kompiuteriniai virusai

Kompiuteriniai virusai

Virusais yra vadinamos specialios kompiuterio darbui kenkiančios programos. Tai nedidelės apimties programos, kurios gali “prisikabinti” prie kitų programų (t.y. užkrėsti jas), o taip pat atlikti įvairius, nepageidaujamus veiksmus. Kompiuterių virusų atsiradimas yra siejamas su programuotojų išrastu žaidimu “Core wor” (karas atmintyje), kurio metu kompiuterio atmintyje “kaunasi” ir stengiasi užimti kuo daugiau vietos dvi programos. Jos taip pat bando aptikti bei išrinkti priešininko programą. Kaip ir kitose žinių srityse, čia sukauptas patyrimas buvo panaudotas ne tik geriems, bet ir blogiems tikslams. Atsirado mėgėjų nevykusiai pajuokauti, atkeršyti ir neteisėtai nukopijuoti programas arba tiesiog pademonstruoti, ką jie gali. Toks piktybinis kompiuterinių virusų platinimas padaro daug žalos, nes personaliniai kompiuteriai turi labai silpnas apsaugos nuo jų priemones.Pirmas masinis kompiuterinių virusų antplūdis buvo 1987m., kai vien tik JAV buvo užkrėsta virš 18 tūkstančių kompiuterių. Dabar yra tūkstančiai įvairių tipų virusų. Tai mažos programėlės, kurios sugeba “prilipti” prie kitų programų arba tarnybinių disko zonų, sugeba gaminti savo kopijas ir trukdo normaliam kompiuterio darbui. Jos dažniausiai plinta su nelegaliomis įvairių programų kopijomis. Daugumos virusų poveikis kompiuterio darbui gali būti skaidomas į du periodus: pasyvus ir aktyvus. Pasyvaus periodo metu virusinė programa kompiuterio darbui beveik nekliudo, ji tiktai stengiasi sukurti kompiuterio išorinėje atmintyje kuo daugiau savo kopijų. Aktyvaus periodo metu yra vykdomi įvairūs kompiuterio darbui trukdantys veiksmai: grojamos muzikinės melodijos, lėtinamas kompiuterio datbas, formuojami ekrane įvairūs pranešimai, gadinamas ekrano vaizdas, ištrinama diskuose saugoma informacija, nutraukiamas opracinės sistemos darbas. Kovojant su virusais, reikia žinoti, kad ne visos bylos gali platinti virusus. Tai gali daryti tik vykdomos bylos. Jei užkrėstoms byloms yrs taikomos tik duomenims skirtos operacijos (kopijavimas, spauzdinimas, skleidimas), kompiuteris neužsikrėčia.

Jeigu laik nesiimama priemonių kovai su virusais, tai pasekmės, pažeidus kompiuterį virusu, gali būti labai skaudžios. Tam, kad programa – virusas būtų nepastebima, reikia, kad ji būtų nedidelė. Todėl, kaip taisyklė virusai rašomi asemblerio kalba. Viruso sukūrimas ne toks jau sunkus darbas, pilnai įmanomas besimokančiam programavimo studentui. Todėl, vos ne kasdien pasaulyje atsiranda vis nauj ir naujų virusų.

Sugadinamos ir virusų užkrečiamos bylos. Kompiuterinių virusų grupės

Kompiuterinis virusas gali sugadinti, t.y. neleistinu būdu pakeisti, bet kokią bylą, esančią kopiuterio diske. Virusai gali taip pakeisti bylas, kad tos bylos turės tą virusą, kuris prie tam tikrų aplinkybių gali pradėti savo “negerą” darbą. Virusai gali būti apkrėstos tokios bylos:1. Vykdomosios (paleidžiamosios) bylos, t.y. bylos kurių plėtiniai com ir exe. Tokie, užkrečiantys bylas, virusai vadinami bylų virusais. Tokie virusai savo darbą pradeda, kai yra vykdomos tuo virusu apkrėstos bylos. Labiausiai pavojingi tie bylų virusai, kurie po jų pakrovimo rezidentiškai pasilieka operatyvinėje atmintyje, jie gali apkrėsti kitas bylas ir kenkti kol bus perkrautas kompiuteris. O jei toks virusas apkrės tokią programą, kuri yra paleidžiama iš bylos AUTOEXEC.BAT arba CONFIG.SYS, tai perkraunant kompiuterį, iš kieto disko bus pakraunamas ir pradės savo darbą virusas.2. Operacinės sistemos pakrovėjas ir pagrndinis kieto disko pakraunamasis įrašas. Virusai, pažeidžiantys šias sritis, vadinami pakraunamaisiais arba “būtiniais” (nuo žodžio boot). Toks virusas savo darbą pradeda pradiniame kompiuterio pasikrovimo etape ir tampa rezidentiniu, t.y. pastoviai būna kompiuterio atmintyje. Tokių virusų platintojai yra užkrėsti diskeliai su pakraunamais įrašais.Dažnai tokie virusai sudaryti iš dviejų dalių, kadangi pakrovimo įrašas ir pagrindinis pakrovimo įrašas yra nedidelės apimties ir į juos sunku sutalpinti visą virusą.

3. Įrenginių draiveriai, t.y. bylos, nurodomos bylos CONFIG.SYS eilutėje DEVICE. Juose esantys virusai savo darbą pradeda kiekvieną kartą kreipiantis į tą draiverį. Tokie virusai retai sutinkami, kadangi retai draiveriai perkeliami iš vieno kompiuterio į kitą ir ne kiekvienas programuotojas tokį virusą gali sukurti.4. Paskutiniuoju metu atsirado virusai, galintys užkrėsti Word ir Excel programomis parašytus tekstus, nes šios programos leidžia ne tik rašyti tekstą, bet ir sujungti jį su tam tikromis programomis.

Simptomai

Pagal dauginimosi būdus kompiuteriniai virusai yra skirstomi į dvi pagrindines grupes: bylų virusus ir pakraunamus virusus. Bylų virusai užkrečia tik programų bylas, o pakraunami yra platinami per sisteminiams tiklams skirtą diskų pakrovimo įrašą (Boot Record). Sparčiai plinta tie virusai, kuriuose yra vartojami abu dauginimosi būdai. Apie kompiuterio užkrėstumą galima spręsti iš tokių tipinių simptomų:· periodiškai ekrane pasirodo nelaukti sisteminiai pranešimai;· pasikeič· ia bylų sukurimo datos ir laikai;· pailgėja programų bylos;· diskuose atsiranda papildomi defektiniai klasteriai;· sumažėja laisva operatyviosios atminties zona;· sulėtėja programų darbas;· didėja diskinių operacijų trukmė;· nepatikimai dirba DOS, reguliariai “pakimba” nevaldomoje būsenoje;· dingsta atskiros bylos, suardoma bylų loginė struktūra;· įjungus kompiuterį, nepasikrauna DOS.

Keičiantys bylų struktūrą virusai

Pastaruoju metu paplito virusai, kurie gali pakeisti bylų struktūrą diske. Tokie virusai dažniausiai vadinami DIR. Tokie virusai dažniausiai slepiasi kai kuriose disko srityse (dažniausiai paskutiniuose disko klasteriuose) ir pažymi FAT lentelėje tas vietas kaip kažkokios bylos galą. Visoms byloms su plėtiniais com ir exe nuoroda į pradinę bylos dalį keičiama į nuorodą, kur yra saugomas virusas. Todėl vykdant bet kurią programą, atmintyje pakraunamas virusas, kuris atmintyje patalpinamas rezidentiškai ir prie DOS programų prisijungia, pažeisdamas bylas diske. Tokiu būdu bylų struktūra diske atrodo įprastai ir nieko keisto pastebėti negalima. Nebent norima peržiūrėti ar nukopijuoti bylą. Tada galima peržiūrėti ar nukopijuoti tik 512 ar 1024 baitus informacijos, nors byla gali būti ir ilgesnė.

Tikrinant tokiu virusu apkrėstą diską programa CHKDSK, gaunama daug pranešimų, kad diskas visai sugadintas. Nereikėtų tų tariamų klaidų taisyti šia programa. Šiuo atveju gali padėti tik tam skirtos specialios antivirusinės programos.

“Nematomi” ir besimodifikuojantys virusai

Kad vartotojas negalėtų aptikti, kai kurie virusai sugeba atlikti gana protingus maskavimosi veiksmus. Dvi iš jų: “nematomus” (Stealth) ir besimodifikuojančius virusus. “Nematomi” virusai. Dauguma rezidentinių virusų (ir bylų, ir pakraunami) yra sunkiai aptinkami, kai jie perima DOS kreipinį į užkrėstas bylas ir disko vietas ir pateikia juos pradiniu (neužkrėstu) pavidalu. Žinoma, šis efektas būdingas tik užkrėstame kompiuteryje – “tuščiame” kompiuteryje pakeitimus bylų ir disko pakrovimo srityse galima lengvai aptikti. Vertėtų žinoti, kad kai kurios antivirusinės programos gali aptikti ir “nematomus” virusus, net užkrėstame kompiuteryje. Besimodifikuojantys virusai. Kitas virusų naudojamas slėpimosi būdas – savo “kūno” modifikavimas. Dauguma virusų didžiąja savo “kūno” dalį saugo užkoduotu pavidalu. Tokie virusai dažnai keičia savo kūno dalį, kuri skirta likusių užkoduotų dalių iškodavimui. Tai, žinoma, labai apsunkina tokių virusų paiešką.

Kaip užkrečiamas kimpiuteris virusu

Tam, kad kompiuteris būtų apkrėstas virusu, būtina, kad jame bent kartą būtų vykdyta programa, kuri yra viruso “nešiotoja”. Todėl pirminis kompiuterio užsikrėtimo virusu etapas gali įvykti vienu iš tokių atvejų:· kompiuteryje buvo vykdoma užkrėsta virusu programa su plėtiniu com ir exe;· kompiuteryje operacinė sistema buvo pakrauta iš užkrėsto (ir užkrėstas pakrovimo sektorius) virusu diskelio;· kompiuteryje buvo instaliuota užkrėsta virusu operacinė sistema.Galima padaryti išvadas, kad nėra ko bijoti kompiuterį užkrėtusių virusų, jei:· į kompiuterį įrašinėjama programas, dokumentus, informacines duomenų bazių ar lentelių procesorių bylas ir t.y. bylas, kurios nėra programos ir todėl jos negali būti užkrėstos;

· neužkrėstame kompiuteryje atliekama bylų kopijavimas iš vieno diskelio į kitą.Bet koks kompiuterinis virusas gali sugadinti tik kompiuterio diske esančias programas, bet negali sugadinti fizinių kompiuterio įrenginių.

Priemonės kovai su virusais

Norint apsisaugoti nuo virusų, reikia vengti naudoti nežinomas programas, tikrinti svetimais kompiuteriais paruoštus diskelius. Vartojant diskelius su svarbiomis programomis svetimuose kompiuteriuose, patartina jouse laikyti atidarytą rašymo ir trinymo blokatorių. Taip pat gali padėti ir kovai su virusais skirtos programos, kurios vadinamos antivirusais. Antivirusines priemones galima skirstyti į tokias grupes: detektoriai, revizoriai, dezinfektoriai, virusų filtrai ir imunizatoriai.

Revizoriai turi dvi savo darbo stadijas – iš pradžių jie prisimena duomenis apie programas ir sistemines disko vietas (tariama, kad šiuo metu kompiuteris nėra pažeistas virusu), po to bet kuriuo momentu šios programos pagalba galima lyginti programas ir sistemines disko vietas su pradiniais duomenimis (lyginamos taip vadinamos kontrolinės sumos). Revizoriai tikrina bylų pilnumą (t.y. ar jos nepasikeitė), skaičiuodami kontrolinę sumą ir lygindami ją su etalonu. Etalonas pateikiamas arba dokumentacijoje apie programinį produktą, arba gali būti nustatomas pradiniu jo eksplutacijos momentu. Pagrindinis revizorių trūkumas – nesugebėjimas nustatyti tikslią bylų užkrėstumo priežastį, o tuo labiau nesugebėjimas identifikuoti virusų. Galimi ir melagingi tokių detektorių veiksmai dėl “leistinos” programų modifikacijos, dažniausiai jas konfiguruojant. Detektoriumi vadinama programa, galinti aptikti virusus tiek kompiuterio atmintyje, tiek išorinėse kompiuterinės informacijos saugojimo priemonėse. Detektoriai išveda užkrėstų bylų sąrašą ir/arba užkrėstus disko sisteminių dalių komponentus, dar gali nurodyti konkrečius virusus, juos užkrėtusius. Kur neužtenka revizorių pagalbos, gali padėti detektoriai, kurie kuriami konkretiems virusams aptikti. Jeigu detektorius gali aptikti keletą skirtingų virusų, tai jį vadina polidetektoriumi. Detektorius ieško virusinės signatūros (unikalios eilės), prilausančios vienam ar kitam virusiu. Detektorius negali aptikti visų galimų virusų. Be to, galimi ir melagingi tokių detektorių veiksmai.

Dezinfektoriumi (gydytoju) vadinama tokia programa, kuri naikina virusus, taip pat ir atstato pažeistas kompiuterio sritis. Tačiau nemažai virusų taip pažeidžia įvairias kompiuterio sritis, kad ir dezinfektorius jų atstatyti negali. Virusų filtru (sargu) vadinama rezidentinė programa, vykdanti virusams būdingų veiksmų kontrolę ir reikalaujanti iš vartotojo jų realizacijos patvirtinimo. Tai leidžia palaikyti atitinkamą kompiuterio apsaugojimo nuo virusų lygį ir gali aptikti virusus. Virusų filtrai kontroliuoja tokius veiksmus:· programinių bylų ir sisteminės disko dalies atnaujinimą;· tiesioginį rašymą į diską (remiantis fiziniu adresu);· disko formatavimą;· rezidantinį programų patalpinimą į atmintį.Atlikus vieną iš tokių veiksmų, virusų filtras pateiks vartotojui situacijos aprašymą ir pareikalaus iš vartotojo patvirtinimo. Vartotojas gali patvirtinti arba atsisakyti šitos operacijos. Egzistuoja taip apt antivirusinės priemonės, kurios yra kaip hibridinės tarp detektorių ir virusų filtrų. Jos talpinamos rezidentinėje atmintyje ir testuoja perduodamas vykdymui programas. Radus virusą, programos vykdymas atšaukiamas. Tai leidžia ne tik aptiktivirusus, bet ir leidžia uždrausti jų nekontroliuojamą dauginimąsi. Imunizatoriumi (vakcinuotoju) vadinama programa, neleidžianti virusams apkrėsti įvairias kompiuterio sritis ir tuo pačiu blokuojanti virusų sugebėjimą daugintis. Imunizatorius galima skirstyti į aktyvius ir pasyvius. Pasytvūs imunizatoriai taip modifikuoja virusų buvimo aplinką, kad virusas “nepripažįsta” savo buvimo ir virusas tampa neveiklus. Aktyvūs imunizatoriai talpinami rezidentinėje atmintyje ir imituoja joje viruso buvimą, ko pasekoje tikras virusas į atmintį nesikrauna. Šis būdas efektyvus kovojant su rezidentiniais virusais ir padeda sustabdyti ne tik jų dauginimąsi, bet ir destruktyvius veiksmus. Paprasčiausias aktyvus imunizatorius yra negalintis daugintis virusas. Imunizatorių naudojimas yra ribotas, nes jie siaurai specializuoti, o tikimybė apsikrėsti vienu ir tuo pačiu virusu yra labai maža, todėl imunizatoriai naudojami palyginti retai.Bendra duomenų apsaugos nuo virusų strategija Norint išvengti virusų daromos žalos ir laiku juos aptikti, reikėtų laikytis tam tikros strategijos.
Visų pirma reikėtų savo kompiuterio diske turėti bent keletą antivirusinių programų, kad reikalui esant būtų galima gydyti virusais užkrėstas programas. Laikas nuo laiko, keletą kartų savaitėje, kompiuterio diske esančius duomenis vertėtų patikrinti antivirusinėmis programomis – revizoriais, nes virusų yra įvairiausių ir paprasčiausiai jų prieš tai minėtos antivirusinės programos galėjo ir neaptikti. Ne visada antivirusinės programos gydydamos sugadintas programas jas gali atstatyti pilnai. Gali atsitikti ir taip, kad, gydydama, antivirusinė programa gali sugadinti bylą. Stengiantis išvengti tokių nepatogumų, reikėtų turėti visų svarbesnių programų ir duomenų kopijas, kad atsitikus ir tokiai nelaimei tas programas galima būtų atstatyti. Ši priemonė apsaugo ir nuo kietame diske saugomų duomenų praradimo.