijonuotus veiksmus kompiuteryje.

Pagrindiniai kompiuterių virusų tipai:

Programiniai virusai

Pakraunami virusai

Makrovirusai

Programiniai virusai. Programiniai virusai – tai programinio kodo blokai specialiai įterpti į taikomųjų programų vidų. Vykdant šį kodą, pažeidžiama kieto disko failinė sistema arba kitų programų turinys. Pavyzdžiui virusas gali save dauginti kitų programų kūne. Po tam tikro laiko, sukūrus tam tikrą skaičių kopijų, prasideda griaunamasis procesas, pažeidžiantis programų ir operacinės sistemos darbą. Šis procesas vadinamas virusų ataka.

Pakraunami virusai. Pakraunami virusai pažeidžia magnetinių diskų (lankstaus diskelio ir kieto disko) sistemines dalis. Be tto, įjungtame kompiuteryje, jie laikinai gali būti operatyvinėje atmintyje. Šiuo virusu kompiuteris užkrečiamas, bandant jį pakrauti iš magnetinio nešėjo, kurio sisteminė dalis užkrėsta.

Makrovirusai. Makrovirusai, tai virusų rūšis, kuri pažeidžia dokumentus, sukurtus su taikomosiomis programomis, turinčiomis priemones vykdyti makrokomandas. Dokumentas užkrečiamas jį atidarant programos lange, jei nėra uždraustas makrokomadų vykdymas.

Pagrindinė kompiuterių virusų ypatybė – gebėjimas savaime įsiterpti į įvairius sistemos objektus. Pavyzdžiui, operacijų sistema MS-DOS turi visa tai, ko jai reikia norint savaime įsidiegti ne į DOS diskus. Tam pakaktų operacijų ssistemą įkrauname diske parašyti tokią AUTOEXEC.BAT bylą:

SYS A:

COPY *.* A:SYS B:

COPY *.* B: SYS C:

COPY *.* C:.

Vadinasi, remiantis viruso apibrėžimu, taip modifikuota DOS pati tampa virusu, todėl neįmanoma pateikti vienareikšmio viruso apibrėžimo, o gal to ir visiškai nereikia.

3. Kaip apsisaugoti nuo virusų?

Kaip ir medicinoje, vienas pagrindinių kovos su virusais būdų – profilaktika.

* Programinę įrangą pirkite iš įgaliotųjų pardavėjų.

* Sukurkite sisteminį diskelį, įrašykite į jį antivirusinės programas ir apsaugokite jas nuo kitų įrašų (write protect).

* Bylas, su kuriomis dirbate, periodiškai perkelkite į išorinę laikmeną (pvz., diskelius).

* Tikrinkite visus diskelius. Neatverskite nepatikrintų bylų, ypač perduotų kompiuterių tinklais, internetu.

* Apribokite asmenų, dirbančių su konkrečiu kompiuteriu, skaičių.

* Tikrinkite kompiuterį a.ntivirusine programa.

Daugiau informacijos apie virusus galite rasti internete: http://www.virus.com/article.html?artic-le=264 http://www.avp.ru/

Štai keletas patarimų, kaip efektyviai naudotis antivirusais bei apsisaugoti nuo virusų:

– nepakanka turėti antivirusines programas, įrašytas kietajame diske, – reikia naudotis jomis, t.y. tikrinti visus naujus failus ir diskelius;

– turėkite keletą skirtingų antivirusinių programų, nes viena programa visų galimų virusų tikrai neatpažins;

– stenkitės turėti naujausias antivirusinių programų versijas, nes kas mėnesį yra parašoma maždaug apie 350 naujų virusų;

– nepasitikėkite net ir patikimiausio žmogaus garantija apie jo diskelio „švarą“ – jis pats gali nė nežinoti, kad turi virusą;

– visuomet turėkite sisteminį diskelį, iš kurio būtų galima pakrauti kompiuterį. JJį galima pasidaryti komanda „sys a:“;

– turėkite svarbiausių dokumentų ar darbų atsargines kopijas įrašymui uždraustame (writeprotected) diskelyje;

– atsiradus „neįprastam“ kompiuterio elgesiui, patikrinkite kompiuterio kietąjį diską su visomis turimomisantivirusinėmisprogramomis.

Su kompiuteriniais virusais yra panašiai kaip ir gamtoje. Atsiradus naujai „ekologinei nišai“ – kokiam nors trūkumui operacinėje sistemoje ar programoje, ją tuoj pat užpildo naujos kartos virusai. Ir kuo programa turi daugiau „skylių“, tuo daugiau ir jai skirtų virusų.4. Antivirusinė programinė įranga

Kovai su virusais pasitelkiamos specialios programų sistemos, kurios dažniausiai vadinamos antivirusinėmis programomis. Pagal veikimo būdą ir atliekamas funkcijas į antivirusinės sistemos sudėtį įeinančios programos gali būti skirstomos į tokias pagrindines grupes.

Programos – detektoriai (skeneriai). Jos suteikia galimybę rasti failus, kurie užkrėsti kokiu nors žinomu(ais) virusu(ais). Detektoriai tik aptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagal parašą, t.y., kaip minėjome, pagal jam būdingų baitų kombinaciją. Todėl šiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžia aptinkamų virusų rūšis ir jų skaičių. Be to, kai kuriems virusams surasti gali būti pasitelkiama vadinamoji euristinė analizė. Tai rinkinio taisyklių, apibrėžiančių virusus, panaudojimas jiems lokalizuoti. Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turi užkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais, reikia jas reguliariai (bent kas 1-3 mėnesius) atnaujinti, t.y., dirbti su konkrečios pprogramos paskutine versija, galinčia aptikti ir naujai pasirodžiusius virusus.

Taip veikiančios antivirusinės programos pavyzdžiu galėtų būti sistema Doctor Web, naudojanti virusams rasti ir jų parašą, ir euristinę analizę. Jos virusinių parašų banke yra keli tūkstančiai parašų, o euristinėje analizėje galimi trys lygiai: minimalus, optimalus ir patikimiausias. Dokumentacijoje rašoma, kad testuojant nežinomus virusus Doctor Web efektyvumas yra 72% (patikimumo lygis, t.y., procentas aptiktų iš visų pateiktų testavimui virusų) minimaliu lygiu, 80% – optimaliu bei 82-90% – patikimiausiu. Tačiau bendras sistemos efektyvumas, specialistų teigimu, neviršija 50%. Maždaug kas mėnesį pateikiama nauja šios sistemos versija. Doctor Web vartotojai dažniausiai moka jos metinės prenumeratos mokestį (apie kelis šimtus litų). Dar vienas programos detektoriaus pavyzdys – programa FindVirus, naudojama sistemoje “Dr. Solomon’s Anti-Virus Toolkit”, sukurtoje bendrovėje “S&Software”; tai viena tobuliausių antivirusinių priemonių. Šia sistema galima aptikti per 10000 virusų; specialistai jai teikia apie 97% patikimumo lygį. Sistema turi parašų banko atnaujinimo priemones (pvz., iš diskelių, platinamų per prenumeratą, Internetą). Be to, pakete yra virusų enciklopedija, kurioje aprašyti įvairūs virusai ir jų poveikis kompiuteriui. Kasmetinis mokestis už sistemos atnaujinimą yra apie 1000 litų.

Programos – daktarai (fagai). Tai antivirusinės programos, ne tik aptinkančios virusus, bet ir išgydančios nuo jų, t.y. atliekančios priešingus veiksmus nei atliko virusas, užkrėsdamas kompiuterį.

Jos iš užkrėstos programos ar disko “iškanda” (išmeta) virusą, t.y., grąžina programą į tą būseną, kuri buvo prieš užsikrečiant. Failai, kurių nepasiseka grąžinti, paprastai daromi neveikliais (nedarbingais) arba išmetami. Programų – daktarų pagrindiniai trūkumai: gydant kai kuriuos virusus, gali būti sugadinta programa ar palikti viruso fragmentai, kai kurie virusai gali būti klaidingai atpažinti ir tada blogai išgydoma. Programos – daktarai dažniausiai neišskiriamos į atskirą grupę. Traktuojama, kad tai yra programa – detektorius, turinti galimybę gydyti. Pavyzdžiui programa F-Prot, kuri naudojama aantivirusinėje sistemoje F-Prot Professsional, sukurtoje bendrovėje “Frisk Software International”, identifikuoja per 7000 virusų ir apie 85% atvejų nuo jų išgydo. Specialistai šiai sistemai suteikia apie 94% patikimumo lygį.

Programos – revizoriai. Jos naudojamos atliekant ankstyvąją viruso diagnostiką ir turi du darbo etapus. Pirmiausia revizoriai atsimena duomenis apie programų ir diskų sisteminių sričių (kelties sektoriaus ir sektoriaus su disko paskirstymo lentele) būklę (pvz., jų dydžius). Traktuojama, kad tuo momentu programos ir sisteminės diskų sritys neužkrėstos. Po to revizoriai gali kiekvienu momentu palyginti eesamą jų būklę su pradine. Jei randamas neatitikimas (“prikibęs” prie programos virusas padidina ją standartiniu., jam būdingu dydžiu), apie tai pranešama vartotojui. Tai suteikia galimybę nustatyti užsikrėtimą virusu iki tol, kol jis dar nepadarė didelių nuostolių. Be to, programa – rrevizorius gali rasti viruso paveiktus failus. Norint patikrinti, ar nepasikeitė failas, skaičiuojamas arba jo ilgis, arba kontrolinė suma – tai tam tikra speciali viso failo turinio funkcija (pvz., bendras vienetų skaičius failo duomenyse). Jei pasikeitė ilgis ar kontrolinė suma, tai aišku, kad pasikeitė ir failas. Pakeisti failą taip, kad nepakistų kontrolinė jo suma, praktiškai neįmanoma. Norint suskaičiuoti kontrolinę sumą, būtina perskaityti visą failą, o tai santykinai ilgas procesas. Kadangi tikrinti, ar kompiuteryje nėra virusų, reikia dažnai (geriausiai OS kiekvienos pradinės kelties metu), tai ilgas tikrinimo laikas nepageidautinas. Todėl paprastai kontrolinės sumos skaičiavimą ir pastovų jos tikrinimą tikslinga atlikti tik itin svarbiem, dažniausiai vykdomiems failams (programoms) (pvz., COMMAND.COM, IO.SYS, MSDOS.SYS ir pan.). O kitų failų gali būti tikrinamas tik dydis. Taigi pprogramos – revizoriai gali “išgaudyti” ir žinomus, ir visai nežinomus virusus.

Programų – revizorių pavyzdžiai – tai ASP Integrity Toolkit, esanti sistemos “Dr. Solomon’s Anti-Virus Toolkit” sudėtyje, Integrity Master ir VDS, dirbančios DOS terpėje.

Programos – filtrai. Jos dar vadinamos rezidentinėmis antivirusinėmis programomis arba bendrojo monitoringo (įspėjimo) programomis. Šios programos talpinamos rezidentiškai kompiuterio operatyviojoje atmintyje ir perima tuos kreipinius į OS, kuriuos virusai naudoja dauginimuisi ir kenkimui. Apie tai jos praneša vartotojui, kuris gali leisti atlikti atitinkamą operaciją ar ją uždrausti. Tokie ““įtartini” kreipiniai (veiksmai) yra šie: vykdomųjų failų keitimas, failo atributo “tik skaitymui” panaikinimas, disko formatavimas, tiesioginis įrašymas (įrašymas pagal absoliutinį adresą) į diską, programos padarymas rezidentine.Kai tik yra kreipinys (į OS) atlikti “įtartiną” veiksmą, į ekraną išvedamas pranešimas apie tai, kokį veiksmą reikia atlikti ir kokia programa nori jį atlikti. Jei šis veiksmas realiai nereikalingas vykdant tą programą, jį reikia uždrausti, nes tai, matyt, yra viruso reikalaujamas veiksmas. Programų – filtrų naudojimo pagrindiniai trūkumai: 1) jos pastoviai užima tam tikrą operatyviosios atminties dalį ir kartu mažina atminties dalį, į kurią gali kreiptis kitos programos; 2) vartotojas turi atsakinėti į klausimus: leisti ar uždrausti konkrečius veiksmus kompiuteryje; jei šie klausimai dažni, vartotojui jie gali nusibosti; 3) jų užtikrinamo apsaugos laipsnio nereikia pervertinti, nes daugelis virusų, norėdami plisti ir kenkti, tiesiogiai kreipiasi į OS programas, nenaudodami šių programų standartinio iškvietimo per pertraukimus būdo. O rezidentinės programos perima tik šiuos pertraukimus. Be to, jos nepadeda apsaugoti diską nuo užsikrėtimo virusais, kurie plinta per kelties sektorių – toks užsikrėtimas gali įvykti OS pradinės kelties metu, t.y., prieš bet kurių programų vykdymą ar tvarkyklių nustatymą. Pagrindinis programų filtrų privalumas tas, kad jos gali nustatyti ankstyvos stadijos virusą, t.y., kol jis dar nespėjo išplisti ir pakenkti. TTuo būdu, nuostolius dėl virusų galima sumažinti iki minimumo.

Programos – filtro pavyzdžiu gali būti programos SECURE ir FluShot.

Tarp vartotojų paplitusi nuomonė, kad, norint patikimai apsisaugoti nuo virusų, reikia surinkti kuo daugiau virusus aptinkančių ir juos panaikinančių programų, t.y., programų detektorių ir daktarų, o kitų programų galima ir nenaudoti. Tikimasi iš tų daugelio programų parinkti reikiamus “vaistus”. Tačiau, norint minimizuoti virusų daromą žalą, reiktų vadovautis medikų išmintimi: ligos lengviau išvengti, negu ją išgydyti. Todėl, vertinant atskirų antivirusinių programų grupių indėlį į duomenų ir programų saugumą, pirmoje vietoje turėtų būti programos revizoriai, suteikiančios galimybę apibrėžti programų ir duomenų vientisumą. Vientisumo kontrolė ti.kslinga kiekvieną kartą pradėjus dirbti kompiuteriu, t.y., pravartu įjungti revizorių vykdymo komandas į AUTOEXEC.BAT failą. Be to, rekomenduotina naudoti hibridines programas – revizorius – daktarus, kurios ne tik nustato pasikeitimus failuose ir sisteminėse diskų srityse, bet ir, atsiradus pasikeitimams, gali automatiškai grąžinti juos į pradinį būvį. Toliau būtų programos – filtrai, suteikiančios galimybę nustatyti daugelį (nors ne visus) virusus jų pačioje ankstyvojoje stadijoje, kol jie dar nespėjo ko nors užkrėsti ar sugadinti. Toliau eitų programos – detektoriai. Dažnai jos be reikalo naudojamos visam diskui tikrinti, t.y., jų vykdymo komandos užrašomos į AUTOEXEC.BAT failą. Tokį tikrinimą geriau atliks programos – revizoriai. O pprogramos – detektoriai reikalingi kitiems tikslams – tikrinti, ar nauja gauta programinė įranga neturi virusų. Paskutinėje vietoje būtų programos – daktarai, kurias tikslinga naudoti tik tada, kai nėra užkrėstos programos kopijos archyve ar ją sunku gauti kitu būdu. Be to, jei jau buvo naudotas daktaras, reikia būtinai patikrinti grąžintą failą su revizoriumi (aišku, jei informacija apie šį failą buvo iš anksto išsaugota), nes ne visada daktarai gydo teisingai. Nė viena iš aptartų antivirusinių programų grupių nesuteikia absoliučios apsaugos nuo visų virusų. Todėl reikėtų naudoti (įvertinant anksčiau pateiktas pastabas) visą jų rinkinį. Esamos antivirusinių programų sistemos apskritai skiriasi tokiomis pagrindinėmis charakteristikomis: veikimo terpe, greičiu, reikalingais atminties resursais, patikimumu, vartotojo sąsaja, kaina. Antai anksčiau nagrinėta antivirusinė programa Dr.Solomon’s Anti-Virus Toolkit, kuri orientuota dirbti WINDOWS 95 terpėje (FOR WINDOWS 95), testavus (1997m.) ją PK (procesorius Pentium 90MHZ, diskas 800MB), turėjo tokį greitį: tikrinant kietą diską sugaišo 91 sekundę, o diskelį su 60-ia failų – 31 sekundę. Jos reikalaujami atminties resursai: 4MB operatyviosios atminties bei 10MB diskinės atminties. Kaip minėta, jos patikimumo lygis 97,2%. Kūrėjo rekomenduojama kaina buvo apie 500 litų, įskaitant virusų banko atnaujinimą kas ketvirtį pirmaisiais metais. Kaip minėta, kasmetinis mokestis už sistemos atnaujinimą siekė 1000 litų. Ši antivirusinė programa naudoja ne

tik viruso parašo paieškos metodą, bet ir sistemos padėties monitoringą, leidžiantį efektyviai ieškoti virusų visoje sistemoje, o ne tik atskirame faile. Ji garantuoja, kad aptiks visus virusus, esančius kompiuterių saugumo nacionalinės asociacijos (National Computer Security Association (NCSA)) kolekcijoje.

5. Kas žinotina įsigijant antivirusines programas?

Pagrindinis antivirusinės programos kiekybinis kriterijus ir funkcija: egzistuojančių virusų (In the Wild) aptikimas. Kodėl? Ko gi verta antivirusinė programa, kuri sėkmingai šalina visus, jos pagalba detektuojamus virusus, tačiau nedaug jų aptinka, arba neaptinka pačių naujausių? Žymiai svarbiau detektuoti virusą, nnes pats faktas yra pakankamai pavojingas reiškinys – grėsmė Jūsų duomenims. Kompiuterių viruso diagnostika betarpiškai susijusi su problemų prevencija ankstyvoje problemos fazėje, nes įgalina imtis priemonių apskritai. Pragmatiniu požiūriu, kritikos nusipelno euristinė analizė (realiai neegzistuojančio viruso paieška pagal specifinius viruso požymius), nukreipianti gamintojo bei vartotojo dėmesį diskutuotina linkme. Sunku prognozuoti virusų kūrėjų užmančias, madas, tendencijas, be to, pastangos šia kryptimi išsklaido programuotojų dėmesį.

Toliau galima vardinti kokybines antivirusinių programų savybes. (Mielai išklausysime komentarų ir prieštaravimų. Ypač domintų diskusijos su žmonėmis, kkurie bent metus skaito Virus Bulletin žurnalo popierinę – ne elektroninę- versiją)! Taigi kokybiniai įverčiai: greitis, patogumas (user friendly interface), euristinė analizė, administravimo metodai, papildomos galimybės, kaina, lokalizacija, palaikymas, etc. Svarbios kokybinės antivirusinės savybės: programos atnaujinim.o dažnis bei rezidentiškumas. Šios ssavybės traktuotinos vos ne kaip kiekybinės, nes betarpiškai susijusi su naujausių virusų diagnostika bei momentine detekcija (online, resident).

Suklusta tie antivirusų gamintojai, kurie po pirmųjų virusų atakų greičiausiai atnaujina savo programą ir anksčiausiai gali aptikti naujausius virusus, bei sugeba realizuot rezidentinę virusų kontrolę.

Ar pardavėjas turi teisę parduoti šią antivirusinę programinę įrangą. (Prašykite parodyti sertifikatą, ar kitą įgaliojantį dokumentą). Tai padės išvengti apsišaukėlių, nes vartotojui galima parduoti išties gerą produktą, tačiau neturint kvalifikacijos, nepakankamai išaiškinti apie jo naudojimą. Tai be abejo diskredituoja ir patį produktą, Jūsų įsigytą Antivirusinę programą .

Pasitikrinkite programos gamintojo elektroninėje svetainėje (home page, site, www) ar pardavėjas yra oficialus tos firmos partneris: distributor (importuotojas), reseller, dealer, OEM, VAR (pardavėjas su tam tikrom išlygom), service provider (priežiūros iir palaikymo paslaugų tiekėjas).

Ar siūloma programinė įranga sertifikuota ICSA bei Virus Bulletin (VB). Tai pakankamai objektyvios, kvalifikuotos, pripažintos organizacijos, atestuojančios antivirusines programas.

Sužinokite kokiam laikui įsigysite siūlomos programos licenziją, kokiu būdu ir kaip konkrečiai ji atnaujinama. Kokiu dažniu pasirodo programos atnaujinimai (upgrade, update), ar jie tikrai nemokami? Sumodeliuokite realią situaciją. Pažiūrėkite, kaip elgsis pardavėjas, gamintojas.6. Išvados

Apibendrinimui kovai prieš virusus norėčiau pateikti programas (antivirusines) su kuriomis spęsčiau problemas iškylusias dėka virusų. Mano manymu, šios antivirusinės programos pilnai susitvarkytų su virusais bei jjų pavyzdžiais:

AVP antivirusinė programa

Doktor Web antivirusinė programa

Norton Antivirus antivirusinė programa

Net ir naudojant visas apsaugos priemones, virusas gali “prasiskverbti” į sistemą.

Naudota literatūra:

intermetas