1. Виды вредоносных программ. Классификация вирусов по типу поведения. Основные признаки наличия вирусной инфекции.
программы с потенциально опасными последствиями (или badware - "вредные программы"). Такими программами принято называть осмысленный набор инструкций для какого-либо процессора, способный выполнить одну или несколько из перечисленных функций: 1. скрыть признаки своего присутствия в программной среде компьютерной системы; 2. реализовать самодублирование, ассоциирование себя с другими программами и/или перенос своих фрагментов в другие (не занимаемые изначально указанной программой) области оперативной или внешней памяти; 3. разрушить (исказить произвольным образом) код программ (отличных от нее) в оперативной памяти компьютерной системы; 4. перенести (сохранить) фрагменты информации из оперативной памяти в другие области оперативной или внешней памяти прямого доступа (локальных или удаленных); 5. обеспечить потенциальную возможность исказить, заблокировать и/или заменить выводимые во внешнюю память или в канал связи массивы информации, образовавшиеся в результате работы прикладных программ или уже находящиеся во внешней памяти, либо изменить их параметры.
Программы с потенциально опасными воздействиями достаточно условно можно разделить на два больших класса. 1. Классические программы - "вирусы" (термин применен в 1984 г. Ф.Коэном), а также иные разрушающие программные воздействия. К особенностям этих программ в первую очередь можно отнести, как правило, ненаправленность их воздействия на конкретные типы прикладных программ, а также способность к самодублированию. Как правило, действие вирусов заключается во внедрении и разрушении программ. При этом вирусы распространяются скрыто и несанкционированно. 2. Программы-закладки типа "троянский конь", "программный червь", "логический люк" и им подобные. В отличие от вирусов основной задачей программ-закладок является не самовоспроизведение и разрушение других программ, а способность выделения и перехвата конфиденциальной информации и/или организация параллельных каналов ее передачи.
Ниже приведены некоторые наиболее характерные признаки наличия вирусной инфекции, на которые следует обращать внимание » первую очередь. Изменение размеров файлов. Файловые вирусы, как правило, изменяют размер зараженных файлов. При этом, чтобы дольше й&Иаваться не обнаруженным, вирус не должен значительно изменять Работу инфицированного файла. Это не позволяет ему удалять или заменять значительные сегменты первоначального кода программы, так как в этом случае неминуемы очевидные нарушения в ее работе. В связи с этим непредусмотренное увеличение первоначального размера какого-либо файла является серьезным поводом для обследования компьютера с помощью антивирусного программного обеспечения. Изменения в отображении векторов прерывания. Вектора прерывания используются операционной системой для приостановки работы тех или иных программ. Некоторые вирусы активизируются при запросах на прерывания. В связи с этим, если обнаружен новый или необычный вектор прерывания, необходимо проверить с помощью специальных программ оперативную память компьютерной системы на наличие таких вирусов. Необъяснимые изменения в доступной памяти. Вирусы, находящиеся в оперативной памяти, обязательно уменьшают ее свободное количество, предназначенное для выполнения программ. В связи с этим при обнаружении непредусмотренного уменьшения объема памяти, доступного для выполнения программ, необходимо запустить антивирусную программу. Настораживающие отклонения в работе компьютерной системы. Присутствие вируса, как правило, влияет на характерное "поведение" и работу компьютерной системы в целом. Например, если обнаружены какие-либо отклонения от привычного стиля ее работы, нехарактерная или более продолжительная, чем обычно, работа дисковых накопителей, вывод на экран монитора необычных сообщений, необъяснимые зависания процессора или другие очевидные отклонения, следует немедленно воспользоваться антивирусными средствами.